5일간 DeFi 해킹 3건: THORChain·Verus·Echo 2,300만 달러 피해

5일 만에 익스플로잇 3건. 총 2,300만 달러가 사라졌다. 5월 15일 THORChain, 18일 Verus Bridge, 19일 Echo Protocol. ZachXBT, PeckShield, TRM Labs의 온체인 데이터에 따르면, 공격 벡터는 각기 달랐지만 결과는 동일했다. 아직 5월이 끝나지도 않았다.

출처: TRM Labs, Chainalysis, ZachXBT, PeckShield · 2026년 5월 15~16일

2026년 5월 15일 09:45 UTC, ZachXBT가 텔레그램에 경보를 올렸다. 크로스체인 탈중앙화 거래소 THORChain의 Asgard 볼트에서 이상 자금 흐름이 포착됐다는 내용이었다. 초기 피해 추산액은 ZachXBT 발표 기준 740만 달러. 두 시간 뒤 그 수치는 1,080만 달러로 불어났고, 공격은 비트코인·이더리움·BNB 체인·Base를 동시에 타격했다. 네이티브 토큰 RUNE은 수분 만에 $0.58에서 약 $0.50으로 15% 급락했다. 자동 일시정지 메커니즘이 작동하면서 피해를 활성 Asgard 볼트 6개 중 1개로 제한했다. 사용자 자금은 손실 없이 보호됐다.

공격 방식이 정교하다. 한 검증인 노드가 며칠 동안 정상적으로 운영되며 GG20 TSS 프로토콜의 일반적인 서명 세리머니에서 암호화 키 조각을 축적했다. 충분한 조각이 모이자 Asgard 볼트의 전체 개인 키를 재조합해. 마치 네트워크 전체의 합의에 의해 승인된 것처럼 출금 트랜잭션에 서명했다. PeckShield 분석에 따르면, thor16ucjv3v695mq283me7esh0wdhajjalengcn84q로 식별된 악성 노드는 공격 불과 며칠 전에 활성 집합에 진입했다. 치밀한 사전 계획이었다.

Chainalysis가 재구성한 준비 과정은 수 주에 걸쳐 있었다. Monero, Hyperliquid, Arbitrum에서의 자금 조작이 있었고, 공격 정확히 43분 전에 8 ETH가 공격 지갑으로 이체됐다. 이 패턴은 낯설지 않다. 4월에 발생한 Kelp DAO 해킹($2억 9,200만 달러)도 수 개월에 걸친 유사한 준비 과정을 거쳤다. 아이러니하게도 THORChain은 그 사건에서 Lazarus Group이 36시간 동안 약 1억 7,500만 달러의 탈취 ETH를 세탁하는 경로로 활용됐다. Kelp 사태 이후 촉발된 Aave 위기는 바로 이번 주 두 번째 공격이 일어난 5월 18일에야 종결됐다.

출처: Blockaid, PeckShield · 2026년 5월 18일

THORChain 사태 3일 후 또한 이번에는 일시정지도 없었다. Blockaid가 Verus-Ethereum Bridge 익스플로잇을 실시간으로 탐지했지만, 공격자는 이미 103.6 tBTC, 1,625 ETH, 147,000 USDC를 빼낸 뒤였다. 이 모든 자산은 5,402.4 ETH로 전환됐고, 목적지 지갑 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9는 5월 19일에도 여전히 활성 상태였다. 공격 14시간 전 Tornado Cash를 통한 사전 자금 충전은 명백한 계획적 범행의 증거다. 기회주의적 공격이 아니다 또한 4월 Drift Protocol 해킹과 동일한 패턴이다. 당시에도 공격 지갑은 수 주 전부터 동일한 도구로 준비됐다. Verus의 구체적인 기술적 공격 벡터는 아직 분석 중이다.

출처: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD on X) · 2026년 5월 18~19일

5월 18일 저녁, 온체인 분석가 dcfgod가 X에 게시물을 올렸다. Monad 위의 Echo Protocol에서 누군가 1,000 eBTC를 무에서 발행했다는 내용이었다. 명목 가치는 7,670만 달러 또한 실제 피해액은 81만 6,000달러. 두 숫자의 간극이 모든 것을 설명한다. PeckShield 분석에 따르면, 공격자는 발행 한도가 없고 멀티시그도 타임락도 없는 단일 관리자 키를 장악하고 있었다. 공격자는 45 eBTC를 Curvance에 담보로 예치해 11.29 WBTC를 빌린 뒤, 자금을 이더리움으로 옮겨 384 ETH를 Tornado Cash로 전송했다. 모두 몇 시간 안에 벌어진 일이다. 공격자 지갑에 남은 955 eBTC는 아무 쓸모가 없었다. Monad 네트워크에 이를 실제 가치로 전환할 유동성이 없었기 때문이다. Echo는 해당 토큰을 소각했다. Monad 공동창업자 Keone Hon은 X 게시물을 통해 네트워크 자체는 전혀 피해를 입지 않았다고 확인했다.

