저자: Deep Tide TechFlow

4월 1일, 만우절.

솔라나 블록체인에서 가장 큰 무기한 계약 거래소인 드리프트 프로토콜(Drift Protocol)의 자산이 모두 소진되자, 커뮤니티의 첫 반응은 "멋진 만우절 농담이군"이었다.

이건 농담이 아닙니다. 오후 1시 30분경, 온체인 모니터링 계정인 Lookonchain과 PeckShield가 거의 동시에 경보를 울렸습니다. "HkGz4K"로 시작하는 낯선 지갑에서 Drift의 금고에서 자산을 엄청난 속도로 인출하고 있다는 내용이었습니다. 첫 번째 거래는 4,100만 개의 JLP 토큰으로, 1억 5,500만 달러에 달했습니다. 그 직후 5,160만 개의 USDC, 12만 5천 개의 WSOL, 16만 4천 개의 cbBTC 등 십여 개가 넘는 자산이 마치 마개를 뽑은 욕조에서 물이 쏟아지듯 빠져나갔습니다.

한 시간 만에 금고 자산은 3억 900만 달러에서 4100만 달러로 급락했습니다. 총 예치금의 절반 이상이 사라진 것입니다.

드리프트 팀은 X에 평소와 달리 매우 긴급한 어조의 트윗을 게시했습니다. "드리프트 프로토콜이 현재 공격을 받고 있습니다. 입출금이 중단되었습니다. 여러 보안 회사, 크로스체인 브리지 및 거래소와 협력하여 상황을 통제하고 있습니다."

그리고 암호학 역사에 길이 남을 명언이 등장합니다. "이것은 만우절 농담이 아닙니다."

하나의 열쇠로 모든 문을 열 수 있었다.

드리프트(Drift)에서 도난당한 정확한 금액은 출처마다 다릅니다. 펙쉴드(PeckShield)는 약 2억 8,500만 달러로 추산했고 , 아캄 종군평가기관(Arkham Park)은 2억 5,000만 달러 이상, 서틱(CertiK)은 초기 평가액으로 약 1억 3,600만 달러를 제시했습니다. 어떤 수치가 정확하든, 이는 2026년 들어 발생한 가장 큰 규모의 디파이(DeFi) 보안 사고입니다.

수치보다 더 주목할 만한 것은 공격 방식입니다.

PeckShield 설립자 장쉬시안은 Decrypt와의 인터뷰에서 Drift의 관리자 키가 "분명히 유출되었거나 손상되었다"고 직설적으로 밝혔습니다. 온체인 연구원들은 공격 영상을 분석하여 해커들이 Drift 프로토콜에 대한 특권 접근 권한을 획득하고, 이를 통해 금고 내 자금 흐름을 통제했음을 보여주었습니다.

다시 말해, 정교한 스마트 계약 악용이나 플래시론 공격, 오라클 조작은 없었습니다. 그저 가장 기본적인, 구식 보안 실패, 즉 누군가 개인 키를 분실한 것 뿐이었습니다.

더욱 불안한 점은 공격자들이 충동적으로 행동하지 않았다는 사실입니다. 온체인 데이터에 따르면 해당 지갑은 공격 8일 전 Near Intents를 통해 초기 자금을 입금받았고, 이후 활동을 멈춘 상태였습니다. 공격 일주일 전에는 Drift 금고에서 2.52달러의 소액 이체까지 받았습니다. 일종의 탐색, 즉 "문을 두드리는" 행위였습니다.

일주일 후, 문이 벌컥 열렸다.

암호화된 로빈후드의 몰락

드리프트의 공동 창립자인 신디 레오에게 4월 1일의 악몽은 유난히 잔혹한 의미를 내포하고 있었다.

이 말레이시아 화교 기업가의 이야기는 한때 솔라나 DeFi의 가장 고무적인 사례 중 하나였습니다. 그는 2016년 중국과 한국 간의 비트코인 ​​차익거래로 사업을 시작했고, 자체 펀드를 운영했으며, 이더리움 기반 파생상품 프로젝트에 참여했고, 2021년에는 데이비드 루와 함께 드리프트(Drift)를 공동 설립하여 솔라나의 속도 우위를 활용해 온체인 무기한 계약을 발행했습니다.

