2026년 4월: 암호화폐 역사상 가장 많은 해킹 피해를 입은 달, 손실액 6억 3,500만 달러 기록
2026년 4월은 탈중앙화 금융(DeFi) 역사상 가장 많은 해킹이 발생한 달로 기록되었습니다. 디파이라마(DefiLlama)는 28건에서 30건 사이의 개별 익스플로잇(취약점 공격)을 확인했으며, 총 손실액은 6억 2,500만 달러를 넘어섰습니다. 다른 분석 기관들은 이 수치를 2025년 2월 바이비트(Bybit) 거래소 해킹 사건 이후 월간 최대치인 6억 3,524만 달러로 집계하기도 했습니다. 이번 달에는 하루 평균 거의 한 건의 공격이 발생했으며, 이는 과거 그 어느 때보다 빠른 속도입니다.
한 달간 발생한 두 건의 치명적 대규모 공격
이번 달의 막대한 피해는 주로 두 가지 대형 사건에 의해 발생했습니다. 4월 1일, 솔라나 기반의 드리프트 프로토콜(Drift Protocol)은 북한의 라자루스 그룹(Lazarus Group)과 연관된 것으로 알려진 사회 공학적 공격(social-engineering attack)으로 약 2억 8,500만 달러를 상실했습니다. 이어 4월 18일경에는 켈프DAO(KelpDAO)가 레이어제로(LayerZero) 크로스체인 브릿지를 겨냥한 메시지 스푸핑 익스플로잇을 당해 약 2억 9,300만 달러의 추정 손실을 입었습니다. 이 두 사건이 4월 전체 손실액의 절대 다수를 차지했습니다.
드리프트 프로토콜 해킹은 공격 전 3주간의 준비 기간과 프로토콜 서명자들을 포섭하기 위한 수개월간의 사회 공학적 기법이 동원되었으며, 실제 자금 탈취는 약 12분 만에 완료되었습니다. 켈프DAO 해킹은 레이어제로 브릿지의 단일 검증인 설계 결함을 악용했으며, 탈취된 자금 중 7,500만 달러가 아비트럼(Arbitrum)에서 동결된 후 나머지는 토르체인(THORChain)을 통해 세탁되었습니다.
생태계 전반의 소규모 침해 사례
두 건의 대형 사건 외에도, 나머지 공격들은 DeFi 전반에 걸쳐 공격 표면이 얼마나 넓어졌는지를 보여주었습니다.
- 레아 파이낸스(Rhea Finance)가 1,840만 달러, 그리넥스(Grinex)가 1,500만 달러, 와사비 프로토콜(Wasabi Protocol)이 약 500만 달러, 볼로 볼트(Volo Vault)와 스웨트 파운데이션(Sweat Foundation)이 각각 350만 달러의 손실을 입었습니다.
- 대부분의 소규모 사건은 5만 달러에서 300~500만 달러 사이였으며, 대출 프로토콜, 탈중앙화 거래소(DEX) 및 인프라 솔루션들이 타격을 입었습니다.
- 코드 버그가 대다수 해킹의 근본 원인이었음에도 불구하고, 이로 인한 손실액은 약 4,200만 달러로 4월 전체 손실의 약 6.6%에 불과했습니다.
북한 해커 그룹의 압도적 비중
두 개의 별도 그룹으로 활동하는 북한 해커들은 2026년 초부터 현재까지 약 5억 7,700만 달러를 훔쳤습니다. 이는 단 몇 건의 사건만으로 4월까지 발생한 전체 암호화폐 해킹 손실의 76%를 차지하는 수치입니다. 드리프트와 켈프DAO 공격 모두 라자루스 그룹의 하위 조직인 트레이더트레이터(TraderTraitor) 클러스터와 연관된 것으로 밝혀졌습니다. 이러한 침해는 코드 버그나 공격적인 사이버 침입이 아니라, 사회 공학적 기법과 프로토콜에 대한 정상적인 접근 권한을 결합한 수개월에 걸친 작전의 결과였습니다.
DeFi 시장의 반응
켈프DAO 익스플로잇은 탈중앙화 금융 전반에 걸쳐 급격한 자금 인출을 촉발했습니다. 사용자들이 크로스체인 리스크에 대한 노출을 줄이면서 며칠 만에 140억 달러 이상의 총 예치 자산(TVL)이 DeFi 프로토콜을 빠져나갔으며, 특히 브릿지와 대출 플랫폼에 집중되었습니다. 에이브(Aave) 한 곳에서만 익스플로잇 이후 TVL이 264억 달러에서 179억 달러 근처로 급감했습니다.
