21억 달러 도난 사고

21억 달러의 유출

2025년 초, TRM 랩스가 발표한 보고서는 DeFi 생태계에 충격을 주었습니다. 단순히 여섯 달 동안만 해도 디지털 자산 21억 달러 이상이 도난당했습니다.

이는 단순한 숫자가 아닙니다. 모든 블록체인 탐색기에서 울리는 적색 경보입니다. 그리고 핵심은, 이 손실의 80% 이상이 스마트 계약 버그나 루그풀이 아닌, 기초 인프라 공격 — 즉 개인키 유출과 프론트엔드 취약점 — 에서 비롯되었다는 점입니다.

제가 처음 이 데이터를 접했을 때 생각했습니다. ‘진짜 이렇게 되고 있나요?’ 탈중앙화와 자율 관리라는 가치를 외치며 오랜 시간이 흘렀는데도 불구하고, 사람들은 여전히 시드 키를 스티커에 써두거나 클라우드 백업을 너무 믿고 있습니다.

네, 그렇습니다. 더 나쁘게는 평균적으로 인프라 공격은 다른 형태보다 열 배 이상의 피해를 낳습니다.

개인키: 여전히 우리의 약점

솔직히 말하자면, 당신의 개인키는 은행 창고의 마스터 조합과 같습니다. 그런데도 매일 사용하면서 비밀로 유지해야 합니다.

프론트엔드 공격은 간단한 진실을 이용합니다. 사용자는 직접 블록체인과 상호작용하지 않습니다. 지갑은 웹사이트나 앱을 통해 접근합니다. 만약 공격자가 해당 인터페이스(예: 악성 JavaScript 삽입)를 해킹하면, 당신이 ‘보내기’ 버튼을 누르기 전에 자금이 이미 재배치됩니다.

이는 가정이 아닙니다. 지난달 단 한 달 동안 세 곳의 주요 DEX 프론트엔드가 공급망 스타일 코드 삽입으로 해킹되었습니다 — 모두 하나의 컴포넌트 패키지가 이미 손상되었기 때문입니다.

반면 개인키 유출은 여전히 만연합니다. ‘간단히 스티커에 적어둘까’ 또는 ‘클라우드 백업은 믿어도 될 것 같아’라는 생각 때문에 매번 작은 범죄로 시작되는 경우가 많습니다.

피해는 돈뿐 아니라 신뢰다

돈 외에도 심리적 피해는 막대합니다. 가짜 지갑 UI로 속임당하거나 비밀번호 유출로 자산을 잃으면 신뢰는 서서히 무너집니다.

Web3은 단순한 편리함을 위한 것이 아니라 신뢰 없는 시스템으로 설계되었습니다 — 바로 당신 자신이 자신의 키를 관리하기 때문입니다.

하지만 모든 공격이 인간 실수나 불완전한 인터페이스에서 시작된다면 정말 누가 시스템을 소유하고 있을까요?

더 나은 도구 필요합니다: 소규모 프로젝트라도 필수적인 프론트엔드 감사 절차, MetaMask처럼 악성 코드 삽입 탐지 기능 포함된 브라우저 확장 프로그램, 그리고 기술에 익숙하지 않은 일반 사용자를 대상으로 한 교육 캠페인 — 개발자뿐 아니라 일반 사용자에게도 필요한 것입니다.

오늘 할 수 있는 일 (공황 대신)

제가 제시하는 현실적인 체크리스트:

• $500 이상 자산은 하드웨어 지갑으로 보관하세요.
• 시드 키를 복사해 어디에도 붙여넣지 마세요 — 자동완성 기능 있는 메모장조차 금물입니다.
• 지갑 연결 전 항상 웹사이트 URL을 다시 확인하세요 (작은 오타 하나만으로 큰 손해).
• OpenZeppelin Defender 같은 도구를 활용해 계약 배포 모니터링 및 이상 탐지 초기화하세요.
• 앱 개발 중이라면 모든 프론트엔드 컴포넌트를 이미 침투된 상태라고 가정하고 설계하세요 (접근 포인트부터 보안 고려).

결론: 인프라는 왕이다 (그리고 우리는 실패 중)

crypto 혁신의 다음 물결은 더 빠른 L1이나 새로운 토큰 모델에서 오지 않습니다. The 가장 중요한 취약점은 이제 스마트 계약이 아니라 사람과 시스템 사이에서 어떻게 노출되는지를 다루는 문제입니다. The 진정한 안전한 시스템이라면 어떤 실수라도 발생하더라도 사용자가 의도치 않게 파괴할 수 없도록 만들어야 합니다.