2026년 4월 1일은 만우절 농담이 아니었다. Drift Protocol은 X(구 트위터)에 즉각 메시지를 올렸다: "This is not an April Fools joke." 불과 12분 만에 솔라나 최대 탈중앙화 무기한 선물 거래소는 2,850억 원(약 2억 8,500만 달러)을 잃었다. 코드 버그 때문이 아니었다. 훨씬 더 고치기 어려운 무언가 때문이었다.
3주간의 준비, 12분간의 실행
모든 것은 3월 11일 시작되었다. Tornado Cash에서 10 ETH가 인출되었는데, 평양 시간으로 오전 9시경이었다. 이 자금은 CarbonVote Token(CVT) 생성에 사용되었다 — 실질적 가치가 전혀 없는 완전히 조작된 토큰이다. 이후 몇 주 동안 공격자들은 Raydium에서 소량의 유동성을 공급하고 체계적인 자전거래(wash trading)를 통해 가격을 인위적으로 약 1달러 수준에 유지했다. Drift의 오라클은 이를 정상 자산으로 인식했다. 트릭이 작동한 것이다.
3월 23일, 4개의 durable nonce 계정이 개설되었다. 이 중 2개는 Drift Security Council의 실제 멤버 소유였고, 나머지 2개는 공격자의 것이었다. 공격자들은 이미 필요한 서명을 확보한 상태였다 — 아마도 멀티시그 서명자들에게 일반 트랜잭션처럼 보이는 요청을 제출해, 서명자들이 실제로 무엇을 승인하는지 알 수 없게 만들었을 것이다. 3월 27일, Drift는 Security Council을 타임락(timelock) 없는 2/5 구성으로 전환했다. 사실상 이상 징후를 발견할 수 있는 마지막 기회가 아무도 모르게 사라진 셈이었다.
4월 1일 모든 것이 터졌다. 31건의 출금 트랜잭션이 연속으로 실행되었고, 약 12분 만에 JLP Delta Neutral, SOL Super Staking, BTC Super Staking 등 세 개의 주요 볼트가 비워졌다 — USDC, SOL, JLP, WBTC를 합쳐 총 2억 8,500만 달러 이상. 프로토콜 TVL은 5억 5,000만 달러에서 2억 5,000만 달러 미만으로 급감했다. DRIFT 토큰은 40% 이상 폭락했다. 솔라나 생태계 내 11개 프로토콜이 연쇄 피해를 입었다.
ZachXBT의 Circle 비판: 타오르는 질문
익스플로잇 직후 공격자는 탈취한 자산 대부분을 USDC로 전환했다. 그런 다음 Circle의 CCTP 브리지 — USDC 발행사 소유의 크로스체인 프로토콜 — 를 이용해 6시간에 걸쳐 100건 이상의 트랜잭션으로 약 2억 3,200만 달러를 솔라나에서 이더리움으로 이동시켰다. 미국 업무 시간대에 버젓이. Circle은 아무것도 하지 않았다.
ZachXBT는 X에서 Circle과 CEO Jeremy Allaire를 직접 겨냥했다:
Circle was asleep while many millions of USDC was swapped via CCTP from Solana to Ethereum for hours from the 9 figure Drift hack during US hours.
— ZachXBT (@zachxbt) April 2, 2026
Value was moved and nothing was done yet again.
Comes days after you froze 16+ business hot wallets incompetently which is still… pic.twitter.com/T0Xwg1HIfO
핵심은 이것이다: 3월 23일 — 공격자들이 솔라나에서 durable nonce 계정을 생성하던 바로 그날 — Circle은 미국 민사 소송과 관련해 DFINITY 재단의 ckETH Minter Smart Contract를 포함한 16개 기업 지갑의 USDC 잔액을 몇 분 만에 동결했다. 합법적인 지갑, 실제 사업체, 사전 통보 없음. ZachXBT는 이를 "5년 중 가장 무능한 동결"이라고 비판했다. 그래도 Circle은 행동했다.
이번엔 달랐다. 온체인 연구자 Specter는 공격자가 자금을 이동하기 전 1~3시간 동안 기다렸으며, 의도적으로 Tether를 피했다고 분석했다. 공격자는 Circle이 개입하지 않을 것을 알고 있었던 것이다. 한국 내 업비트(Upbit), 빗썸(Bithumb) 등 국내 거래소를 통한 유사 브리지 활동에 대한 모니터링 강화가 필요하다는 지적도 나온다.
배후: 또다시 라자루스 그룹
Elliptic과 TRM Labs는 몇 시간 간격으로 분석 보고서를 발표했고, 결론은 일치했다. 모든 증거는 라자루스 그룹을 가리켰다 — 2025년 Bybit에서 14억 달러를 탈취하고 2022년 Wormhole Bridge에서 3억 2,600만 달러를 훔친 것으로 알려진 북한 해킹 집단이다. 초기 단계에서 Tornado Cash 사용, CVT 배포 시점과 평양 시간대의 일치, 자금 세탁 속도, 멀티체인 브리징 패턴 — 모든 것이 들어맞는다.
Elliptic에 따르면 이는 2026년 북한 정권에 귀속된 18번째 공격이다. 불과 몇 달 만에 3억 달러 이상이 탈취되었다. 미국 정부에 따르면 이 자금은 평양의 미사일 및 핵 개발 프로그램에 사용된다. 가상자산이용자보호법(2024년 시행) 하에서 국내 거래소들도 이 같은 북한발 자금 세탁 경로에 대한 모니터링 의무가 강화될 것으로 전망된다.
문제는 코드가 아니었다
두 차례의 감사 — 2022년 Trail of Bits, 2026년 2월 ClawSecure — 는 모두 Drift를 안전하다고 판정했다. 발견할 버그가 없었다. 문제는 인내심 있는 공격자가 하나씩 해체해나간 거버넌스 구조에 있었다: 관리 마이그레이션에 타임락 없음, 최소 유동성 임계값이 없는 오라클, 트랜잭션 내용을 실질적으로 검증할 절차 없이 승인하는 멀티시그 서명자.
2026년 35개 DeFi 프로토콜이 총 약 4억 5,300만 달러의 피해를 입었다. Drift는 올해 최대 규모의 사건이다. 아마 마지막은 아닐 것이다.