배경 및 전망
참고로 2026년 1분기 전체 손실액은 1억 6,550만 달러였습니다. 4월 한 달간의 총 손실액은 1분기 전체 합계보다 3.7배나 컸습니다. 지난 10년간 DeFi의 누적 해킹 손실은 이제 170억 달러를 넘어섰습니다. 공격자들은 점차 스마트 컨트랙트 버그에서 벗어나 개인 키, 서명 인프라, 그리고 인간 계층을 노리는 사회 공학적 기법으로 공격 방향을 틀고 있습니다. 보안 연구원들은 2026년 2분기를 앞두고 크로스체인 브릿지 아키텍처와 사회 공학적 공격을 즉각적인 주의가 필요한 주요 위협 벡터로 지목했습니다.
Coinplurk.com에서 발행
저희는 AI 기술을 사용하여 정보를 더 빠르고 효율적으로 제공합니다. 그러나 모든 콘텐츠는 여전히 사람의 검토 과정을 거칩니다. 이 기사에서 데이터 오류나 사실 오류를 발견하시면 [기사 신고] 버튼을 통해 편집팀에 알려주세요.
Published by Coinplurk.com
저자 소개
CoinPlurk News
인증된 저자Verified Web3 content architect providing high-impact data analysis and real-time reporting on the global blockchain ecosystem.
다른 기사
6FIFA, 2026년 월드컵 총괄 컨설턴트로 애벌랜치 선정; AVAX 지수 8% 상승
FIFA가 2026년 월드컵 티켓 판매, 고객 로열티 프로그램, 디지털 수집품 인프라를 전용 Avalanche 블록체인에 구축하기로 결정하면서 AVAX는 한 달 만에 가장 강력한 상승 신호를 받았지만, 분석가들은 지속적인 수요가 입증되어야 한다고 말합니다.
Mastercard, AI 기반 머신 속도 결제를 위한 AP4M 출시
Mastercard의 새로운 'Agent Pay for Machines (AP4M)' 서비스는 AI 에이전트가 카드, 은행 계좌, 스테이블코인을 전반으로 고빈도 소액 결제(마이크로 페이먼트)를 자율적으로 승인, 오케스트레이션 및 정산할 수 있도록 지원하며, 이미 30개 이상의 업계 파트너가 참여하고 있습니다.
폴리마켓, 2030년 승인 목표로 일본 시장 겨냥
Polymarket는 일본에서 현지 대표를 임명하고 2030년까지 규제 승인을 목표로 설정했으며, 이는 일본의 엄격한 도박법과 전 세계적인 예측 시장 제한의 물결이 앞길을 불확실하게 만드는 가운데 이루어졌다.
SpaceX의 IPO 서류에 14억 5천만 달러 규모의 비트코인 보유 사실이 공개되었습니다.
스페이스X는 나스닥 상장을 앞두고 미국 증권거래위원회(SEC)에 제출한 서류에서 18,712 BTC, 약 14억 5천만 달러 상당의 비트코인을 보유하고 있다고 밝혔습니다. 이로써 스페이스X는 기업 비트코인 보유자 중 최대 규모에 속하게 되었습니다.
Revolut의 첫 번째 실물 암호화폐 카드가 영국 및 유럽경제지역(EEA)에서 출시되었습니다.
Revolut은 첫 번째 실물 암호화폐 직불카드를 출시했습니다 — 도지코인 테마에 LED가 장착된 카드로, Visa와 Mastercard가 지원되는 곳 어디에서나 사용할 수 있으며 — 이는 일상 소비자 금융에서 디지털 자산 사용을 확대하려는 핀테크의 중요한 진전을 의미합니다.
THORChain, 1,080만 달러 규모 다중 체인 공격으로 타격, RUNE 12% 하락
THORChain은 약 1,080만 달러가 네 개의 블록체인 네트워크에서 유출된 것으로 의심되는 익스플로잇 이후 모든 거래 및 서명 작업을 중단했으며, 이로 인해 자사 네이티브 토큰 RUNE이 급격히 하락했습니다.
인터랙티브 허브
0 답글이 기사에 대한 제안, 질문, 또는 간단한 댓글이 있으시면 아래 토론 섹션에 자유롭게 작성해 주세요.
토론에 참여하려면 로그인하세요
지금 로그인아직 댓글이 없습니다. 첫 번째로 댓글을 남겨보세요!