DeFi의 ‘신의 열쇠’: 드리프트(Drift) 해킹 사건으로 유출된 2.85억 달러를 통해 본 탈중앙화 금융의 최대 보안 취약점
작가: TechFlow
4월 1일, 만우절.
Solana 체인상 최대의 영구 선물 거래소인 Drift Protocol이 털리고 있었다. 그러나 커뮤니티의 첫 반응은 “꽤 괜찮은 만우절 농담이네.”였다.
그러나 이는 농담이 아니었다. 오후 1시 30분경, 체인 상 모니터링 계정 Lookonchain과 PeckShield이 거의 동시에 경보를 울렸다. “HkGz4K”로 시작하는 낯선 지갑이 Drift 금고에서 자산을 놀라운 속도로 빼내고 있었다. 첫 번째 인출은 JLP 토큰 4,100만 개, 가치 약 1억 5,500만 달러였다. 이어 5,160만 USDC, 12.5만 WSOL, 16.4만 cbBTC 등… 십여 종의 자산이 마치 뚫린 배수구를 통해 쏟아지는 물처럼 줄줄 흘러나갔다.
단 한 시간 만에 금고 자산은 3억 900만 달러에서 4,100만 달러로 추락했다. 총 잠금 자산(TVL)의 절반 이상이 증발한 것이다.
Drift 팀은 X(구 트위터)에 다음과 같은 긴급 공지를 게시했다. 문체는 이례적으로 간절했다. “Drift Protocol이 현재 적극적인 공격을 받고 있습니다. 입금 및 출금 기능이 일시 중단되었습니다. 사태 통제를 위해 여러 보안 업체, 크로스체인 브리지 및 거래소와 긴밀히 협조하고 있습니다.”
그리고 역사에 남을 이 한마디가 덧붙여졌다. “This is not an April Fools joke.”
한 개의 열쇠가 모든 문을 열었다
Drift 해킹 규모는 출처마다 다소 차이가 있다. PeckShield는 약 2억 8,500만 달러로 추정했고, Arkham은 2억 5,000만 달러 이상, CertiK의 초기 평가는 약 1억 3,600만 달러 수준이다. 어느 수치가 정확하든 간에, 이 사건은 2026년 현재까지 최대 규모의 DeFi 보안 사고다.
숫자보다 더 주목할 만한 것은 공격 방식이다.
PeckShield 창립자 장쉬셴(장쉬셴)은 Decrypt와의 인터뷰에서 단호하게 말했다. “Drift 프로토콜의 관리자 비밀키가 명백히 유출되었거나 해킹당했다.” 체인 상 연구자들이 재구성한 공격 시나리오에 따르면, 해커는 Drift 프로토콜에 대한 특권적 접근 권한을 확보해 금고 자금 흐름을 직접 제어했다.
즉, 정교한 스마트 계약 취약점 악용도, 플래시 대출 공격도, 오라클 조작도 없었다. 가장 원초적이고 고전적인 보안 실패, 누군가 개인 키를 분실했다는 사실뿐이었다.
더 불안감을 주는 세부 정보는, 공격자가 즉흥적으로 행동한 것이 아니라는 점이다. 체인 데이터에 따르면, 해당 지갑은 공격 발생 8일 전부터 Near Intents를 통해 초기 자금을 확보했으며 이후 일주일간 침묵 상태에 있었다. 공격 직전 일주일에는 Drift 금고로부터 2.52달러에 불과한 미미한 송금을 받기도 했다. 단순한 탐색, 혹은 ‘노크’였다.
일주일 후, 그 문은 걷어차서 열렸다.
암호화폐판 로빈후드의 몰락
Drift 공동 창업자 신디 리우(Cindy Leow)에게 4월 1일의 악몽은 특히 잔혹한 배경을 지닌다.
말레이시아계 중국인 기업가인 그녀의 이야기는 과거 Solana DeFi 생태계에서 가장 훌륭한 성공 스토리 중 하나였다. 2016년 중국-한국 비트코인 아비트리지를 시작으로, 자체 운용 펀드 운영 경험을 쌓았고, 이더리움에서 파생상품 프로젝트에도 기여했다. 2021년, 데이비드 루(David Lu)와 함께 Drift를 설립해 Solana의 속도 우위를 활용한 체인상 영구 선물 거래를 목표로 삼았다.
