디파이(DeFi) 코드, 인공지능(AI)의 해킹가능성 경고..."당장 자금 빼라"

▲ 디파이(DeFi), 블록체인, 보안/AI 생성 이미지

인공지능이 디파이(Decentralized Finance, DeFi)의 공개 코드를 대규모 해킹 표적으로 바꾸고 있다는 경고가 나왔다.

암호화폐 전문 유튜브 채널 코인뷰로(Coin Bureau) 진행자 루이스 라스킨(Louis Raskin)은 6월 16일(현지시간) 업로드된 영상에서 오픈제플린(OpenZeppelin) 공동창업자이자 전 최고기술책임자 마누엘 아라오스(Manuel Araoz)의 경고를 조명했다. 아라오스는 “모든 디파이를 안전하지 않다고 본다”고 밝혔다. 그는 가족과 지인에게 메이커다오(MakerDAO)와 컴파운드(Compound)에서도 자금을 빼라고 조언했다. 오픈제플린의 코드는 약 2,500억달러 규모의 프로토콜 자산을 보호한다. 누적 온체인 거래 규모는 약 35조달러이다. 회사는 900건이 넘는 보안 감사를 진행하고 1만 개 이상의 취약점을 발견했다.

영상은 공격자와 방어자 사이의 구조적 불균형을 핵심 위험으로 지목했다. 방어자는 모든 취약점을 막아야 한다. 공격자는 단 하나의 허점만 찾으면 된다. 스마트계약은 배포 후 수정이 어렵고 코드도 모두 공개된다. 프로토콜에 쌓인 자산 규모 역시 누구나 확인할 수 있다. 영상에 인용된 2025년 연구에 따르면 공격자는 약 6,000달러를 탈취하면 수익을 낼 수 있다. 방어자가 같은 범위의 보안을 구축하는 비용은 약 6만달러이다.

AI 에이전트는 해당 격차를 빠르게 벌리고 있다. 2020년부터 2025년까지 공격받은 스마트계약 405개를 시험한 결과 AI 모델은 전체 공격의 51%를 재현했다. 모의 탈취액은 5억 5,000만달러에 달했다. 학습 시점 이후 배포된 계약 34개 가운데 19개도 뚫었다. 해당 계약에서 발생한 모의 탈취액은 약 460만달러이다. 스마트계약 한 건을 검사하는 비용은 약 122달러까지 떨어졌다. AI 공격의 잠재 수익은 2025년 동안 약 1.3개월마다 두 배씩 증가했다.

피해 규모도 커졌다. 영상은 2026년 4월 30일 가운데 27일 동안 공격이 발생했다고 전했다. 27건의 사고에서 약 6억 3,000만달러가 빠져나갔다. 켈프다오(Kelp DAO) 관련 사고의 탈취액은 약 2억 9,200만달러이다. 취약점은 에이브(Aave, AAVE) 자체 코드가 아닌 브리지와 검증자 설정에서 발생했다. 사고 이후 48시간 동안 에이브에서 84억 5,000만달러가 이탈했다. 총예치자산은 약 264억달러에서 145억달러로 줄었다. 주요 대출 프로토콜의 보안이 2020년 이후 약 98% 개선됐다는 반론도 나왔다. 총예치자산 대비 손실률은 2022년 7.24%에서 2026년 1.49%로 낮아질 것으로 전망됐다.

영상은 AI 감사와 정형 검증, 버그 바운티, 보험만으로 보안 불균형을 해소하기 어렵다고 결론 내렸다. 넥서스 뮤추얼(Nexus Mutual)의 자본 준비금은 약 1억 7,000만달러이다. 디파이 시장 규모는 830억~1,000억달러에 달한다. 켈프다오 사태에서는 보안위원회가 관리자 권한으로 7,100만달러를 동결했다. 이후 40억달러가 넘는 자금이 강화된 체인링크(Chainlink, LINK) 인프라로 이동했다. 디파이는 관리자 키와 자금 동결, 신원 확인 같은 중앙화된 안전장치를 확대하고 있다. 코드 대신 사람과 거버넌스가 새로운 공격 지점으로 떠오르고 있다.

*면책 조항: 이 기사는 투자 참고용으로 이를 근거로 한 투자 손실에 대해 책임을 지지 않습니다. 해당 내용은 정보 제공의 목적으로만 해석되어야 합니다.*