Zcash 취약점이 몰락한 거래소 창업자에게 1,350만 달러 안겨준 사연

발견 즉시 Zcash 오픈 개발 연구소(Zcash Open Development Lab) 엔지니어, Zcash 재단, 채굴자 및 거래소 간에 비밀리에 공조 체제가 가동되었습니다 . 실제 사용자 자금을 취급하는 라이브 프라이버시 풀에 취약점이 존재했기에 신속한 조치가 필수적이었지만, 수정 전에 대중에게 공개될 경우 악용될 위험도 있었습니다.

2단계 긴급 업그레이드

Zcash 재단은 5일에 걸쳐 2단계 대응을 실행했습니다.

1단계: 긴급 소프트포크 (6월 2일)

2026년 6월 2일 UTC 기준 오전 2시경, 블록 높이 3,363,426에서 지브라(Zebra) 4.5.3 클라이언트를 통해 긴급 소프트포크가 활성화되었습니다 . 이 소프트포크는 모든 오차드 포함 트랜잭션을 일시적으로 비활성화하여 쉴드 풀을 사실상 동결했습니다. 이는 개발자들이 영구적인 회로 수정을 마무리하는 동안 이론적인 공격 가능성을 원천 봉쇄하기 위한 조치였습니다.

2단계: NU6.2 하드포크 (6월 3일)

2026년 6월 3일 미국 동부 표준시 기준 오전 0시 5분경, 블록 높이 3,364,600에서 NU6.2 하드포크가 활성화되었습니다 . 지브라 5.0.0 릴리스를 통해 도입된 이 업그레이드는 수정된 영지식 증명 검증 키를 도입하여 취약점을 영구적으로 해결하고 오차드 풀을 재개했습니다 .

Zcash 재단은 사용자 자금 손실이나 개인정보 유출이 없었으며, 버그가 악용된 정황도 발견되지 않았다고 확인했습니다 . 그러나 여러 매체에서 지적했듯, Zcash의 프라이버시 설계 특성상 쉴드 풀 내에 숨겨진 위조 ZEC가 없다는 사실을 암호학적으로 확정적으로 증명하는 것은 불가능합니다 . 추가 안전장치로 내장된 "턴스타일(turnstile)" 메커니즘도 언급되었습니다 .

30% 폭락과 그 여파

취약점 소식이 대중에 알려지자 ZEC 가격은 약 30% 폭락했습니다 . 프라이버시 코인 내에서 무한정 인플레이션을 일으킬 수 있는 버그의 심각성에 거래자들이 반응하며 거래소 전반에 걸쳐 즉각적인 매도 압력이 발생했습니다.

이 급격한 움직임은 특히 한 레버리지 포지션에 유리하게 작용했습니다.

개럿 진의 1,350만 달러 숏 포지션

현재는 사라진 거래소 비트포렉스의 설립자 개럿 진은 완전 온체인 파생상품 거래소인 하이퍼리퀴드(Hyperliquid)에서 ZEC에 대한 3배 레버리지 숏 포지션을 보유하고 있었습니다 . 온체인 분석 업체 온체인 렌즈(Onchain Lens)에 따르면, ZEC 폭락 이후 이 포지션에서 약 1,350만 달러의 미실현 이익이 발생했습니다 .

온체인 데이터를 기반으로 한 거래의 주요 세부 사항은 다음과 같습니다:

• 진입 가격: ZEC당 약 626달러
• 명목 규모: 진은 5월 말 ZEC를 숏하기 위해 3,600만 달러 규모의 지정가 주문을 냈으며, 이와 별도로 HYPE 토큰 매수 주문도 함께 제출했습니다
• 레버리지: ZEC 숏에 3배 적용
• 플랫폼: 탈중앙화 거래소 하이퍼리퀴드

주목할 점은 진이 비트코인에 5배 레버리지로 롱 포지션도 보유하고 있으며, 여기서 1,700만 달러가 넘는 미실현 손실을 보고 있다는 사실입니다 . BTC 롱, ZEC 숏이라는 상반된 방향성 베팅은 광범위한 헤징 전략이라기보다는 특정 시장 전망에 따른 것임을 시사합니다 .