시간 흐름상 Drift는 거의 모든 파도를 정확히 탔다. 2024년에는 Polychain과 Multicoin이 주도한 두 차례의 펀딩 라운드를 통해 총 5,250만 달러를 유치했다. 예측시장을 통해 Polymarket에 도전장을 내밀었고, 50배 레버리지를 도입하며 TVL을 5.5억 달러를 돌파시켰으며, 누적 거래량은 500억 달러를 넘었다. 리우는 포춘(Fortune)과의 인터뷰에서 야심 차게 자신들의 정체성을 “암호화폐판 로빈후드”라고 규정했다.
그러나 지금 이 은유를 읽으면 복잡한 감정이 밀려온다. 로빈후드의 핵심 약속은 일반인에게 월스트리트 금융 도구를 제공하는 것이다. Drift의 핵심 약속은 사용자가 체인상에서 ‘비중개(non-custodial)’ 거래 경험을 얻도록 하는 것으로, 당신의 자금은 누구의 손도 거치지 않고 오직 코드와만 상호작용한다는 것이다.
하지만 그 코드 뒤에는 관리자 키가 존재한다. 그리고 그 키의 보안은 궁극적으로 암호학이 아니라 사람에 의존한다.
또 하나의 아픈 역사적 우연이 있다. 2022년, Drift v1 시절에도 이미 금고가 털리는 사고가 있었다. 당시 팀은 사후 기술 보고서를 매우 상세히 작성했으며, 공격자가 단 한 건의 거래로 전체 금고를 텅 비우는 방법을 보여주는 개념 검증(PoC) 코드까지 공개했다. 그때의 피해액은 1,450만 달러였고, 팀은 사용자들에게 전액 자비로 보상했다.
4년 후, 동일한 악몽이 20배 규모로 재현되었다.
탈중앙화에 대한 믿음, 중심화된 치명적 약점
시야를 Drift에서 벗어나 좀 더 넓게 보면, 불편한 패턴 하나가 서서히 드러난다.
2025년 초, Resolv Labs의 AWS 키 관리 서비스가 해킹당해 공격자는 특권 키를 이용해 대규모 USR 스테이블코인 발행 작업을 승인함으로써 크로스플랫폼 연쇄 손실을 유발했다. 같은 해, 2025년 한 해 동안 암호화폐 도난 총액은 34억 달러로 사상 최고치를 기록했다. 체인애널리시스(Chainalysis) 보고서는 특히 한 가지 추세 변화를 강조했다. 가장 파괴적인 사건들이 인프라 수준에서 발생하고 있다는 점이다. 해킹당한 개발자 기기, 클라우드에 저장된 단일 발행 키, 소셜 엔지니어링 피싱에 걸린 서명 프로세스—이것들이 진짜 자금을 집어삼키는 블랙홀이다.
이제 여기에 Drift가 추가되었다.
이러한 사례들을 나란히 놓고 보면, 거의 피할 수 없는 결론 하나가 도출된다. 개인 키 보안이 이제 스마트 계약 취약점보다 훨씬 큰 DeFi 시스템적 위협이 되었다.
그 안에는 수십억 달러를 삼킬 만큼 큰 인지 격차가 존재한다.
DeFi 프로토콜이 외부에 전달하는 메시지는 ‘탈중앙화’, ‘비중개’, ‘신뢰 불필요’다. 당신의 자산은 코드가 관리하고, 어떤 중개자도 당신의 돈에 손을 댈 수 없다. 사용자들은 이 이야기를 믿고, 이런 프로토콜에 자금을 맡긴다. 마음속으로는 ‘나는 수학과 거래하고 있다’고 생각한다.
하지만 현실은 다르다. 거의 모든 운영 중인 DeFi 프로토콜은 하나 또는 여러 개의 ‘신의 열쇠(God’s key)’를 갖추고 있다—관리자 키(admin key), 업그레이드 권한, 금고 통제권, 긴급 정지 스위치 등. 이러한 키는 때로는 문제 발생 시 긴급 제동을 위한 보안 목적, 때로는 계약 로직 업그레이드를 위한 유연성 확보를 위해 존재하지만, 본질은 같다. 탈중앙화 서사 속에 감싸인, 하나의 중심화된 신뢰 지점이다.
사용자는 자신이 코드와 상호작용한다고 믿는다. 하지만 실상은, 단 한 사람 또는 소수의 사람이 실수하지 않으며, 피싱 당하지 않으며, 강압을 받지 않으며, 심지어 늦은 밤 카페에 노트북을 두고 오지 않을 것이라는 믿음 위에 자신의 자금을 맡기고 있는 것이다.
이는 Drift만의 문제가 아니다. 이는 전체 DeFi 산업의 구조적 모순이다.
2.85억 달러는 어디로 갔는가
공격자의 체인 상 행보는 깔끔하고 냉정했으며, 프로페셔널한 선수다운 모습이었다.