타임라인을 살펴보면, 드리프트는 거의 모든 흐름에 완벽하게 맞춰 움직였습니다. 2024년에는 폴리체인과 멀티코인이 주도한 두 차례의 투자 유치로 총 5,250만 달러를 확보했습니다. 폴리마켓에 도전하기 위해 예측 시장을 출시하고, 50배 레버리지를 도입했으며, 총 예치 자산(TVL) 5억 5천만 달러를 돌파하고, 누적 거래량 500억 달러를 넘어섰습니다. 포춘과의 인터뷰에서 레오 대표는 "암호화폐계의 로빈후드"가 되겠다는 야심찬 포지셔닝을 밝혔습니다.

이 비유는 이제 복잡한 감정을 불러일으킵니다. 로빈후드의 핵심 약속은 ​​일반인에게 월스트리트의 금융 도구에 대한 접근성을 제공하는 것입니다. 드리프트의 핵심 약속은 ​​사용자의 자금이 누구의 손도 거치지 않고 코드와만 상호 작용하는 온체인 기반의 "비수탁형" 거래 경험을 제공하는 것입니다.

하지만 코드 뒤에는 관리자 키가 숨겨져 있습니다. 그리고 이 키의 보안은 궁극적으로 암호화 기술이 아닌 사람에게 달려 있습니다.

여기에는 씁쓸한 역사적 우연이 하나 더 있습니다. 2022년, Drift v1 시절에 금고 하나가 털리는 사건이 있었습니다. 당시 개발팀은 매우 상세한 기술 보고서를 작성했고, 공격자가 단 한 번의 거래로 금고 전체를 비울 수 있는 방법을 보여주는 개념 증명 코드까지 공개했습니다. 이 사건으로 1,450만 달러의 손실이 발생했고, 개발팀은 사용자들에게 전액을 직접 배상했습니다.

4년 후, 똑같은 악몽이 20배 규모로 되풀이되었다.

분산된 신념, 중앙집권화의 치명적인 결함

드리프트라는 개념을 넘어 시야를 넓혀보면, 불안감을 자아내는 패턴이 나타나는 것을 발견하게 될 것입니다.

2025년 초, Resolv Labs의 AWS 키 관리 서비스가 해킹당했습니다. 공격자들은 특권 키를 이용해 대규모 USR 스테이블코인 발행을 승인했고, 이로 인해 여러 플랫폼에 걸쳐 연쇄적인 손실이 발생했습니다. 같은 해, 전체 암호화폐 도난액은 34억 달러라는 사상 최고치를 기록했습니다. Chainalysis 보고서는 특히 추세의 변화를 강조했는데, 가장 파괴적인 사건들이 인프라 수준에서 발생하고 있다는 점입니다. 해킹당한 개발자 컴퓨터, 클라우드에 저장된 단일 발행 키, 그리고 소셜 엔지니어링 공격의 표적이 된 서명 프로세스 등이 바로 자금을 빨아들이는 진정한 블랙홀입니다.

이제 드리프트를 추가하세요.

이러한 사례들을 종합적으로 살펴보면, 한 가지 결론을 내리는 것이 거의 불가피합니다. 바로 개인 키 보안이 스마트 계약 취약점을 제치고 DeFi에서 가장 큰 시스템적 위험 요소가 되었다는 것입니다.

여기에는 수십억 달러를 삼켜버릴 만큼 큰 인지적 격차가 존재합니다.

DeFi 프로토콜은 "탈중앙화", "비수탁형", "무신뢰성"이라는 특징을 내세웁니다. 자산은 코드로 안전하게 보관되며, 어떤 중개인도 사용자의 자금에 접근할 수 없습니다. 사용자들은 이러한 특징을 신뢰하고, 자금을 예치하며 "이건 수학적인 문제야"라고 생각합니다.

하지만 현실은 거의 모든 운영 중인 DeFi 프로토콜에 관리자 키, 업그레이드 권한, 볼트 제어, 비상 일시 중지 스위치와 같은 하나 이상의 "핵심 키"가 존재한다는 것입니다. 이러한 키는 보안(문제 발생 시 중단)을 위해서도, 유연성(계약 로직 업그레이드)을 위해서도 존재하지만, 본질적으로는 탈중앙화된 담론으로 포장된 중앙 집중식 신뢰 지점입니다.

사용자들은 자신이 코드와 상호작용하고 있다고 생각합니다. 하지만 실제로는 실수를 하지 않고, 피싱 공격에 넘어가지 않고, 강요에 굴복하지 않고, 늦은 밤 카페에 노트북을 두고 가지 않을 개인이나 소규모 그룹을 신뢰하고 있는 것입니다.

이는 드리프트만의 문제가 아니라, 디파이 산업 전체에 존재하는 구조적 모순입니다.

2억 8500만 달러는 어디로 갔을까요?

