드리프트 프로토콜 2억8천5백만 달러 해킹 사건 심층 분석: 솔라나 DeFi 보안 위기의 전말
만우절에 터진 2026년 최대 규모 해킹
2026년 4월 1일, 솔라나 기반 최대 탈중앙화 무기한 선물 거래소 드리프트 프로토콜(Drift Protocol)에서 약 2억8천5백만 달러 규모의 자산이 단 12분 만에 유출되었습니다. 이 사건은 2026년 암호화폐 업계 최대 규모의 해킹이자, 2022년 웜홀(Wormhole) 브릿지 해킹(3억2천6백만 달러) 이후 솔라나 역사상 두 번째로 큰 보안 사고로 기록되었습니다.
블룸버그(Bloomberg)와 포춘(Fortune)을 비롯한 주요 외신들이 일제히 보도한 이번 사건은 스마트 컨트랙트 코드 취약점이 아닌, 솔라나의 합법적 기능인 '듀러블 논스(Durable Nonces)'를 악용한 소셜 엔지니어링 공격이라는 점에서 DeFi 보안의 근본적인 문제를 다시 한번 부각시켰습니다.
배경: 드리프트 프로토콜과 솔라나 DeFi 생태계
드리프트 프로토콜은 솔라나 블록체인 위에 구축된 가장 큰 탈중앙화 무기한 선물 거래소로, 해킹 직전 총 예치금(TVL)이 약 5억5천만 달러에 달했습니다. 솔라나 DeFi 생태계의 핵심 인프라 역할을 해왔으며, 수많은 프로토콜들이 드리프트와 연동되어 유동성을 공유하고 있었습니다.
솔라나는 빠른 처리 속도와 낮은 수수료를 무기로 이더리움에 대한 대안 체인으로 성장해왔습니다. 그러나 이번 해킹은 고속 처리 환경이 오히려 공격자에게 유리하게 작용할 수 있다는 점을 여실히 보여주었습니다. 31건의 출금 트랜잭션이 12분이라는 극히 짧은 시간 안에 실행되었고, 도난 자금 대부분이 수 시간 내에 이더리움으로 브릿지되었습니다.
이번 사건이 특히 충격적인 이유는 멀티시그(다중서명) 보안 체계, 즉 DeFi에서 가장 신뢰받는 거버넌스 구조 자체가 무력화되었기 때문입니다. 5명으로 구성된 보안위원회(Security Council)의 2/5 승인 구조가 공격자에 의해 교묘하게 우회되었습니다.
공격 기법 심층 분석: 듀러블 논스와 소셜 엔지니어링의 결합
듀러블 논스란 무엇인가
솔라나 블록체인에서 모든 트랜잭션에는 '최근 블록해시(recent blockhash)'가 포함됩니다. 이 블록해시는 60~90초 후 만료되어 오래된 트랜잭션의 재실행을 방지하는 안전장치 역할을 합니다. 그러나 듀러블 논스는 이 만료 메커니즘을 우회하여 트랜잭션을 무기한 유효하게 만드는 합법적 기능입니다. 본래 오프라인 서명이나 복잡한 다자간 승인 절차를 위해 설계되었지만, 이번에는 공격 도구로 변질되었습니다.
코인데스크(CoinDesk)의 기술 분석에 따르면, 공격자는 이 기능을 악용하여 사전 서명된 트랜잭션을 수 주간 보관한 후 원하는 시점에 일괄 실행했습니다.
공격 타임라인
3월 11일: TRM Labs의 분석에 따르면, 공격 준비는 토네이도 캐시(Tornado Cash)에서 10 ETH를 출금하면서 시작되었습니다. 자금 이동이 본격화된 시간은 GMT 기준 3월 12일 오전 12시경, 즉 평양 시간 오전 9시경이었습니다.
3월 12일경: 공격자는 가상의 토큰 '카본보트 토큰(CarbonVote Token, CVT)'을 배포했습니다. 소액의 유동성 공급과 워시 트레이딩을 통해 인위적인 가격 신호를 생성했고, 드리프트의 오라클 시스템은 이를 합법적 담보 자산으로 인식했습니다.
3월 23일: 4개의 듀러블 논스 계정이 생성되었습니다. 이 중 2개는 드리프트 보안위원회의 실제 멤버와 연결되어 있었고, 나머지 2개는 공격자가 통제하는 계정이었습니다. 이는 공격자가 이미 5명의 위원 중 2명으로부터 유효한 서명을 확보했음을 의미합니다.
3월 27일: 드리프트는 보안위원회의 승인 문턱을 2/5로 설정하면서 타임락(timelock)을 제로(0)로 변경했습니다. 이 조치는 최후의 방어선이었던 실행 지연 장치를 제거하는 결과를 초래했습니다.
4월 1일: 약 오후 4시(UTC), 드리프트가 보험 기금에서 합법적인 테스트 출금을 실행한 직후, 공격자는 사전 서명된 듀러블 논스 트랜잭션을 제출했습니다. 솔라나 블록체인에서 4슬롯 간격으로 실행된 2건의 트랜잭션으로 악성 관리자 이전이 생성·승인되었고, 이후 31건의 출금 트랜잭션을 통해 12분 만에 전체 자금이 탈취되었습니다.