Drift 금고에서 자산을 인출한 후, 그는 대부분의 토큰을 즉시 스테이블코인으로 전환했고, 웜홀(Wormhole) 크로스체인 브리지를 통해 자금을 이더리움 네트워크로 이전했다. 이더리움 상에서 그는 일부 스테이블코인으로 약 19,913 ETH(약 4,260만 달러 상당)를 구매했으며, 나머지 자금은 여러 지갑 주소로 분산시켰다.
한 가지 기묘한 세부 사항은, 공격자 지갑에 대량의 팍트코인(Fartcoin)이 여전히 보관되어 있다는 점이다. 이는 해당 토큰 전체 공급량의 약 2.5%에 해당한다. 올해 최대 규모의 DeFi 도난 사건을 성공적으로 수행한 해커가, 방귀를 의미하는 이름의 메임 코인을 손에 쥐고 있는 것이다.
기사 작성 시점 기준, Drift의 입금·출금 기능은 여전히 중단된 상태이며, DRIFT 토큰 가격은 공격 전 약 0.072달러에서 0.05달러 근방으로 하락해 28% 이상 급락했다. 역대 최고가 2.60달러였음을 고려하면, 누적 하락폭은 98%를 넘었다. 팬텀(Phantom) 지갑은 Drift에 접속하려는 사용자에게 이미 경고창을 표시하고 있다.
Drift 팀은 보안 업체, 크로스체인 브리지 운영사, 중앙화 거래소와 협력해 도난 자금의 동결 및 추적을 시도 중이라고 밝혔다. 그러나 과거 사례가 참고가 된다면, 크로스체인 브리지를 통해 이동되고 여러 지갑으로 분산된 자금은 회수 가능성이 낮다.
산업 전체가 정직하게 직면해야 할 질문
Drift 사건은 산업이 가장 피하고 싶어 하는 상처에 정확히 날카롭게 칼을 꽂았다.
체인애널리시스는 2025년 말 보고서에서 낙관적으로, DeFi 보안이 “실질적 진전”을 이뤘다고 평가했다. TVL이 1190억 달러로 두 배로 회복되었음에도 불구하고, DeFi 해킹으로 인한 손실은 오히려 감소했다고 밝혔다. 베너스 프로토콜(Venus Protocol) 사례는 긍정적 교육 사례로 언급됐다. 보안 모니터링 시스템이 공격 발생 18시간 전에 이상 징후를 감지했고, 프로토콜은 즉각 운영을 중단했으며, 거버넌스 메커니즘이 공격자 자금을 동결시켰고, 결과적으로 공격자조차 손해를 봤다는 것이다.
Drift는 이러한 ‘진전 서사’에 균열을 냈다. 당신은 스마트 계약 감사를 극한까지 수행할 수 있고, 최첨단 체인 상 모니터링을 도입할 수 있지만, 단 한 개의 관리자 키가 소셜 엔지니어링, 피싱, 또는 무차별 대입 공격에 의해 유출되거나 해킹되면, 모든 보안 기반 시설은 모래 위에 세운 성과 같아진다.
DeFi 산업은 멈춰 서서, 정직하게 하나의 질문에 답해야 한다. 당신이 사용자에게 ‘비중개(non-custodial)’라고 말할 때, 그 말의 진짜 의미는 무엇인가?
만약 프로토콜의 관리자 키(admin key)가 언제든지 금고의 모든 자산을 이체할 수 있다면, 그것은 당신이 모르는 사람의 은행 계좌에 돈을 맡기는 것과 무슨 차이가 있는가? 적어도 은행은 보험과 규제, 법적 구제 수단이 있다.
정답이 반드시 이러한 관리자 권한을 폐지하는 데 있는 것은 아닐 수 있다. 많은 경우 이 권한의 존재는 필수적이다. 그러나 적어도 산업 전체는 이 권한이 존재하지 않는 척하는 것을 멈춰야 한다. 다중 서명 거버넌스(multisig governance), 타임락(time lock), 하드웨어 보안 모듈(HSM), 키 롤오버(key rotation) 등 기술적 해결책은 이미 오래전부터 존재해왔다. 그러나 너무 많은 프로토콜이 수억 달러 규모의 보안을 단 두세 명의 인간 운영자의 주의력에만 의존하고 있다.
“암호화폐판 로빈후드”라는 꿈은 아름답다. 그러나 그 꿈을 실현하기 전에, 먼저 더 근본적인 질문에 답해야 할지도 모른다. 그 열쇠는 누구의 손에 있는가?
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
