목차

요약

통계 및 그래프: 2025년 연간 리뷰

통계 및 그래프: 2025년 1분기

통계 및 그래프: 2025년 2분기

통계 및 그래프: 2025년 3분기

통계 및 그래프: 2025년 4분기

개요

피싱 공격: 2025년 가장 흔한 공격 유형

Bybit 사건 분석: 14억 달러 손실의 전말

기타 주요 보안 사건

개인 사용자 리스크 및 예방 조치

CertiK 2025년 주요 성과

CertiK 전 생애주기 제품 및 서비스
 

요약

- 2025년 한 해 동안 총 630건의 온체인 보안 사고가 발생했으며, 총 피해액은 약 33.53억 달러에 달했습니다.

- 이는 2024년 대비 약 37.06% 증가한 수치이며, 보안 사고 건수는 137건 감소했습니다.

- 2025년 단일 공격당 평균 피해액은 532.19 만달러로 전년 대비 66.64% 증가했으며, 중앙값은 약 10.4만 달러로 전년 대비 35.75% 감소했습니다.

- 연중 피해 규모가 가장 컸던 달은 2월로, 58건의 사건에서 약 15.37억 달러의 손실이 발생했으며, 이 중 대부분은 Bybit 사건에서 비롯되었습니다.

- 2025년 1분기는 해킹·사기·취약점 악용 사건 200건으로 약 16.72억 달러의 피해가 발생해, 연중 가장 큰 피해를 기록한 분기였습니다. 반면 2분기 피해액은 전 분기 대비 약 52% 감소했습니다.

- 2025년 가장 큰 피해를 초래한 공격 유형은 공급망 공격으로, 단 2건의 사건만으로 약 14.51억 달러의 손실이 발생해 연간 전체 피해액의 거의 절반을 차지했습니다.

- 피싱 공격은 총 248건으로 2025년 가장 흔한 공격 유형이었으며, 약 7.23억 달러의 피해를 초래했습니다. 이는 코드 취약점 공격(240건)보다 소폭 높은 수치입니다.

- 이더리움은 가장 많은 공격을 받은 블록체인 플랫폼으로, 310건의 해킹·사기·취약점 악용 사건으로 약 16.98억 달러의 손실이 발생했으며, 단일 사건당 평균 피해액은 578.52만 달러에 달했습니다.

- 해커들은 비트코인 역시 주요 공격 대상으로 삼아, 22건의 사건에서 약 5.28억 달러의 피해를 입혔습니다.

- 멀티체인 보안 취약점으로 인한 피해는 총 29건, 약 4.61억 달러로 집계되었습니다.

「2025 Skynet Hack3D 보고서」는 Web3 산업의 방향성을 형성한 주요 보안 사건과 핵심 트렌드, 현재의 보안 환경, 그리고 향후 1년간의 발전 방향을 종합적으로 다루고 있습니다.

통계 및 그래프: 2025년 연간 리뷰
 

통계 및 그래프: 2025년 1분기
 

통계 및 그래프: 2025년 2분기

통계 및 그래프: 2025년 3분기
 

통계 및 그래프: 2025년 4분기
 

개요

2025년 Web3 생태계는 새로운 활성화 국면에 진입하였습니다. 이는 우호적인 거시경제 환경, 지속적으로 개선된 시장 심리, 그리고 미국의 보다 친화적인 암호자산 정책 기조에 힘입은 결과로 평가됩니다. 미국의 새로운 정부는 출범 초기부터 디지털 자산을 규제의 예외 대상이 아닌 전략적 혁신 분야로 인식하고 있다는 신호를 분명히 했으며, 이러한 입장은 개발자와 투자자들의 신뢰 회복에 중요한 역할을 했습니다. 또한 탈중앙화 애플리케이션(DApp)은 결제, 게임, 자산 토큰화, 신원 인증 등 다양한 영역으로 활용 범위를 확장하며, 가상자산이 일상적 사용 사례에서 지니는 실질적 효용성을 입증하고 있습니다. 다만 생태계가 성장하는 동시에 위협 환경 역시 더욱 고도화되고 있으며, 공격자들은 기술적 수단과 사회공학적 기법을 지속적으로 정교화하고 있습니다.
 

