2026년 5월 연속 발생한 디파이 해킹 3건: THORChain, Verus 브리지, Echo 프로토콜

프로토콜 대응

• 이상 활동 감지 후 거래 및 서명 기능 즉시 중단
• 노드 운영자에게 검증자 인프라 점검 요청
• 공격에 연루된 것으로 의심되는 신규 노드 조사 진행

이 사건은 분산 키 관리 기술로 여겨지는 MPC/TSS 지갑 시스템도 구현 및 운영 방식에 따라 취약해질 수 있음을 보여줬다.

2. Verus–Ethereum 브리지 해킹 — 2026년 5월 18일

추정 피해 규모: 약 1,158만 달러

THORChain 사건이 발생한 지 사흘 뒤, 공격자는 Verus 블록체인과 Ethereum을 연결하는 크로스체인 브리지를 공격했다. 이 공격으로 약 1,158만 달러 상당의 자산이 탈취됐다.

도난 자산에는 다음이 포함됐다.

• 103.6 tBTC
• 1,625 ETH
• 약 147,000 USDC

공격자는 이후 자산을 대부분 ETH로 교환해 단일 지갑으로 통합했다.

보안 연구자들은 공격 원인을 위조된 크로스체인 전송 메시지로 분석했다. 브리지가 해당 메시지를 정상적인 증명으로 인식하면서 자산을 지급했다는 것이다.

문제의 핵심은 양쪽 체인의 검증 로직 사이의 공백이었다. Verus 체인과 Ethereum 스마트 계약 모두 일부 검증을 수행했지만, 입력된 전송 금액과 실제 지급 금액이 일치하는지 확인하는 핵심 검증이 빠져 있었다.

결과적으로 공격자는 거의 자산을 예치하지 않은 상태에서 정상처럼 보이는 증명을 제출해 브리지 자산을 인출할 수 있었다.

프로토콜 대응

• Blockaid와 PeckShield 등 보안 업체가 공격을 실시간 탐지
• 브리지 및 관련 노드 운영 중단
• 검증 로직 강화를 위한 수정 작업 착수

이 사건은 과거 Wormhole, Nomad 등과 유사한 패턴으로, 크로스체인 브리지가 여전히 디파이에서 가장 위험한 공격 표면 중 하나임을 다시 보여줬다.

3. Echo Protocol 해킹 — 5월 18~19일 보고

이론상 노출 규모: 약 7,660만~7,670만 달러
실제 추정 손실: 약 81만6천 달러

Echo Protocol은 Monad 블록체인에 구축된 비트코인 기반 디파이 플랫폼이다. 공격자는 이 프로토콜의 관리자(private admin) 키를 탈취해 eBTC 발행 계약을 직접 조작했다.

그 결과 약 1,000개의 eBTC가 무단 발행되었으며 당시 시가 기준 약 7,600만 달러 이상의 가치를 갖는 합성 비트코인이 생성됐다.

그러나 실제로 시장에서 빼돌린 금액은 훨씬 작았다. 유동성이 부족했기 때문이다.

온체인 분석에 따르면 공격자는 다음 과정을 거쳤다.

• 45 eBTC를 Curvance 대출 프로토콜에 담보로 예치
• 약 11.29 WBTC 대출
• 해당 자산을 Ethereum으로 브리지
• ETH로 교환 후 약 384 ETH를 Tornado Cash로 전송

보안 보고서들은 실제 손실을 약 81만6천 달러 수준으로 추정한다.

프로토콜 대응

• Echo Protocol 크로스체인 거래 즉시 중단
• 팀이 관리자 키 통제권 회복
• 공격자가 보유하던 955 eBTC를 소각(burn)
• Curvance는 관련 대출 시장 일시 중단

이 사건은 특히 단일 관리자 키(single admin key) 구조가 얼마나 큰 위험이 될 수 있는지를 보여줬다.

세 사건이 드러낸 2026년 디파이 보안의 구조적 문제

1. 크로스체인 브리지는 여전히 가장 위험한 영역

Verus 사례는 브리지의 핵심 문제가 여전히 **체인 간 상태 검증(state verification)**이라는 점을 보여준다. 출발 체인의 실제 이벤트가 발생했는지, 그리고 그 금액이 목적지 지급과 정확히 일치하는지 검증하지 않으면 공격자는 정상처럼 보이는 증명만으로도 자산을 인출할 수 있다.

브리지는 여러 체인의 자산을 담보로 보유하기 때문에 공격이 성공하면 단일 취약점으로 대규모 손실이 발생할 수 있다.

2. 분산 서명 시스템도 운영 리스크가 존재

THORChain은 개인 키를 여러 노드에 분산시키는 MPC 기반 TSS 구조를 사용한다. 이는 단일 키보다 안전하지만, 이번 사건은 노드 관리, 검증자 참여, 서명 프로토콜 구현 중 하나라도 실패하면 여전히 공격이 가능하다는 점을 보여줬다.

즉, 탈중앙화된 키 관리도 운영 인프라 자체가 새로운 공격 표면이 될 수 있다.

3. 관리자 권한은 여전히 시스템적 취약점

Echo Protocol 사건에서는 관리자 키 하나가 수천만 달러 규모의 토큰 발행 권한을 가지고 있었다. 공격자는 이 키를 확보하자마자 대규모 합성 자산을 생성할 수 있었다.

멀티시그, 타임락, 발행 제한 등 기본적인 거버넌스 보호 장치가 없을 경우 중앙화된 관리자 권한은 디파이 시스템 전체를 위험에 빠뜨릴 수 있다.

4. 위기 상황에서는 여전히 중앙화된 대응이 필요

세 사건 모두 피해 확산을 막기 위해 즉각적인 개입이 필요했다.

• 네트워크 중단 및 서명 중지 (THORChain)
• 브리지 노드 정지 (Verus)
• 시장 중단 및 토큰 소각 (Echo)

이는 디파이가 완전히 자동화된 시스템이라기보다, 실제 위기 상황에서는 긴급 개입이 가능한 운영 구조에 여전히 의존하고 있음을 보여준다.

결론

2026년 5월의 연속된 사건은 디파이 보안 문제가 단순한 스마트 계약 버그에만 있는 것이 아니라는 사실을 보여줬다.

오늘날 주요 취약점은 오히려 다음과 같은 운영 인프라 계층에서 발견된다.

• 크로스체인 메시지 검증
• 검증자 및 서명 노드 운영
• 관리자 키 관리
• 거버넌스 및 비상 대응 구조

디파이가 여러 체인과 프로토콜을 연결하는 방향으로 확장될수록, 향후 대형 해킹 역시 스마트 계약 코드보다 이러한 인프라 계층에서 발생할 가능성이 높다는 분석이 나온다.