도난 자산 내역
유출된 자산의 대부분은 JLP 토큰으로 약 1억5천5백만~1억5천9백만 달러 상당이었습니다. 이 외에도 수천만 달러 규모의 USDC 스테이블코인, 래핑된 이더리움(WETH), 래핑된 비트코인 변형, 그리고 기타 솔라나 네이티브 토큰이 포함되었습니다.
북한 연루 의혹: DPRK 해커 그룹의 그림자
TRM Labs는 초기 조사 결과, 이번 해킹이 "북한 해커들에 의해 자행되었을 가능성이 높다"고 발표했습니다. 블록체인 분석업체 엘립틱(Elliptic) 역시 독자적인 분석을 통해 "온체인 행동 패턴, 자금 세탁 방법론, 네트워크 수준 지표가 DPRK 관련 위협 행위자들의 알려진 수법과 일치한다"고 확인했습니다.
특히 주목할 점은 자금 세탁의 속도와 공격성입니다. TRM Labs에 따르면, 도난 자금 대부분이 수 시간 내에 이더리움으로 브릿지되었으며, 개별 트랜잭션당 수십만에서 수백만 달러의 USDC가 이동되었습니다. 이는 2025년의 세탁 패턴보다 훨씬 공격적인 양상이었습니다.
체이널리시스(Chainalysis)의 보고에 따르면, 이번 사건이 확인될 경우 2026년에 추적된 18번째 DPRK 연계 해킹 행위가 되며, 올해 총 피해 규모가 3억 달러를 넘어서게 됩니다. 2025년 한 해 동안 북한 해커들은 최소 20억2천만 달러의 암호화폐를 탈취했으며, 이는 전년 대비 51% 증가한 수치였습니다.
시장 충격: DRIFT 토큰 폭락과 솔라나 생태계 동요
해킹 소식이 전해지자 DRIFT 토큰은 40% 이상 급락하며 사상 최저가를 기록했습니다. 토큰 가격은 약 0.05달러까지 하락했습니다. 드리프트의 TVL은 5억5천만 달러에서 약 2억3천만 달러로 급감했습니다.
솔라나(SOL) 자체도 상당한 타격을 받았습니다. SOL 가격은 4월 2일 장중 최저 78.6달러까지 약 9% 하락했으며, 주간 기준으로는 약 13% 하락하며 78달러 수준으로 후퇴했습니다. 코인마켓캡(CoinMarketCap)은 드리프트 해킹을 SOL 가격 하락의 "명확한 주요 촉매제"로 지목했습니다. 솔라나 전체 TVL은 해킹 이후 10억 달러 이상 감소하며 투자자 신뢰에 심각한 타격을 입었습니다.
연쇄 피해도 속출했습니다. 레인저 파이낸스(Ranger Finance)는 약 90만 달러의 익스포저를 확인했고, 피기뱅크(PiggyBank_fi)는 약 10만6천 달러의 익스포저를 팀 자금으로 충당했습니다. 리플렉트 머니(Reflect Money)는 USDC+와 USDT+의 발행 및 환매를 중단했고, 프로젝트0(Project0)는 드리프트 포지션 대비 차입을 중단하는 등 최소 11개 프로젝트가 긴급 조치를 시행했습니다.
복구 전망과 향후 과제
4월 5일 현재, 드리프트 프로토콜은 공식적인 사용자 보상 계획을 발표하지 않은 상태입니다. 드리프트 팀은 입출금을 중단하고 체이널리시스 및 주요 거래소들과 협력하여 도난 자금 추적에 나서고 있습니다. 4월 3일에는 도난 자금을 보유한 것으로 추정되는 4개의 이더리움 지갑에 온체인 메시지를 전송하기도 했습니다.
커뮤니티 내에서는 자금 반환 협상, 토큰 기반 보상, DAO 프로세스를 통한 부분 상환 등 다양한 방안이 논의되고 있지만, 각 방안은 희석, 거버넌스, 법적 문제 등 상당한 복잡성을 내포하고 있습니다. 야후 파이낸스(Yahoo Finance)에 따르면, 드리프트 측에서 에어드롭을 통한 보상 방안을 검토 중이라는 보도도 있었으나, 커뮤니티의 반발에 직면한 것으로 알려졌습니다.
이번 사건은 DeFi 업계 전반에 걸쳐 보안 기준의 근본적인 재검토를 촉발하고 있습니다. 멀티시그의 타임락 의무화, 듀러블 논스 트랜잭션에 대한 추가 검증 절차, 크로스 프로토콜 의존성에 대한 리스크 관리 강화, 그리고 분산형 보험 프로토콜의 역할 확대 등이 핵심 과제로 떠오르고 있습니다.
투자자를 위한 핵심 시사점
드리프트 프로토콜 해킹은 DeFi의 가장 신뢰받는 보안 메커니즘인 멀티시그조차 소셜 엔지니어링 앞에서는 취약할 수 있음을 보여준 사건입니다. 코드 감사만으로는 부족하며, 운영 보안(OpSec)과 거버넌스 설계가 기술적 보안만큼 중요하다는 교훈을 남겼습니다. 솔라나 DeFi에 참여하는 투자자들은 프로토콜의 멀티시그 구조, 타임락 설정, 그리고 비상 대응 체계를 반드시 확인해야 하며, 단일 프로토콜에 대한 집중 위험을 경계해야 합니다. 북한 연계 해킹 그룹의 수법이 갈수록 정교해지고 있는 만큼, DeFi 생태계 전체의 보안 수준 향상이 시급한 과제로 남아 있습니다.
