출처: 토큰포스트
2025년 1분기 Web3 생태계에서 발생한 온체인 보안 사고로 인한 손실액이 16.69억 달러에 달하며 사상 최고치를 기록했다. 블록체인 보안 기업 서틱 리서치(CertiK Research)의 최근 보고서에 따르면, 이 수치는 전 분기 대비 303% 증가한 수치로, 단 한 분기만에 2024년 전체 피해액의 3분의 2를 넘어서 업계의 우려를 사고 있다. 특히, Bybit에서 발생한 단일 사건만으로 피해액이 14.5억 달러에 이르며, 중앙화 거래소 보안 체계의 심각한 취약성이 드러났다.
보고서에 따르면, 이번 분기 발생한 197건의 보안 사고 중 가장 큰 피해를 낳은 공격 유형은 ‘지갑 해킹’으로 집계됐다. 단 3건의 공격으로 14.51억 달러가 도난돼 전체 피해액의 대부분을 차지했다. 서틱 리서치는 Safe{Wallet} 개발자의 단말기 해킹을 통해 이더리움 콜드 월렛이 노출된 Bybit 사건을 중심으로, 거래 승인 체계의 취약점을 집중 조명했다. 이 사건은 악성 업그레이드된 스마트 컨트랙트가 멀티시그 지갑의 서명 프로세스를 우회하는 방식으로 실행됐으며, UI 기반 서명 유도 기법이 결정적이었다.
개인 키 유출 또한 큰 문제로 부상하고 있다. 지갑 설계에 내재된 구조적 취약점으로 인해 총 15건의 사고가 발생했으며, 이로 인한 손실액은 약 1.42억 달러로 집계됐다. 회수된 자금은 단 639만 달러로 전체 피해의 0.38%에 불과했으며, 이는 지난 분기 회수율(42.09%) 대비 급감한 수치다. 서틱 리서치는 특히 2025년 2월 한 달간 회수된 도난 자금이 ‘0’ 건에 그쳤다는 점을 강조하며, 효율적인 리커버리 체계 부재를 지적했다.
이더리움(ETH)은 여전히 공격자들의 주요 타깃으로 분석됐다. 총 98건의 보안 사건이 이더리움 네트워크에서 발생했으며, 이로 인한 피해액은 15.41억 달러에 달했다. DeFi 생태계의 중심인 이더리움은 스마트 컨트랙트 취약점, 권한 오용 문제, 브릿지 프로토콜의 구조적 위험 등 다층적인 공격 표면을 제공하며 공격자들의 집중 공략 대상이 되고 있다.
공격 방식의 고도화도 주목된다. 피싱 공격은 전체 사건 수 기준으로 가장 높은 비율을 기록했으며, 총 81건에서 1,579만 달러의 손실이 있었다. 보고서는 가짜 dApp, 악성 확장 프로그램, 딥페이크 기반의 신원 사칭 등 사회 공학적 기법이 피싱 피해의 주요 원인으로 분석했다. 특히 피싱은 건당 피해 규모는 작지만 빈도가 높아 누적 피해가 커지고 있다.
중앙화 거래소에 대한 신뢰도는 이번 분기로 들어서 더욱 하락했다. Bybit 외에도 Phemex가 개인 키 유출로 7,171만 달러를 탈취당했고, 0xInfini는 권한 관리 미비로 4,951만 달러의 손실을 입었다. 이들 사건은 트랜잭션 검증 절차의 불투명성과 스마트 컨트랙트의 관리자 권한 설정 문제를 다시금 부각시켰다.
보안 위협이 급증하는 가운데 글로벌 정책 당국은 암호화폐 규제 프레임워크를 빠르게 강화 중이다. 미국은 ‘암호화폐 전략적 비축’ 프로그램을 도입하고, SEC는 ‘암호화폐 태스크포스’를 신설해 산업 전반의 리스크 프로파일을 점검하겠다는 입장을 밝혔다. 유럽은 ‘암호자산 시장법(MiCA)’을 통해 기술 표준 및 책임 체계를 제도화하고 있다. 그러나 제도적 틀을 갖춘다 해도 즉각적인 보안 문제 해결에는 한계가 있는 상황이다.
한편, 향후 Web3 보안에 대한 기대는 기술적 진보에 모인다. 보고서는 영지식 증명(ZK), 온체인 포렌식, 다자간 계산(MPC) 기반 지갑 등의 혁신이 공격자보다 앞서가는 유일한 해법이 될 수 있다고 분석했다. 향후 몇 분기 동안 이러한 *보안 인프라 강화 노력*이 실제 피해 감소로 이어질 수 있을지가 업계의 지속 가능성을 가늠하는 지표가 될 전망이다. 서틱 리서치는 블록체인 생태계 전반에서의 구조적 보안 전환을 위한 공동 대응이 필요하다고 강조하고 있다.
