머리말

디지털 경제의 물결 속에서, 탈중앙화와 투명성을 갖춘 Web3 블록체인 기술은 새로운 신뢰 및 가치 순환 시스템을 구축했습니다. 그러나 Web3 생태계의 급속한 발전과 함께 보안 위협은 끊임없이 발생하며, 이는 이 신생 분야에 영향을 미치고 있습니다. 오늘은 2025년 상반기 Web3 블록체인의 보안 상황을 심층 분석하고, 잠재적 위험에 대한 통찰력을 확보하며, 대응 방안을 모색해 보겠습니다.

1. 2025년 상반기 Web3 보안 개요

2025년 상반기에 Web3 블록체인 분야에서 87건의 주요 보안 사고가 발생하였고, 해커 공격, 피싱 사기 및 프로젝트 파티인 Rug Pull로 인한 경제적 손실은 22억 9천만 달러에 달하여 2024년 전체 손실을 넘어섰습니다.그 중 Rug Pull의 총 손실은 약 320만 달러였고 , 피싱 사기의 총 손실은 약 4,138만 달러였습니다 .상반기부터 2월과 5월이 손실이 가장 많은 달이었습니다.2월에는 Bybit Exchange 도난으로 인한 월별 손실이 14억 5천만 달러를 넘었고, 5월의 Cetus Protocol 공격으로 2억 2,300만 달러의 손실이 발생했습니다.이 두 가지 극단적인 사건을 제외하면 나머지 공격의 평균 손실은 사건당 약 350만 달러로 업계의 기본적인 보안 위험이 여전히 높은 수준으로 운영되고 있음을 보여줍니다.

II. 2025년 상반기 보안사고 현황 검토

2025년 상반기 Web3 보안 사고는 전문적인 공격 수법과 집중적인 손실 규모의 특징을 보였습니다. Bybit과 Cetus 프로토콜 사고는 전체 손실의 72%를 차지하며 중앙화 거래소와 DeFi 프로토콜의 취약성을 여실히 드러냈습니다. 스마트 컨트랙트 취약점(예: 권한 제어 및 수학 함수 결함)이 여전히 주요 공격 진입점이며, 크로스 체인 운영 및 오라클 메커니즘이 새로운 위험 요소로 부상하고 있다는 점에 주목할 필요가 있습니다.

보안 사고 검토

1. 바이비트 콜드월렛 공격 사건

• 손실 금액: 14억 5천만 달러(약 10만 2천 ETH)

• 공격 방식 : 피싱 공격 + 스마트 계약 권한 제어 취약점

• 이벤트 세부 정보: 2월 21일, 바이비트(Bybit) 콜드 월렛에서 정기적인 자금 이체를 진행하던 중, 변조된 프런트엔드 코드가 14억 5천만 달러 상당의 ETH를 해커가 통제하는 주소로 이체했습니다. 이 공격은 타사 지갑 도구에 의존하는 중앙화 거래소의 신뢰 위험과 정적 리소스 호스팅의 보안 위험을 드러냈습니다. 이 사건 이후, 바이비트는 모든 온체인 운영을 중단하고 자산 동결 절차를 시작했으며, 자금 흐름을 추적하기 위해 법 집행 기관과 협력했습니다. 이 사건은 사용자 신뢰를 심각하게 훼손했을 뿐만 아니라, 다중 서명 메커니즘의 보안에 대한 시장의 광범위한 의구심을 불러일으켰습니다.

2. Cetus 프로토콜 스마트 계약 공격

• 손실 금액: 2억 2,300만 달러(동결 자산 1억 6,200만 달러 포함)

• 공격 방법 : 수학 함수 오버플로우 취약점 + 플래시 대출 조작

• 이벤트 세부 정보: 5월 22일, Sui 체인에서 가장 큰 DEX인 Cetus 프로토콜이 공격을 받아 해커들이 몇 시간 만에 핵심 유동성 풀을 고갈시켰습니다. 이 공격으로 SUI 가격은 7% 폭락했고, 관련 MEME 토큰(예: Bulla)의 시장 가치는 90% 이상 증발했습니다. Cetus는 1억 6,200만 달러의 자산을 긴급 동결하고 도난당한 자금의 일부를 상환하는 대가로 600만 달러의 보상을 제시했지만, 6,000만 달러의 자금은 여전히 ​​크로스 체인 브릿지를 통해 세탁되었습니다. 이 공격은 신흥 퍼블릭 체인 DeFi 프로젝트들이 복잡한 금융 모델 설계에 대한 경험이 부족함을 드러냈습니다.