2025년과 2024년의 전년 대비 데이터를 살펴보면 리스크 양상의 변화가 보다 분명히 드러납니다. 2025년 총 피해액은 33.53억 달러로, 2024년의 24.46억 달러 대비 약 37.06% 증가했습니다. 그러나 연간 피해의 대부분을 차지한 Bybit 사건(약 14.47억 달러 손실)을 제외할 경우, 실제 산업 전반의 탈취 자금 규모는 오히려 2024년보다 감소한 것으로 나타납니다. 이러한 대비는 하나의 핵심적인 흐름을 시사합니다. 소규모 공격은 여전히 빈번하게 발생하고 있으나, 공격자들은 점차 수는 적지만 파급력이 훨씬 큰 고가치 공격에 자원을 집중하고 있습니다. Bybit 사건은 자금력과 조직력을 갖춘 위협 행위자들이 Web3 생태계 내에서 점점 더 적극적으로 활동하고 있음을 보여주는 대표적인 사례입니다.

한편, 공급망 공격으로 분류되는 Bybit 사건을 제외할 경우, 피싱 공격이 2025년의 주요 공격 유형으로 부상합니다. 피싱 공격은 총 248건, 약 7.23억 달러의 피해를 초래했으며, 그 다음으로는 코드 취약점 공격이 240건, 약 5.55억 달러의 손실을 기록했습니다. 다만 코드 취약점 공격의 경우, 탈취된 자금의 47% 이상이 동결 또는 회수된 것으로 집계되었으며, 이는 본 보고서 후반부에서 상세히 다룰 Cetus 사건과 같은 사례를 통해 확인할 수 있습니다.

인공지능(AI)은 2025년 Web3 보안 분야에서 가장 결정적인 기술 중 하나로 부상했으며, 공격자와 방어자 양측 모두에 의해 광범위하게 활용되고 있습니다. 방어 측면에서는 개발자들이 AI 기반 도구를 활용해 테스트 케이스를 생성하고, 스마트 컨트랙트의 비효율 요소를 식별하며, 보안 감사 프로세스를 최적화하고 있습니다. 반면 공격자들 역시 AI 기술을 본격적으로 도입하며 대규모·자동화된 공격 전략을 전개하고 있습니다. 주요 동향은 다음과 같습니다.
 

- AI가 생성한 피싱 웹사이트 및 지갑 팝업이 실제 서비스와 매우 유사한 수준의 UI·UX를 구현

- 다국어 자동화 피싱 공격 캠페인의 확산(후속 장에서 상세 분석)

- AI 기반 정보 수집 활동: 공격자가 온체인 활동 데이터와 커뮤니티 채팅 내용을 수집·분석해 고가치 표적을 정밀하게 선별

- 보다 정교한 사칭 공격: 프로젝트 창립자 계정을 위조하거나, 딥페이크(deepfake) 기술을 활용한 사기 수법 등장

- 취약점 악용 코드의 신속한 복제·확산: AI 도구를 활용해 짧은 시간 내에 대량의 ‘복제형’ 공격 기법을 생성

한편, 2025년에는 전 세계적으로 디지털 자산 규제의 투명성 또한 지속적으로 개선되고 있습니다. 미국에서는 GENIUS 법안이 디지털 자산 투명성과 스테이블코인 규제에 대한 초기적 연방 프레임워크를 확립했으며, 동시에 혁신을 지지하는 협력적 규제 기조를 분명히 드러냈습니다. 이러한 정책 변화는 보다 명확해진 세제 지침과 수탁 규칙과 맞물려, 개발자와 기관 투자자들에게 그동안 요구되어 왔던 규제 확실성을 제공하고 있습니다.

전 세계적으로도 규제 측면의 진전이 두드러지고 있습니다:
 

- 유럽연합(EU)은 「암호자산시장법(MiCA)」의 전면 시행을 지속적으로 추진하며, 자산 발행, 정보 공시, 소비자 보호 기준을 유의미하게 강화하고 있습니다.

- 싱가포르와 홍콩은 디지털 자산 규제 샌드박스의 적용 범위를 추가로 확대하고 있으며, 특히 토큰화 증권과 국경 간 결제 파일럿에 초점을 맞추고 있습니다.

- 브라질과 콜롬비아는 원자재 토큰화 분야에서 진전을 보이며, 온체인 농산물 및 광물 자산에 대한 감독을 강화하고 있습니다.

이러한 규제 및 기술적 진전은 Web3 생태계를 점진적으로 보다 구조화되고 조율된 거버넌스 체계로 이끌고 있으며, 이에 따라 프로젝트들은 아키텍처 설계, 컴플라이언스 전략, 운영 보안 전반에서 의사결정 방식의 변화를 겪고 있습니다.