공격자의 온체인 행동은 깔끔하고 효율적이었으며, 프로 선수 못지않은 침착함을 보여주었습니다.

그는 드리프트 금고에서 자산을 인출한 후 대부분의 토큰을 스테이블코인으로 신속하게 전환하고 웜홀 크로스체인 브리지를 통해 이더리움 네트워크로 자금을 이더리움으로 전송했습니다. 이더리움에서 그는 스테이블코인 일부를 사용하여 약 19,913 ETH(약 4,260만 달러 상당)를 구매하고 나머지 자금을 여러 지갑 주소로 분산했습니다.

황당한 사실이 하나 있습니다. 공격자의 지갑에는 상당량의 Fartcoin이 있었는데, 이는 해당 토큰 총 공급량의 약 2.5%에 해당합니다. 올해 최대 규모의 DeFi 해킹 사건을 저지른 해커가 이제는 방귀를 뜻하는 밈 코인들을 손에 넣게 된 것입니다.

보도 시점 현재, 드리프트(Drift) 입출금은 여전히 ​​중단된 상태입니다. 드리프트 토큰은 공격 이전 약 0.072달러에서 현재 약 0.05달러까지 하락하여 28% 이상 떨어졌습니다. 사상 최고가인 2.60달러에서 누적 하락률은 98%를 넘어섰습니다. 팬텀 월렛(Phantom Wallet)은 드리프트에 접속하려는 사용자에게 경고 메시지를 표시하고 있습니다.

드리프트 팀은 도난당한 자금을 동결하고 추적하기 위해 보안 회사, 크로스체인 브리지 운영업체 및 중앙 집중식 거래소와 협력하고 있다고 밝혔습니다. 그러나 과거의 사례를 보면 크로스체인 브리지를 통해 전송되어 여러 지갑에 분산된 자금을 되찾을 가능성은 그리 높지 않습니다.

업계가 솔직하게 직면해야 할 문제

드리프트의 이번 행보는 업계가 가장 직면하고 싶지 않은 상처를 건드렸습니다.

체이나리시스는 2025년 말 보고서에서 디파이(DeFi) 보안이 "상당한 진전"을 이루었다고 낙관적으로 평가했습니다. TVL(총 예치 자산)이 1,190억 달러로 두 배로 증가했음에도 불구하고, 디파이 해킹으로 인한 손실은 실제로 감소하고 있었습니다. 비너스 프로토콜(Venus Protocol) 사례가 긍정적인 예시로 언급되었는데, 보안 모니터링 시스템이 공격 18시간 전에 이상 징후를 감지했고, 프로토콜은 신속하게 운영을 중단했으며, 거버넌스 메커니즘이 공격자의 자금을 동결하여 공격자가 손실을 입도록 했습니다.

드리프트는 이러한 "진보적인 담론"을 훼손합니다. 스마트 계약 감사를 완벽하게 수행하고 최첨단 온체인 모니터링 시스템을 구축하더라도, 관리자 키가 소셜 엔지니어링, 피싱 또는 무차별 대입 공격으로 유출되면 모든 보안 인프라는 모래 위에 세운 요새와 다를 바 없습니다.

탈중앙화 금융(DeFi) 업계는 잠시 멈춰서 한 가지 질문에 솔직하게 답해야 합니다. 사용자에게 "비수탁형"이라고 말할 때, 실제로 무엇을 의미하는 것일까요?

만약 계약서에 명시된 관리자 키를 통해 언제든지 금고에 있는 모든 자산을 이체할 수 있다면, 모르는 사람 명의의 은행 계좌에 돈을 넣어두는 것과 무슨 차이가 있나요? 적어도 은행에는 보험, 감독, 그리고 법적 구제 수단이 있잖아요.

어쩌면 이러한 관리자 권한을 취소하는 것이 해결책은 아닐 수도 있습니다. 많은 경우에 이러한 권한이 필요하기 때문입니다. 하지만 적어도 업계는 이러한 권한이 존재하지 않는 척하는 것을 멈춰야 합니다. 다중 서명 관리, 시간 잠금, 하드웨어 보안 모듈, 키 순환… 이러한 기술들은 이미 수년 동안 존재해 왔지만, 여전히 너무나 많은 프로토콜이 한두 명의 운영자에 대한 관리 소홀로 수억 달러 규모의 보안을 위협하고 있습니다.

'암호화된 로빈후드'라는 꿈은 멋집니다. 하지만 그것을 실현하기 전에, 먼저 더 근본적인 질문에 답해야 할지도 모릅니다. 과연 누가 그 열쇠를 쥐고 있을까요?