3. 노비텍스 거래소 공격

• 손실: 약 9천만 달러

• 공격방식 : 사이버 스파이 + 개인키 도용

• 사건 세부 정보: 6월 18일, 이스라엘과 연계된 조직이 이란 최대 암호화폐 거래소인 노비텍스를 공격하여 개인 키를 훔쳐 사용자 자산을 유출했습니다. 이 공격에는 정보 수집이 포함될 가능성이 있으며, 이스라엘은 이후 이란을 위해 간첩 활동을 한 혐의로 세 명을 체포했으며, 그중 두 명은 암호화폐로 보상을 받았습니다. 체이널리시스는 노비텍스가 이란의 제재 대상 암호화폐 생태계에서 중요한 허브라고 지적했으며, 이 사건은 지정학적 요소가 웹 3.0 보안에 미치는 영향을 여실히 보여줍니다.

4. UPCX 스마트 계약 공격

• 손실: 약 7천만 달러

• 공격 방법 : 무단 계약 업그레이드

• 사건 세부 정보: 4월 1일, DeFi 프로토콜 UPCX가 ProxyAdmin 계약 위반으로 인해 무단 업그레이드되었습니다. 공격자는 withdrawByAdmin 함수를 호출하여 세 개의 관리 계좌에서 1,840만 UPC(미화 7천만 달러 상당)를 이체했습니다. 자금이 0xFf7로 시작하는 주소로 이체된 후 추가 작업은 수행되지 않았습니다. UPCX 팀은 사건을 확인하고 보안 기관과 공동으로 조사했지만, 6월 현재까지 자금은 회수되지 않았습니다.

5. Infini Permission 취약점 사고

• 손실: 약 4,950만 달러

• 공격방법 : 권한관리 취약점

• 사건 세부 정보: 2월 24일, 전 팀원은 보유 관리 권한을 이용하여 계약 매개변수를 직접 수정하고, 펀드 풀에 있는 모든 USDC(1,145만 달러 + 3,806만 달러)를 두 번에 걸쳐 훔쳐 17,696 ETH로 전환한 후 믹서를 통해 이체했습니다. Infini 팀은 48시간 이내에 사용자에게 전액 보상하고 다중 서명 콜드 월렛 시스템을 업그레이드하겠다고 약속했습니다. 현재까지 자금은 회수되지 않았습니다.

6. 코르크 프로토콜 계약 취약점 사고

• 손실 금액: 약 1,200만 달러(3,762 wstETH)

• 공격 방법 : 계약 논리 허점(허위 시장 조작)

• 사건 세부 정보: 5월 28일, 공격자는 코르크 프로토콜(Cork Protocol)의 Depeg Swap 메커니즘 취약점을 악용하여 가짜 시장을 생성하고 유동성을 조작하여 3,762 wstETH(1,200만 달러 상당)를 훔친 후 4,530 ETH로 교환했습니다. 해당 팀은 모든 계약을 긴급히 중단하고 조사에 착수했지만, 자금은 아직 회수되지 않았습니다.

7. zkLend 스마트 계약 공격

• 손실: 약 850만 달러

• 공격 방법 : 정수 오버플로우 취약점

• 이벤트 세부 정보: 2월, 스타크넷(Starknet) 체인 DeFi 프로토콜인 zkLend는 safeMath 라이브러리 분할 계산의 반올림 취약점을 악용하여 유동성 풀 자금을 인출하려는 공격을 반복적으로 받았으며, 총 3,300 ETH(약 850만 달러)를 도난당했습니다. 프로젝트 측은 "자금의 10%를 화이트햇 현상금으로 보유"하는 합의안을 제시했지만, 해커는 이에 응하지 않았습니다. 결국 zkLend는 사법 기관에 사건을 신고하고 자금 흐름을 모니터링했지만, 회수 가능성은 낮습니다.

III. 2025년 상반기 공격 대상 프로젝트 유형

2025년 상반기 Web3 분야의 보안 사고는 중앙화된 프로젝트 유형과 양극화된 손실 규모의 특징을 보였습니다. 공격 대상 측면에서는 암호화폐 거래소가 절대 우위로 가장 큰 손실을 기록한 분야가 되었고, 그 뒤를 DeFi 프로토콜이 이었습니다.

1. 중앙화 거래소(CEX)

• 손실: 총 6건의 공격, 총 15억 9,100만 달러의 손실, 전체 공격 손실의 74.4% 차지

• 가장 큰 사건: Bybit에서 14억 4천만 달러가 도난당했습니다(안전 지갑 프런트엔드가 조작되었습니다)

• 기타 사례: 노비텍스(9천만 달러), 페멕스(7천만 달러)

2. DeFi 프로토콜

• 손실액 : 약 3억 2,400만 달러(15.1%)

• 가장 큰 사건: Cetus Protocol(Sui ​​Ecosystem DEX)이 2억 2,400만 달러를 손실했습니다.