2026년을 전망하면, 여러 가지 흐름이 Web3 보안의 다음 단계를 정의할 것으로 예상됩니다. 공격자들은 AI 기반 사칭 공격과 대규모 피싱 캠페인을 더욱 고도화할 가능성이 높으며, 공급망 공격의 복잡성 또한 지속적으로 증가할 것으로 보입니다. 특히 공격의 초점은 인프라 제공업체와 CI/CD(지속적 통합·지속적 배포) 파이프라인으로 이동할 가능성이 큽니다. 한편, 보다 성숙한 규제 체계의 정착, 실시간 모니터링 역량의 강화, 그리고 AI 기반 방어 도구의 광범위한 활용은 예방 가능한 리스크의 발생 가능성을 실질적으로 낮추는 데 기여할 것으로 기대됩니다.

Web3 보안 환경은 빠르게 진화하고 있으며, 궁극적으로 경쟁에서 우위를 확보하는 프로젝트는 보안을 모든 운영 의사결정의 중심에 두는 참여자가 될 것입니다. 즉, 기초 인프라 설계부터 사용자 경험에 이르기까지, 전 영역에서 보안을 최우선 가치로 내재화한 프로젝트가 시장에서 두각을 나타내게 될 것입니다.

글로벌 최대 Web3 보안 기업인 CertiK은 업계 최고 수준의 정형 검증(formal verification) 기술을 통해 Web3 생태계의 보안 기반을 강화하는 데 주력하고 있습니다. CertiK은 최첨단 학술 연구 성과를 실질적으로 적용 가능한 엔터프라이즈급 솔루션으로 전환해, 블록체인 프로토콜과 스마트 컨트랙트가 안전하고 규제에 부합하는 방식으로 확장될 수 있도록 지원하고 있습니다. 현재까지 CertiK은 5,000개 이상의 엔터프라이즈 고객에게 서비스를 제공했으며, 6,000억 달러 이상의 디지털 자산을 보호하고, 18만 건 이상의 코드 취약점을 발견했습니다. 주요 고객으로는 Aptos, Ripple, The Sandbox, Polygon, BNB Chain, TON 등 업계를 선도하는 프로젝트들이 포함되어 있습니다. 또한 CertiK은 설립 이후 세쿼이아(Sequoia), 힐하우스(Hillhouse), 순웨이 캐피탈, 골드만삭스 등 12개 이상의 글로벌 최상위 투자 기관으로부터 투자를 유치했으며, 최고 기업 가치는 20억 달러에 달합니다.

피싱 공격: 2025년 가장 흔한 공격 유형

피싱 공격은 2025년 전체 피해 규모 측면에서 가장 큰 손실을 초래한 공격 방식은 아니었으나, 총 248건의 발생 건수로 기록상 가장 빈번하게 발생한 공격 유형으로 집계되었으며, 공급망 공격이나 코드 취약점 공격을 상회했습니다. 피싱 공격으로 인한 총 피해액은 약 7.23억 달러에 달했으며, 이는 Web3 보안 분야에서 오랫동안 반복되어 온 구조적 문제를 다시 한 번 확인시켜 줍니다. 즉, 공격자들은 프로토콜 로직이나 기술적 취약점을 공략하기보다, 인간의 신뢰와 심리를 악용하는 저비용·고빈도 공격 방식을 선호하고 있습니다.
 

다만 본 보고서에 포함된 피싱 공격 통계는 비교적 보수적으로 산정된 수치라는 점을 유의할 필요가 있습니다. 다수의 피싱 관련 사건은 실제로 보고되지 않으며, 특히 피해 규모가 소액이거나 개인 사용자를 대상으로 한 사건, 또는 전통적인 ‘해킹’ 범주에 포함되지 않는 사기 유형의 경우 누락되는 사례가 많습니다. 본 보고서의 데이터셋에는 돼지 도살형 사기(pig butchering), 물리적 강압 공격(wrench attacks), 고압적 투자 사기(high-pressure investment scams), 혹은 완전히 오프체인에서 이루어진 사회공학적 사기는 포함되지 않았습니다. 이러한 유형의 사기 수법은 암호자산 분야에서 여전히 광범위하게 존재하고 있습니다. 향후 사건 보고 기준이 더욱 정교해지고, 더 많은 생태계가 공식적인 사고 공개 메커니즘을 도입하게 되면, 「Skynet Hack3D Web3 보안 보고서」는 피싱 공격으로 인한 실제 피해 규모를 보다 포괄적으로 반영할 수 있을 것으로 기대됩니다.