비트포렉스(BitForex)의 과거

진의 거래 활동은 진공 상태에서 발생한 것이 아닙니다. 비트포렉스는 2024년 초 갑자기 출금을 중단하여 사용자들의 자산을 묶어버렸습니다. 온체인 수사관들은 이 사건을 5,650만 달러 규모의 출금 사기(먹튀)로 규정했습니다 . 현재 이 거래소는 "파산한" 또는 "사기 혐의를 받는" 거래소로 널리 규정되며, 홍콩과 일본을 포함한 여러 규제 기관이 사용자 자금 사기 및 부실 관리 혐의에 대해 조사 중입니다 .

이 거래소는 2024년 붕괴 이전에도 문제가 많았습니다. 일본 금융청(FSA)은 2023년 비트포렉스가 정식 등록 없이 영업하고 있다고 지적했습니다 . 또한 이 거래소는 과거에 거래량을 조작했다는 의혹도 받았습니다 . 진은 2017년부터 2020년까지 비트포렉스의 CEO를 역임했으며, 이전에는 후오비(Huobi, 현재 HTX)에서 운영 이사를 맡은 이력이 있습니다 .

의심스러운 타이밍의 숏 패턴

2026년 6월의 Zcash 거래가 진의 온체인 수사 등장이 처음은 아닙니다. 2025년 10월, 가명의 온체인 연구원 아이(Eye)는 진을 10만 BTC 이상을 통제하는 하이퍼리퀴드 고래 지갑과 연결하는 분석을 발표했습니다 . 그 지갑은 도널드 트럼프 대통령이 중국산 수입품에 100% 관세를 발표하기 직전, 비트코인과 이더리움에 11억 달러 규모의 레버리지 숏 포지션을 개설했습니다. 이 "블랙 스완" 사건으로 190억 달러의 청산이 발생했고, 이 고래는 하루 만에 8,000만 달러 이상의 수익을 올린 것으로 알려졌습니다 .

2025년 거래의 타이밍, 즉 관세 발표 몇 분 전 숏 포지션이 잡혔다는 사실은 즉시 내부자 거래 의혹을 불러일으켰습니다. 아이는 ENS 도메인 ereignis.eth 및 garrettjin.eth를 통해 고래의 주소를 진에게 추적했으며, 수년 전 HTX와 바이낸스 같은 거래소에서 인출된 자금을 그의 후오비 재직 시절 및 비트포렉스 붕괴와 연결했습니다 .

진은 해당 지갑의 통제권을 부인하며, 고객의 것이라고 주장했습니다. 그는 "트럼프 가문과 아무런 관련이 없다"고 밝히며 이러한 주장이 근거 없다고 비판했습니다 . 부인에도 불구하고, 온체인 귀속과 정확히 타이밍을 맞춘 방향성 베팅 패턴은 암호화폐 수사관과 규제 기관의 감시를 한층 강화시켰습니다.

이것이 DeFi와 프로토콜 보안에 시사하는 바

이번 복합적 사건은 현대 암호화폐 시장의 세 가지 상호 연결된 주제를 부각시킵니다.

AI 지원 보안 감사는 효과적이다. 오차드 버그는 기존 감사로는 거의 4년 동안 발견되지 않았습니다. 클로드 오푸스 4.8은 단 하루 만에 이를 찾아냈습니다 . 영지식 시스템이 복잡해짐에 따라 AI 지원 정형 검증은 중요한 방어 계층으로 부상하고 있습니다.

프라이버시 코인은 독특한 감사 가능성 문제에 직면한다. Zcash의 가장 강력한 기능인 쉴드 트랜잭션은 재단이 숨겨진 위조 ZEC가 없음을 결정적으로 증명하는 것을 불가능하게 만들었습니다. 이번 사건은 프라이버시와 증명 가능한 건전성 사이의 근본적인 긴장 관계를 강조합니다.

온체인 레버리지는 프로토콜 리스크를 시장 리스크로 증폭시킨다. 중형 프라이버시 코인에 3,600만 달러 규모의 숏은 일상적인 거래처럼 보일 수 있습니다. 그러나 그 숏이 의심스러운 거래 타이밍 이력으로 얼룩진 트레이더에 의해, KYC 장벽이 없는 완전 온체인 거래소를 통해, 프로토콜의 최악의 시나리오에 베팅하는 방식으로 실행될 때, 정보에 기반한 거래, 보안 연구, 그리고 잠재적 시장 조작 사이의 경계는 상당히 모호해집니다.