• 기타 사건: Abracadabra Finance(1,300만 달러), Cork Protocol(1,200만 달러)

3. 암호화폐 결제 플랫폼

• 손실액 : 약 1억 2천만 달러(2건)

4. 기타 유형(크로스체인 브릿지, 브라우저, 미메코인 등)

• 단일 데미지는 낮지만 공격은 더 많습니다.

IV. 2025년 상반기 공격 대상 프로젝트 유형

스마트 계약 취약점

2025년 상반기에는 스마트 계약 취약점이 Web3 보안에 가장 큰 위협이 되었으며, 전체 공격의 60%(12건)를 차지하여 17억 8천만 달러(80%)의 손실을 초래했습니다 . 권한 결함 및 수학적 오버플로와 같은 코드 문제가 빈번하게 발생하고, 공격자는 피싱 웹사이트와 서명 사기를 통해 위험 관리를 우회하는 경우가 많습니다. 가장 심각한 사건인 Bybit 사건에서 해커는 피싱 공격과 계약 권한 취약점을 결합하여 40만 1천 ETH(14억 6천만 달러 상당)를 탈취했습니다. 이는 Web3 역사상 단일 공격으로 가장 큰 손실을 기록한 것입니다. 이는 스마트 계약 권한 관리 및 다중 서명 메커니즘의 주요 보안 위험을 강조합니다.

피싱 공격

피싱 공격은 2025년 보안 사고의 25%(200건 이상)를 차지했으며, 4억 달러(16%)의 손실을 초래했습니다 . 공격자들은 가짜 에어드랍이나 고도로 모방된 플랫폼과 같은 사회 공학적 수단을 통해 자산을 훔치며, 단일 거래 손실액은 일반적으로 10만 달러에서 100만 달러 사이입니다. 대표적인 사례로는 DeFi 프로젝트의 디스코드 그룹에서 발생한 피싱 사고로 230만 달러가 도난당한 사건이 있으며, 이는 사용자들의 예방 의식 강화가 여전히 필요함을 보여줍니다.

기타 공격 방법

기타 공격 방법(30건, 15% 차지)으로 인해 3억 2천만 달러의 손실이 발생했으며, 주로 다음과 같습니다.

• 오라클 조작(예: KiloEx는 740만 달러의 손실을 입었습니다)

• 크로스 체인 브리지 취약성

• 사회 공학 공격

대표적인 사례는 이란의 노비텍스 거래소에 대한 공격(8,200만 달러 상당)으로, 해커들이 개인 키를 훔치고 자산을 파괴하면서 국가 차원의 보안 위협과 크로스체인 프로토콜 위험이 중첩되어 있음을 보여줍니다.

5. 2025년 상반기 Web3 블록체인 보안 상황 요약

2025년 상반기 Web3 블록체인 보안 상황은 빈번한 공격, 광범위한 프로젝트 유형, 그리고 복잡하고 다양한 공격 수법이라는 특징을 보였습니다. 암호화폐 거래소, DeFi 프로젝트, 그리고 새롭게 부상하는 Web3 애플리케이션 플랫폼이 가장 큰 피해를 입었으며, 스마트 컨트랙트 취약점 악용과 피싱 공격이 주요 공격 수단이 되어 업계에 막대한 경제적 손실과 신뢰 저하를 초래했습니다.

앞으로 Web3 블록체인 산업은 보안 문제를 공동으로 해결하기 위해 여러 당사자의 협력이 필요합니다. 프로젝트 당사자는 스마트 계약의 보안 감사 및 테스트를 강화하고, 코드 품질을 개선하며, 보안 보호 시스템을 개선해야 합니다. 투자자는 위험 인식을 높이고, 다양한 투자 프로젝트에 대한 주의를 기울이고, 피싱 및 기타 사기 수법을 식별하는 능력을 향상시켜야 합니다. 규제 기관은 관련 법률 및 정책을 더욱 개선하고, 산업 발전을 규제하며, 불법 및 범죄 행위에 대한 단속을 강화해야 합니다. 동시에 보안 기술 기업은 Web3 블록체인 생태계의 건전한 발전을 위해 더욱 진보된 보안 기술과 솔루션을 지속적으로 혁신하고 개발해야 합니다. 이러한 방식으로만 Web3 블록체인 기술은 안전한 궤도에서 혁신하고 발전하며 더 큰 잠재력을 발휘할 수 있습니다.