Beosin: 5월 주요 보안 사건 36건 발생, 총 손실액 7600만 달러 이상
작성: Beosin
Beosin Alert 플랫폼의 모니터링 데이터에 따르면, 2026년 5월 한 달 동안 발생한 각종 보안 사고로 인한 총 손실 금액은 약 7,615만 달러로 집계되었으며, 중대한 해킹 공격 사건은 총 「36」건이 발생했다. 주요 원인은 스마트 계약 취약점과 개인 키 유출이다. 이 중 계약서/네트워크 취약점으로 인한 보안 사고는 17건, 개인 키 유출로 인한 피해 사고는 10건이었다. DeFi 생태계의 코드 보안 및 운영 보안이 심각한 도전에 직면해 있다.
5월 손실 상위 10개 프로토콜
Verus L1 체인과 이더리움을 연결하는 크로스체인 브리지인 Verus-Ethereum Bridge가 계약서 취약점으로 인해 공격을 받아, 최대 손실 금액인 1,158만 달러를 기록했다. Echo Protocol은 개인 키 유출로 인해 공격자가 eBTC 1,000개를 발행(시세 기준 약 7,670만 달러 상당)했으나, 유동성 부족으로 인해 실제 실현된 수익은 약 513만 달러에 그쳤다.
피해 대상 프로젝트 유형 및 각 블록체인별 손실 현황
피해 대상은 크로스체인 브리지, 탈중앙화 거래소(DEX), 대출 프로토콜, 예측 시장, 스테이블코인, 일반 사용자 등 다양한 유형을 포함하며, 이 중 크로스체인 브리지의 손실 금액이 가장 커 2,799.5만 달러에 달했다. DeFi 관련 프로젝트가 공격을 가장 많이 받았으며, 총 14건으로 집계되었다.
5월 손실 금액이 가장 큰 블록체인은 이더리움으로, 손실 금액이 4,876만 달러를 초과했다. 일부 크로스체인 브리지와 대부분의 DeFi 프로토콜 관련 보안 사고 역시 이더리움에서 주로 발생했다. 그 다음으로 BNB 체인, Monad, TON 순이며, Monero 및 비트코인에서도 보안 사고가 발생하여, 블록체인 기반 공격이 다중 체인(Multi-chain) 형태로 확산되고 있음을 보여준다.
주요 보안 사고 분석
1. Verus: 크로스체인 메시지 검증 결함
Verus-Ethereum Bridge는 제출자가 증거 데이터를 제공하여 Verus 체인 상에서 공증된 유효 출력이 존재함을 입증하고, 브리지 계약이 이를 검증한 후 이더리움 상에서 자산을 해제하는 방식으로 작동한다. 그러나 이 과정에서 발생한 취약점은 이더리움 측 브리지 계약이 Verus 체인에서 전달된 증거를 검증하긴 했으나, 해당 데이터가 실제로 유효한 원본 출력인지 여부는 검사하지 않았다는 점이다. 이로 인해 공격자는 위조된 출력을 생성해 검증을 통과시키고, 본인의 예치금보다 훨씬 많은 자산을 인출할 수 있었다.
취약점이 있는 코드 부분:
이번 사고의 취약점은 2022년 웜홀(Wormhole)의 3.2억 달러, 노매드(Nomad)의 1.9억 달러 손실을 초래한 취약점과 동일한 유형으로, 모두 메시지 자체는 검증했지만 그 뒤에 숨겨진 자금 가치는 검증하지 않은 것이다.
2. Trusted Volumes: 서명 매개변수 결함
공격자는 TrustedVolumes의 RFQ(Request for Quote) 프로세스 내 서명 설계 결함을 악용해 실제 송금 시점에 서명 데이터를 임의로 조작하여 송금 주체를 TrustedVolumes의 Resolver 계약으로 지정하고, 이를 성공적으로 검증 통과시킴으로써 Resolver 계약 내 자산을 유출해 이익을 얻었다.
취약점이 있는 코드 부분:
권한 확인 시에는 varg4를 참조하지만, 자금 이체 실행 시에는 다른 매개변수를 참조하여 권한 부여 서명자 영역과 실제 차감 주소 간 불일치를 초래하는 검증 누락이 발생했다.
즉, 공격자는 등록된 서명자 주소로 주문을 서명하면 되며, 이때 maker = Exploit(서명 검증 통과)으로 설정하고, 나머지 서명 매개변수(토큰, 금액 등)는 임의로 설정할 수 있다. 예를 들어 가격 예측기에서 합리적인 가격 범위 내에 들어가는 1:1 위조 주문을 설정한 후, 프로토콜 계약에서 자산을 인출할 수 있다:
3. StablR을 예로 든 개인 키 유출 사고
5월에는 여러 건의 개인 키 유출 사고가 발생해 총 손실 금액이 2,500만 달러를 넘었다. 그중 규제 준수 스테이블코인 발행사인 StablR은 스테이블코인 및 DeFi 분야에서 보안 거버넌스의 교훈 사례가 되었다.
StablR은 EURR 및 USDR이라는 두 가지 규제 준수 스테이블코인 제품을 출시했는데, EURR 발행을 관리하는 멀티시그 월렛 주소는 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc이며, USDR 발행을 관리하는 멀티시그 월렛 주소는 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3이다.
그러나 위 두 멀티시그 월렛은 거래를 발송하기 위해 단 하나의 서명만 필요했기 때문에, 공격자는 소유자 주소 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d를 장악한 후, 주소 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1을 위 두 멀티시그 월렛에 추가함으로써 프로젝트의 코인 발행 권한을 완전히 장악하였다:
이와 같은 사고는 코드 자체의 취약점보다는 프로젝트 운영 보안 문제에 기인한다. 즉, 특권 주소의 개인 키를 안전하게 보관하지 못했고, 고가치·고위험 작업에 대해 높은 임계치의 멀티시그를 적용하지 않았으며, 대규모 코인 발행 작업에 시간 잠금(Time Lock)을 설정하지 않았고, 신속한 비상 대응 메커니즘이 부재했다.
Web3 보안 위협 트렌드
2026년 Web3 보안에서 나타나는 가장 근본적인 트렌드는 공격 표면(Attack Surface)의 체계적 확대이다. 취약점이 코드뿐 아니라 인프라, 상호작용 방식, 인간의 프로세스 전반에 걸쳐 동시다발적으로 발생하고 있으며, 단순히 몇 차례의 보안 감사나 도구만으로는 운영 보안, 직원 단말기, 클라우드 인프라, 소프트웨어 공급망 등 광범위한 영역을 모두 포괄할 수 없다. 이는 Web3 프로젝트 운영팀에게 지속적인 운영 보안 강화를 요구하고 있다.
또한, 오래되거나 폐기된 계약서를 대상으로 한 공격이 빈번히 발생하고 있는데, 이들 계약서 내 취약점은 권한 부여가 공격자에 의해 쉽게 악용될 수 있다. 계약서 개발자 또는 운영자는 기존 계약서의 보안 상태를 재점검해야 하며, 폐기된 계약서의 경우 남아 있는 자금을 신속히 처리하거나 적절히 이전하고, 사용자에게 불필요한 권한 부여를 해제하도록 요청해야 한다. 또한 사용자 역시 블록체인 탐색기나 권한 해제 도구를 정기적으로 활용해 더 이상 사용하지 않는 계약서에 대한 권한을 점검하고 해제해야 한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@Beosin_com