대규모 자원 투입과 인프라 방어 체계의 우회가 요구되는 공급망 공격과 달리, 피싱 공격은 진입 장벽이 매우 낮은 공격 방식입니다. 공격자들은 이미 검증된 공격 스크립트를 반복 활용할 수 있으며, 공격 기법을 빠르게 변형·확장해 불과 몇분만에 대규모 대상에게 접근할 수 있다는 점에서 여전히 매력적인 공격 수단으로 활용되고 있습니다.

2025년은 AI 보조 피싱 공격이 본격적으로 전환점을 맞이한 해이기도 합니다. 공격자들은 점점 더 적극적으로 AI 도구를 활용해 다음과 같은 목적을 달성하고 있습니다.
 

- DApp, 지갑 팝업, 고객 지원 포털 등 실제 서비스와 거의 구분이 어려운 수준의 가짜 인터페이스 생성

- 수집된 온체인 데이터와 소셜미디어 정보를 활용해 개인 맞춤형 표적 메시지 생성

- 다국어 자동화 피싱 공격을 통해 언어 장벽을 넘어, 기존에 주요 표적이 아니었던 사용자 집단까지 공격 범위 확대

- 사회공학 공격의 대규모·고속 확산 구현

이러한 변화는 피싱 공격의 정교화·확장성·효율성을 동시에 끌어올리며, Web3 보안 환경에 새로운 도전 과제를 제시하고 있습니다.

 피싱 공격 예방법

1. 지갑에 표시되는 모든 요청을 고위험 작업으로 간주하십시오: 도메인, 컨트랙트 주소, 요청된 작업의 진위를 항상 검증해야 합니다. 피싱 공격은 종종 일반적인 승인(approval) 서명 요청으로 위장해 공격을 수행합니다.
 

2. 다중 인증·서명 메커니즘을 적용하십시오: 하드웨어 지갑, 멀티시그 승인 요건, 트랜잭션 시뮬레이션 도구 등을 활용해 자금 이동 작업에 추가적인 검증 단계를 마련해야 합니다.
 

3. DM(개인 메시지)으로 고객 지원을 받지 마십시오: 정상적인 프로젝트는 사용자에게 먼저 DM을 보내 고객 지원을 제공하지 않습니다. 사용자는 선제적으로 도착한 모든 DM을 검증 전까지 악성 메시지로 간주해야 합니다.
 

4. 공식 채널을 통해 공지를 교차 검증하십시오: Discord, Telegram, X, GitHub, 공식 웹사이트 등 여러 공식 채널에서 정보를 교차 확인한 뒤에야 새로운 컨트랙트와 상호작용하거나 ‘긴급 업그레이드’와 같은 작업을 실행해야 합니다.
 

5. 승인(Approval) 권한을 지속적으로 모니터링하고 정기적으로 철회하십시오: 지갑 승인 권한을 상시 점검하고 불필요한 권한은 주기적으로 회수하면, 서명 유출로 인한 피해 범위를 줄일 수 있습니다.
 

6. 팀 차원의 사회공학 공격 대응 교육을 강화하십시오: 프로젝트 팀의 보안 교육과 표준화된 커뮤니케이션 정책은 내부 피싱 리스크를 크게 낮출 수 있으며, 특히 대규모 업그레이드나 비상 상황에서 중요합니다.
 

7. 엔드포인트 보안 및 안티피싱 보호 도구를 도입하십시오: 피싱 공격은 종종 Web3 플랫폼 외부에서 시작됩니다(예: 이메일 침해, 브라우저 하이재킹, 악성 확장 프로그램 설치 등). 따라서 전통적인 사이버보안 대응도 여전히 필수적입니다.

피싱 공격 관련 추가 자료
 

「2025 가상자산 보안 가이드」

피싱 공격이 지속적으로 증가하는 상황에서, 모든 Web3 참여자는 가상자산을 보호하기 위한 기본적인 보안 지식을 숙지할 필요가 있습니다. 본 가이드는 피싱 공격을 예방하기 위한 핵심 전략과 함께, 실제 사용자들이 자주 빠지는 대표적인 보안 함정을 상세히 소개합니다.

Trap Phishing on Trusted Platforms: A New Phishing Trend in The Web3 World

이 유형의 공격은 사용자를 잘 알려진 플랫폼의 공식 웹사이트에서 벗어나도록 유도한 뒤, 피싱 사이트로 연결해 사기를 실행하는 방식입니다. 공격자는 거래소나 마켓플레이스의 보안 검증 절차를 우회해, 사용자 신뢰도가 높은 Web3 환경에 피싱 링크나 악성 NFT를 배치함으로써 경계심을 낮춥니다. 그 결과 피해자는 인지하지 못한 채 악성 소프트웨어를 다운로드하게 되고, 계정 자격 증명이 탈취되거나 암호자산이 도난당하는 피해로 이어집니다.

