3,000달러짜리 서버 하나와 주말 시간만으로 700억 달러 규모의 블록체인을 위협할 수 있었다. 2026년 7월 4일 공개된 보안 보고서가 전하는 불편한 진실이다. 이 사건은 단순히 하나의 프로젝트를 넘어, 암호화폐 보안 전반에 대한 근본적 질문을 던진다.
먼저 좋은 소식부터 말하자면, 실제로 유출된 자금은 없다. 나쁜 소식은, 그 결과가 얼마나 쉽게 달라질 수 있었는지다.
Aptos Move VM에서 무슨 일이 있었나
보안 전문 기업 Hexens의 공동 창업자 겸 CTO Vahe Karapetyan이 이끄는 팀은 Aptos의 Move VM에서 치명적인 결함을 발견했다. Move VM은 네트워크의 모든 스마트 컨트랙트를 실행하는 핵심 엔진이다. 문제는 이른바 스테일 캐시 버그(stale-cache bug)로 인한 타입 혼동(type confusion)이었다. 쉽게 말해, 시스템이 온체인 자산을 전혀 다른 것으로 인식하도록 속일 수 있었다.
이것이 왜 위험한지는 Move 언어의 설계에서 비롯된다. Move에서는 스테이블코인 발행 권한, 브리지 제어권, 대출 시장 관리 권한 같은 프로토콜 권한이 온체인 자원으로 저장된다. 이를 조작한다는 것은 해당 권한을 탈취하는 것을 의미한다. 결함은 2월 25일 버그 바운티 프로그램을 통해 신고됐고 몇 시간 만에 패치됐으며, 7월 4일에야 공개됐다. 테스트 결과, 3,000달러 수준의 장비로 특별한 권한 없이 공격 성공률이 90%를 넘었다.
왜 중요한가: 700억 달러의 리스크
사실, 위협은 개인 지갑의 토큰이 아니라 네트워크를 연결하는 핵심 인프라에 집중됐다. 개념 증명을 독립적으로 검증한 Grego AI는 Aptos 네트워크 내 직접 위험 노출 규모를 약 2억 5,000만 달러로 추산했다. 그러나 LayerZero, Wormhole, USDC 프로토콜 같은 크로스체인 브리지를 통해 연결되는 시스템까지 고려하면, 1차 시스템 리스크 추정치는 700억 달러에 달한다.
모든 사용자가 이해해야 할 핵심이 여기 있다. 하나의 블록체인이 뚫리면 그 피해는 해당 체인에서 멈추지 않는다. 다른 네트워크로 연결된 브리지를 통해 접근 가능한 자산 규모가 지역적 문제를 업계 전체의 위기로 변환시킨다.
생각하게 만드는 비대칭성
출처: Hexens, Grego AI, CoinDesk, 2026년 7월
- 시뮬레이션 공격 비용: 약 3,000달러
- Aptos 버그 바운티 최대 보상금: 100만 달러
- 추정 시스템 리스크: 최대 700억 달러
이 불균형이야말로 업계 전체의 보안이 소수 연구자의 윤리적 선택에 달려 있는 이유를 설명한다.
「설계상 안전하다」는 신화의 붕괴
여기에는 씁쓸한 아이러니가 있다. Move 언어는 Meta의 Diem 프로젝트에서 보안을 근본 원칙으로 삼아 탄생했으며, 권한을 자원으로 저장해 조작을 어렵게 만드는 설계를 채택했다. 그럼에도 실행 엔진 자체에서 치명적 결함이 발견됐다.
개발자들에게 이 교훈은 명확하다. VM 수준의 취약점은 개별 애플리케이션 보안보다 더 아래 층위에 존재한다. 아무리 정교하게 스마트 컨트랙트를 작성해도, 그것을 실행하는 기반 레이어가 취약하면 그 노력은 무의미하다. 어떤 아키텍처도, 아무리 현대적이어도, 면역이 아니다.
불편한 교훈: 보안 경제학은 망가져 있다
이 사건의 가장 심층적인 문제는 경제적 구조에 있다. 수백억 달러의 리스크 표면이 최대 100만 달러의 버그 바운티로 지켜지고 있었다. 해당 취약점을 블랙마켓에 팔았다면 훨씬 더 큰 금액을 받을 수 있었던 연구자가 지갑을 비우는 대신 이메일을 보내는 쪽을 선택했다. 오늘날 이 업계 보안의 상당 부분은 바로 그 선택에 의존하고 있다.
Aptos 측은 현실 조건에서의 익스플로잇 가능성이 “극히 낮다”고 주장하며 심각성에 이의를 제기했다. 그러나 Polygon의 CTO Mudit Gupta가 독립적으로 익스플로잇을 실행해 작동을 확인했다. 빠르고 자금력이 충분한 네트워크마저 이처럼 취약한 것으로 드러날 때, “뚫리지 않는 블록체인”이라는 서사는 폐기해야 한다. 평가 기준도 바뀌어야 한다 한편 초당 처리 트랜잭션 수를 자랑하는 것에서. 이상 징후 발생 시 얼마나 빠르게 네트워크 스스로 멈출 수 있는지로 이동해야 한다.
자금 손실은 없었고, 이는 분명히 축하할 일이다. 그러나 그 공은 운이 아니라 버그 바운티 프로그램과 신속한 패치에 있다. 다음에 어떤 네트워크가 스스로를 “철옹성”이라 부를 때, 그 선이 얼마나 가늘었는지를 기억해야 한다. 앱만 볼 것이 아니라 기반 레이어의 보안 구조와 인센티브 체계를 함께 살펴봐야 한다. 상세 내용은 Aptos Foundation과 Hexens의 공식 사이트에서 확인할 수 있다.
