2024–2025 블록체인 해킹 사건과 기술적 교훈
밤을 꼬박 새우고 지하철 창밖을 바라보다가 문득 떠오른 생각은 이것이었다.
“블록체인의 혁신은 분명 찬란하지만, 보안 없이는 한순간에 무너진다.”
2024년과 2025년 초에 실제로 일어난 해킹 사건들을 살펴보면, 이 기술이 어디서 흔들리고 있는지 명확히 드러난다.
1. Curve Finance 사건 – Vyper 컴파일러 버그
확인된 사실: Vyper 언어 특정 버전(0.2.15, 0.2.16, 0.3.0)의 reentrancy lock 기능이 제대로 작동하지 않아, Curve Finance 일부 풀에서 자금이 탈취되었다.
기술적 배경: 함수별로 서로 다른 storage slot을 사용해 lock이 분리되면서, 교차 함수 재진입 공격이 가능해진 구조.
다른 시각: 일부에서는 “이 사건은 2023년에 이미 발생한 것이고, 2024년 이후 사건과 구분해야 한다”는 지적이 있다.
즉, Curve 사건을 2024년 해킹으로 소개하면 시기적으로 혼동을 줄 수 있다.
2. Orbit Bridge 해킹 (2024) – 크로스체인의 치명적 고리
확인된 사실: 2024년 1월, Orbit Bridge에서 약 8천만 달러가 탈취.
기술적 배경: 브릿지 구조상 온체인·오프체인 검증 로직이 복잡하게 얽혀 있고, 서명 검증/키 관리 체계가 공격자에 의해 뚫린 것으로 추정.
다른 시각: “브릿지 해킹이 전체 블록체인 피해액의 70% 이상을 차지한다”는 통계는 특정 리포트 기준이며, 모든 해킹 피해에서 항상 그렇다고 보긴 어렵다.
즉, 브릿지가 약점임은 분명하지만 절대적인 수치는 보고서마다 다르다.
3. UwU Lend 사건 (2024) – 플래시론과 오라클 조작
확인된 사실: 공격자가 플래시론을 이용해 단기적으로 대규모 자금을 빌리고, 오라클 가격을 조작해 청산 로직을 교란. 피해액 약 1,930만 달러.
다른 시각: 모든 DeFi 해킹이 플래시론+오라클 조작인 것은 아니다.
일부는 단순 코드 오류나 접근 제어 실패로 발생하며, 이번 사건은 대표적 사례 중 하나일 뿐이다.
4. Bybit 해킹 (2025) – 15억 달러의 대형 참사
확인된 사실: 2025년 초, Bybit 거래소에서 약 15억 달러 규모의 자산이 유출. 탈취 자금 중 대부분은 이더리움으로 확인.
기술적 배경: 콜드월렛에서 웜월렛으로 자금을 이동하는 과정에서 인터페이스 조작이나 오프체인 보안 침해가 개입된 것으로 보도됨.
다른 시각: 단순히 “콜드 지갑이 뚫렸다”라고 말하기는 어렵다.
실제 원인은 콜드→웜 전환 중의 오프체인 절차 취약점일 가능성이 높으며, 조사가 아직 진행 중이기 때문에 확정된 결론은 아니다.
5. 사용자 피싱 (2025) – 가장 오래된 공격의 귀환
확인된 사실: 트위터·디스코드 에어드랍 사기, 위조 지갑 앱, 시드 문구 탈취 등 사회공학적 공격이 급증.
다른 시각: 피싱 피해 규모는 정확히 집계하기 어렵다.
보고되는 건 극히 일부일 수 있고, 실제 피해는 공식 통계보다 훨씬 클 가능성이 크다.
6. 새로운 공격 패턴 – 공급망·주소 독살
확인된 사실: npm 패키지 탈취 후 악성 코드 삽입 → 개발자 생태계를 노린 공급망 공격 발생.
주소 독살(Address Poisoning): 기존 송금 주소와 유사한 주소를 생성해 사용자가 착각하도록 유도.
다른 시각: 아직 피해 총액이 Curve·Bybit처럼 명확히 집계된 것은 아니고, 보고된 규모와 실제 규모 사이에 차이가 있을 수 있다.
결론 – 보안 없는 혁신은 없다
2024년은 대형 프로토콜과 브릿지가 무너진 해였고,
2025년은 거래소·사용자·개발자 생태계 전반이 공격받는 해로 기록될 것이다.
다만 중요한 건, 모든 공격의 원인이 명확히 단정된 것은 아니라는 점이다.
어떤 사건은 공식 보고서로 원인이 확인되었지만, 어떤 사건은 아직 수사·조사가 진행 중이고,
또 어떤 사건은 여러 해석이 공존한다.
그럼에도 분명한 교훈은 있다.
1. 스마트컨트랙트 → 형식 검증(Formal Verification) 강화
2. 브릿지 → ZK 기반 검증 + 키 관리 분산화
3. 사용자 지갑 → 계정 추상화(ERC-4337) 통한 UX 개선
4. 거래소 → Zero Trust 아키텍처와 실시간 모니터링
지하철 창밖을 보며
밤을 새우고 지하철을 달리며 깨닫는다.
블록체인은 결국 신뢰를 설계하는 기술이다.
그러나 그 신뢰의 뿌리에 보안이 자리 잡지 않는다면, 혁신은 언제든 흔들릴 수 있다.
“보안 없는 블록체인의 새벽은 없다.”
이 문장이, 오늘 밤샘의 결론이었다.