《Ice Phishing 상세 분석》

Ice Phishing은 Web3 생태계에 특화된 고위험 피싱 공격 유형으로, 커뮤니티 전반에 심각한 위협을 가하고 있습니다. 이 공격은 사용자의 개인 키나 니모닉 문구를 탈취하지 않고도, 자산 이동 권한을 승인하도록 유도하는 방식이 특징입니다. 피해자는 정상적인 승인 요청으로 오인해 서명하게 되며, 그 결과 토큰과 NFT가 공격자의 지갑으로 이전됩니다.이러한 Ice Phishing 공격으로 인해 이미 수백만 달러 규모의 자산 피해가 발생한 바 있습니다.

Bybit 사건 분석: 14억 달러 손실의 전말

2025년 2월 21일, 암호화폐 거래소 Bybit은 사상 최대 규모의 가상자산 도난 사건을 겪었으며, 피해 규모는 약 14억 달러에 달했습니다.

이번 공격은 북한 국가 지원 해커 조직인 ‘라자루스 그룹(Lazarus Group)’에 의해 수행되었습니다. 공격자는 Bybit의 내부 시스템을 직접 침해하지 않고, Bybit이 핵심 거래 보안을 위해 사용하던 제3자 멀티시그 지갑 서비스 제공업체인 Safe{Wallet}을 공격 대상으로 삼았습니다.
 

해커들은 Safe{Wallet} 소속 개발자 한 명의 기기를 침해한 뒤, 지갑 관리 인터페이스에 악성 JavaScript 코드를 삽입했습니다. 이 악성 코드는 멀티시그 승인 절차 중 Bybit 직원이 승인한 정상 거래를 은밀히 변조해, 자금이 공격자가 통제하는 주소로 이전되도록 조작했습니다. 그 결과, 다수의 승인자를 요구하도록 설계된 멀티시그 보안 메커니즘이 우회되었습니다.

자금 탈취 이후, 공격자들은 추적을 회피하기 위해 도난 자산을 다수의 지갑, 여러 블록체인 네트워크 및 탈중앙화 거래소(DEX)로 신속히 분산시켰습니다. Bybit의 내부 보안 시스템 자체는 침해되지 않았으며, 이번 공격은 Safe{Wallet} 사용자 인터페이스(UI)의 취약점을 악용해 서명 승인자가 악성 거래임을 인지하지 못한 채 승인하도록 유도한 것이 핵심이었습니다.
 

이와 같은 고도화된 조작 기법을 통해 라자루스 그룹은 멀티시그 지갑의 보안 장치를 성공적으로 우회했습니다. 현재 Bybit은 업계 전문가들과 협력해 도난 자산 추적 작업을 진행 중이며, 동시에 자산 회수를 위한 현상금 프로그램도 가동하고 있습니다.

Bybit 사건에 대한 보다 상세한 기술적 분석은 전문 분석 기사 「Bybit 사건 분석」을 통해 확인할 수 있습니다.

기타 주요 보안 사건

피싱 피해자(bc1qxjp): 약 3.3억 달러 손실

온체인 조사자 ZachXBT의 공개에 따르면, 2025년 4월 한 비트코인 고래 계정이 사회공학 공격을 당해 약 3.3억 달러의 피해를 입었습니다. 공격자는 6개 인스턴트 익스체인지(instant exchange)를 통해 자금을 세탁한 뒤, 탈취한 비트코인을 모네로(XMR)로 전환했습니다. 사건 이후 ZachXBT와 바이낸스의 협조로 700만 달러 이상의 자산이 동결되었으며, 용의자 2명이 특정된 것으로 알려졌습니다.

Cetus: 약 2.25억 달러 손실

2025년 5월 22일, Sui 블록체인 최대 탈중앙화 거래소(DEX)인 Cetus Protocol이 심각한 보안 취약점을 악용당해, 약 2.25억 달러 규모의 다양한 디지털 자산이 탈취되었습니다. 공격자는 해당 프로토콜의 스마트 컨트랙트 아키텍처 내 취약점을 이용해 유동성 풀 메커니즘을 집중적으로 공략했습니다.
 