SlowMist 창업자 Yu Xian은 핵심 문제를 짚었다. 무제한 발행 권한을 가진 단일 제어 지점은 설계상 취약점이지, 고립된 실수가 아니라는 것이다. 이 패턴은 크로스체인 브리지에서 수십 건의 과거 익스플로잇과 동일하다.

출처: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 2026년 5월 15~19일

해커는 어떻게 DeFi 브리지에서 암호화폐를 탈취하는가

이번 주 세 건의 공격은 기술적 벡터가 서로 달랐지만 구조적으로 공통점이 있다. 브리지는 진입 지점이다. 브리지가 반드시 가장 취약한 구성요소여서가 아니라, 서로 다른 체인 사이를 오가는 가장 큰 자금이 집중되고, 핵심 프로토콜보다 이중화가 부족한 경우가 많기 때문이다.

THORChain의 경우 공격자는 GG20 TSS의 암호화 취약점을 이용했다. 키를 직접 훔친 것이 아니라 정상적인 네트워크 운영 중 조각조각 재구성했다. 완성된 키로는 실제 검증인처럼 트랜잭션에 서명할 수 있었다. 온체인 움직임이 명백해질 때까지 어떤 경보도 울리지 않았다.

Verus Bridge의 경우 벡터는 아직 분석 중이지만. Tornado Cash를 통해 14시간 전에 자금을 사전 충전했다는 사실은 치밀하게 계획된 작전임을 보여준다. Echo Protocol에서는 암호화 취약점이 없었다. 보호 장치가 전혀 없는 관리자 키 하나가 프로토콜과 접근 권한 보유자 사이의 유일한 방어선이었다.

피해 증폭 메커니즘은 항상 같은 방식으로 작동한다. 브리지에서 발행된 합성 토큰이나 래핑 토큰이 인접한 렌딩 프로토콜에서 담보로 수락된다. 무에서 가치를 만들고, 실제 가치를 빌리고, 시스템이 반응하기 전에 빠져나간다. 4월 Kelp DAO 브리지 해킹($2억 9,200만 달러)이 바로 이 패턴으로 발생했다. 그 전에는 Drift Protocol이 같은 방식으로 $2억 8,500만 달러의 피해를 입었다. DeFi 컴포저빌리티는 생태계의 강점이다. 동시에 지금 같은 상황에서는 가장 효율적인 파괴 수단이기도 하다.

DefiLlama에 따르면 2026년 5월에는 이미 14건의 DeFi 보안 사고가 발생했으며, 5월 19일이 아직 완전히 지나지 않은 시점의 수치다. 4월은 총 6억 5,100만 달러로 마감됐는데, Kelp과 Drift 두 사건만으로 전체 피해의 91%를 차지했다. 현재 시장의 시선이 집중된 지점은 두 곳이다. 첫째, THORChain 익스플로잇의 귀책. TRM Labs는 아직 특정 공격자를 지목하지 않았다.

만약 Kelp, Drift에 이어 이번에도 라자루스 그룹(Lazarus Group)이 관여했다는 사실이 드러난다면, 북한의 2026년 암호화폐 탈취액은 아직 4개월이 남은 시점에 역대 최고치를 갱신하게 된다. 둘째, 5월 22~23일로 예정된 THORChain 커뮤니티 투표다. 침해된 노드의 본드 슬래싱과 프로토콜 소유 유동성을 통한 손실 충당을 두고 결정이 내려진다. RUNE은 이미 몇 시간 만에 15%를 잃었다.

커뮤니티가 앞으로 며칠 안에 내리는 결정은. DeFi가 외부의 강제 없이 스스로 규칙을 만들 수 있는지를 가늠하는 실질적인 시험대가 될 것이다. 한국 투자자 입장에서 주목할 지표는 명확하다. Upbit와 Bithumb에서의 RUNE 거래량 변화, TRM Labs의 THORChain 익스플로잇 귀책 발표, 5월 22~23일 커뮤니티 투표 결과다. DAXA 소속 거래소들이 이러한 보안 사고에 어떻게 반응하는지도 국내 투자자가 계속 주시해야 할 부분이다.