구체적으로 해커는 위조 토큰을 배포하고 가격 곡선을 조작함으로써 플랫폼에서 대규모 자금을 인출하는 데 성공했습니다. 다만 Sui 검증자들이 거버넌스 제안을 통해 사용자 자금 보상 절차를 개시했고, 현재까지 1.62억 달러 상당의 도난 자산을 동결 및 회수한 것으로 보고되었습니다.
 

Balancer: 약 1.13억 달러 손실

2025년 11월 3일, Balancer 프로토콜과 그 포크 프로젝트인 Beets 및 Bex가 취약점 공격을 받아, 초기 기준으로 총 약 1.3억 달러의 손실이 발생했습니다. 이번 공격은 Balancer의 배치 스왑 로직에서 발생한 정밀도 결함에서 비롯되었으며, 공격자는 해당 취약점을 이용해 유동성 풀의 가격 산정 모델을 조작하고, 컨트랙트 내에 보유 중이던 내부 토큰 잔액을 인위적으로 부풀렸습니다. 공격자는 반복적인 거래를 통해 잔액을 확대시킨 뒤, manageUserBalance() 함수를 활용해 자금을 인출하는 방식으로 공격을 완성했습니다.

최종적으로 Balancer는 약 1.13억 달러, Beets는 약 380만 달러, Bex는 약 1,240만 달러의 손실을 각각 입었습니다. 초기 피해 규모는 약 1.3억 달러에 달했으나, 화이트햇 해커들의 협조와 자산 동결·회수 조치를 통해 현재 기준 실제 손실액은 약 9,640만 달러 수준으로 감소한 것으로 집계되었습니다.

Balancer 사건에 대한 보다 상세한 기술적 분석은 전문 블로그 「Balancer 취약점 사건 분석」을 참고하시기 바랍니다.

개인 사용자 리스크 및 예방 조치

앞서 언급한 주요 사건 외에도, 2025년에는 공격자들이 점차 개인 사용자를 주요 표적으로 삼는 경향이 두드러졌습니다. 개인 사용자는 일반적으로 보안 대비가 상대적으로 취약하며, 이로 인한 피해는 과소평가되거나 아예 보고되지 않는 경우가 많기 때문입니다. 특히 돼지 도살형 사기나 고압적 투자 사기와 같은 유형은 공식 통계에 거의 반영되지 않고 있습니다.

AI 기술의 확산과 함께 피싱 공격 수법은 한층 더 정교화되었습니다. 공격자들은 딥페이크(Deepfake)와 음성 모방 기술을 활용해 신뢰를 조작하는 공격을 수행하고 있으며, 2025년에는 가상자산 보유자를 대상으로 한 물리적 강압 공격(wrench attacks) 또한 크게 증가했습니다. 이는 거래소 데이터베이스 유출로 인해 수백만 명의 보유자 신원 정보가 노출되고, 해당 정보가 지리적 위치 데이터와 결합되면서 발생한 결과로 분석됩니다.

최선의 방어는 보안 교육에서 시작됩니다: 주요 공격 유형을 이해하고, 신뢰할 수 있는 채널을 통해 최신 정보를 적시에 확보해야 합니다. 이를 바탕으로 보유자는 자산을 노출 리스크 수준이 서로 다른 여러 지갑에 분산 보관하여, 단일 키 또는 계정 유출이 모든 자금의 리스크로 이어지지 않도록 해야 합니다. 또한 이러한 전략은 엄격한 접근 통제 조치와 병행되어야 합니다: 고유하고 복잡한 비밀번호를 사용하고, 비밀번호 관리 도구를 활성화하며, 이중 인증(2FA)을 적용해야 합니다. 마지막으로 사용자는 개인 정보의 공개를 제한하고, 서명 승인 전에 URL, 주소, 권한 요청을 하나씩 반드시 검증해야 합니다.

CertiK 2025년 주요 성과

2025년은 CertiK에게 있어 의미 있는 성과가 축적된 한 해였으며, 다양한 영역에서 중요한 진전을 이루었습니다.

- Token Scan을 ChainGPT 및 바이낸스 월렛과 연동하였습니다.

- Skynet 2025년 상반기 스테이블코인 종합 보고서」를 발간하여, 스테이블코인 시장 구조, 잠재적 취약점, 그리고 CertiK Skynet 보안 점수가 스테이블코인 안전성 평가에 어떻게 활용될 수 있는지를 분석하였습니다.

- 「2025 Skynet RWA 보안 보고서」를 발표하여, 실물연계자산(RWA) 프로토콜에 대한 실사 및 리스크 평가를 위한 구조화된 기준을 제시하였습니다.

- 「2025 Skynet 한국 Web3 보안 및 생태계 보고서」를 통해 한국 Web3 시장의 전반적 구조와 주요 플랫폼의 발전 현황을 종합적으로 조망하였습니다.

- 「CertiK 2025 Skynet 디지털자산 트레저리(DAT) 보고서」를 발간하고, 표면적 지표를 넘어 디지털 자산의 운영 무결성을 심층 평가하는 Skynet DAT 보안·컴플라이언스 프레임워크를 제시하였습니다.

- 「2025 Skynet 미국 디지털 자산 정책 보고서」를 발표하여, 미국의 GENIUS 법안과 CLARITY 법안의 법적 메커니즘, 시장 구조에 대한 영향, 운영 요건을 체계적으로 정리하였습니다.

- Canton Network 상 USDCx의 발행·소각프로세스에 대한 종합 보안 평가를 완료하였으며, 여기에는 온체인 Daml 스마트 컨트랙트 감사와 오프체인 인프라에 대한 모의 해킹이 포함되었습니다.

- CertiK SkyNode 노드 서비스를 공식 출시하여, 다중 퍼블릭 블록체인 생태계의 신뢰성·보안성·성능 향상을 지원하고 있습니다.

- 앤트그룹 산하 Ant Digital Technologies와 협력하여 Asterinas 운영체제 핵심 구성요소에 대한 정형 검증 연구 성과를 공동 발표하였습니다.

- CertiK 공동 창업자인 샤오 중(Shao Zhong) 교수가 LiDO 프레임워크를 제안하여, 복잡한 비잔틴 장애 허용(BFT) 합의 프로토콜에 대해 기계적으로 검증 가능한 안전성·활성성 증명을 제공하고, Web3 생태계의 신뢰성과 확장성을 위한 이론적 기반을 마련하였습니다.

- 이더리움 재단으로부터 두 건의 연구 지원금을 수주하며, 영지식 이더리움 가상머신(zkEVM) 정형 검증 분야에서 선도적 위치를 확립하였습니다.

- 보안 관점에 초점을 둔 Skynet 리더보드를 출시하여, 암호화폐 및 Web3 프로젝트의 보안 수준을 분석·비교할 수 있는 플랫폼을 제공하였습니다.

- BNB Chain, Sui 등 Layer 1 블록체인을 위한 생태계 특화 전시형 리더보드를 선보이며, 주요 퍼블릭 체인 생태계에 대한 전략적 지원과 프로젝트 가시성을 강화하였습니다.

CertiK 전 생애주기 제품 및 서비스

Web3 위협 환경과 규제 요건이 지속적으로 진화함에 따라, 보안은 더 이상 개별 감사나 사후적 사고 대응에 국한될 수 없는 영역이 되었습니다. 이러한 환경 속에서 CertiK은 기관급 Web3 도입을 지원하는 동시에, 프로젝트가 초기 단계부터 성숙 단계에 이르기까지 전 주기에 걸쳐 활용할 수 있는 종합 보안 솔루션을 구축해 왔습니다. 아래는 CertiK의 전주기 제품 및 서비스에 대한 개요입니다.

CertiK 보안 감사 서비스는 업계 선도적인 보안 감사 방법과 보안 도구를 활용하여, 정형 검증 기술, AI 기술, 그리고 보안 전문가 팀의 수동 감사를 결합하여 개발자에게 코드 보안을 제공합니다. 이 서비스는 이더리움, BNB Chain, Polygon 등 주요 Web3 생태계를 포괄합니다.

모의 해킹 서비스는 해커의 공격을 시뮬레이션하여 시스템, 네트워크 또는 애플리케이션의 보안 취약점을 찾아내는 것을 목표로 합니다. CertiK은 이러한 적극적인 테스트 방식을 통해 고객이 잠재적인 보안 문제를 사전에 식별하고 해결하여 시스템 보안을 강화할 수 있도록 지원합니다.

Skynet Enterprise는 CertiK이 제공하는 기업용 핵심 보안 플랫폼으로, 규제 기관과 대형 기관 고객이 요구하는 투명성, 리스크 가시성, 데이터 신뢰성을 충족하는 것을 목표로 설계되었습니다. 본 플랫폼은 기관급 보안 및 리스크 인프라를 제공함으로써, 기업과 규제 당국 간의 상호 보완적 협력 구조 형성을 지원합니다. Web3 진출을 추진하는 기관의 경우, Skynet Enterprise는 통합 대시보드를 통해 아키텍처 설계, 컴플라이언스 성숙도, 리스크 노출 수준 등 핵심 지표를 포함한 정량적 준비도 평가를 제공합니다. 동시에 규제 기관에는 맞춤형 집계 뷰를 제공하여 보안 점수 모니터링, 실시간 리스크 변화 추적, 생태계 트렌드 분석을 가능하게 하며, 이를 통해 보다 투명하고 추적 가능하며 회복 탄력성을 갖춘 디지털 자산 시장 조성에 기여하고 있습니다.

Skynet Community는 Web3 사용자를 위한 원스톱 보안 플랫폼으로, 보안 분석, 실시간 알림, 실사, 데이터 인사이트를 하나로 통합해 제공합니다. 또한 플랫폼은 커뮤니티 운영을 위한 전방위 지원 툴킷을 제공하며, 주요 구성은 다음과 같습니다:

- 퀘스트는 커뮤니티에 독특한 학습 및 보상 기회를 제공합니다. 사용자는 Web3 보안 주제의 인터랙티브 학습 모듈에 참여하여 Web3 보안 지식을 배우고 보상을 받을 수 있습니다.

- 펄스는 수천 개의 정보 출처를 필터링하여 Web3 커뮤니티에 최신 트렌드와 뉴스를 제공합니다.

- 토큰 스캔은 커뮤니티가 토큰의 안전성을 쉽게 평가할 수 있도록 도와줍니다. 사용자는 토큰의 컨트랙트 주소를 입력하기만 하면 빠른 분석을 통해 러그풀을 포함한 잠재적 위험을 식별할 수 있습니다.

- 지갑 스캔은 고위험 지갑 권한을 스캔하여 취약한 권한을 감지함으로써 사용자의 디지털 자산을 안전하게 보호합니다.

- 스마트 캘린더는 중요한 사건을 추적할 수 있는 동적이고 사용하기 쉬운 도구로, 사용자가 정보를 제때 파악하고 투자에 영향을 미칠 수 있는 전략적 결정을 내리는 데 도움을 줍니다.

보안 컨설팅 서비스는 Web3 프로젝트와 기관 고객을 대상으로 맞춤형 컴플라이언스 자문, 기술적 실사, 보안 연구, 전략 컨설팅을 제공하며, 고객이 보다 안전하고 선제적인 비즈니스 의사결정을 내릴 수 있도록 지원합니다.

KYC 신원 인증 서비스는 Web3 생태계에 특화된 신원 확인 및 실사 솔루션으로, 암호화 프로젝트 팀에 대해 강력한 제3자 검증을 제공합니다. 이를 통해 프로젝트 팀은 개인정보를 노출하지 않으면서도 투명성을 제고하고, 커뮤니티 및 투자자와의 신뢰를 효과적으로 구축할 수 있습니다.

SkyNode는 다수의 퍼블릭 블록체인 생태계에서 운영되는 검증 노드 서비스로, 네트워크의 신뢰성, 보안성, 성능 향상을 목표로 합니다. 현재 SkyNode는 12개 이상의 퍼블릭 체인에서 검증 노드 또는 풀 노드 배포를 지원하고 있으며, 지금까지 12억 달러 이상의 토큰 자산 보안을 보호해 왔습니다. 또한 연중무휴 실시간 모니터링과 고급 맞춤형 API 데이터 서비스를 제공해, 고객의 블록체인 비즈니스가 안정적이고 효율적으로 운영될 수 있도록 지원합니다.

SkyInsights는 실시간 거래 모니터링, 자금세탁방지/테러자금조달방지(AML/CTF) 컴플라이언스 솔루션, 그리고 리스크 분석 기능을 제공하여, 가상자산 서비스 제공자(VASP)가 관련 규제 요건을 충족할 수 있도록 지원합니다.

CertiK 버그 바운티는 수수료가 없는 완전 관리형, 엔드 투 엔드 지원을 제공하는 Web3 취약점 보상 플랫폼입니다.

CertiK이 지원하는 생태계: CertiK의 보안 감사 및 전 생애주기 보안 솔루션은 대부분의 생태계에서 널리 활용되고 있습니다. 현재 CertiK이 협력하고 있는 생태계는 다음과 같습니다.

• Algorand

• Aptos

• Arbitrum

• Avalanche

• BNB Chain

• Cardano

• Cosmos

• Cronos

• Ethereum

• Fantom

• Ferrum

• Harmony

• IoTeX

• Near

• OKTC

• Optimism

• Polkadot

• Polygon

• Solana

• Terra

• TON

• Tron

• WEMIX

• zkSync