크로스체인 브릿지가 DeFi의 고속도로라면, 동시에 DeFi 역사상 가장 큰 '사고 현장'이기도 합니다. 2021년부터 2024년까지 크로스체인 브릿지 해킹 피해 총액은 이미 30억 달러를 넘어섰습니다. 이러한 사건들은 단순한 추상적인 기술 용어가 아니며, 그 이면에는 일반 사용자도 참고할 수 있는 뼈아픈 교훈이 담겨 있습니다. 본문에서는 가장 대표적인 브릿지 해킹 사례 몇 가지를 되짚어 보겠습니다. 계정 준비: 바이낸스 공식 사이트, 바이낸스 공식 앱, iOS 설치 튜토리얼.
1. Ronin Bridge (2022년 3월, 6억 2,500만 달러)
사건 경과
Axie Infinity 자체 브릿지인 Ronin은 9명의 검증인이 참여하는 다중 서명(Multi-sig)을 사용했습니다. 공격자는 사회공학적 기법을 통해 이 중 5개의 개인 키를 탈취하여 거액의 출금을 승인했습니다.
교훈
- 너무 낮은 다중 서명 임계값: 9명 중 5명(55%)이라는 임계값은 피싱 한 번에 뚫릴 수 있습니다.
- 검증인 집중: 5개의 키를 Sky Mavis라는 단일 회사가 통제하고 있었습니다.
- 온체인 모니터링 알림 부재: 6억 2,500만 달러가 빠져나간 후 6일이 지나서야 발견되었습니다.
사용자의 대처법
- 10명 중 7명 이상 등 임계값이 높고, 검증인이 여러 기관으로 분산된 브릿지를 선택하세요.
- 브릿지의 온체인 TVL(총 예치 금액) 실시간 대시보드를 주시하세요.
2. Wormhole (2022년 2월, 3억 2,600만 달러)
사건 경과
Solana ↔ ETH 브릿지의 스마트 컨트랙트에 서명 검증 취약점이 존재했습니다. 공격자는 '승인됨' 메시지를 위조하여 허공에서 12만 개의 wETH를 발행했습니다.
교훈
- 서명 검증 코드 버그: 업그레이드 시 deprecated(사용 중단) 함수의 검사를 누락했습니다.
- 감사에서 해당 경로 누락: 보안 감사 보고서에서 해당 모듈을 '위험도 낮음'으로 분류했습니다.
사용자의 대처법
- 감사 보고서에서 'deprecated'로 표시된 모든 모듈에 주의를 기울이세요.
- 업그레이드 후 1주일 동안은 해당 브릿지를 사용하지 마세요.
3. Nomad (2022년 8월, 1억 9,000만 달러)
사건 경과
컨트랙트 업그레이드 후 기본 루트 값이 모두 0으로 설정되어, 누구라도 인증된 메시지를 위조하여 자금을 인출할 수 있게 되었습니다. 이 사실이 알려지자 온체인 상에서 '모두의 파티(free-for-all)'가 벌어졌고 수백 개의 지갑이 자금을 털어갔습니다.
교훈
- 초기화 오류: 업그레이드 후 루트 값을 설정하지 않았습니다.
- 집단 약탈: 오픈 소스 코드가 즉각 복제되어 공격에 사용되었습니다.
사용자의 대처법
- 브릿지 업그레이드 후 첫 주에는 상황을 지켜보세요.
- TVL 이상 변동 알림을 설정하세요.
4. Harmony Horizon (2022년 6월, 1억 달러)
사건 경과
5명 중 2명의 다중 서명을 사용했으며, 공격자가 단 2개의 개인 키를 탈취해 보안을 뚫었습니다.
교훈
- 다중 서명 임계값의 심각한 부족.
- 개인 키 관리 소홀: 개발자가 개인 키를 평문으로 보관했습니다.
사용자의 대처법
- "5명 중 2명", "5명 중 3명"과 같은 낮은 임계값의 다중 서명을 사용하는 브릿지는 즉시 차단하세요.
5. Multichain (Anyswap) (2023년 7월, 1억 2,600만 달러)
사건 경과
CEO가 연락 두절 상태가 되었으며, 브릿지의 모든 개인 키를 혼자 보유하고 있다가 자금을 한꺼번에 빼돌린 것으로 지목되었습니다.
교훈
- 극단적인 중앙화: 겉으로는 다중 서명이지만 실제로는 단일 장애점(Single Point of Control)이었습니다.
- 불투명한 팀: CEO의 실제 신원조차 불분명했습니다.
사용자의 대처법
- 팀 정보가 공개되어 있고 개인 키가 분산 보관되는 브릿지를 선택하세요.
- 중앙화된 브릿지에 거액의 자금을 하룻밤 이상 예치하지 마세요.
6. Poly Network (2021년 8월, 6억 달러, 이후 반환)
사건 경과
컨트랙트 권한 검증 취약점이 악용되어 공격자가 서명 없이 출금 함수를 직접 호출했습니다. 다행히 공격자가 나중에 자금을 반환했습니다.
교훈
- 주요 권한 함수에 대한 다중 검증 부재.
- 화이트햇 vs 블랙햇 운의 작용 — 다음에도 이렇게 운이 좋으란 법은 없습니다.
사용자의 대처법
- 권한 호출에 타임락(Timelock)이 있는 브릿지를 선택하세요.
7. Qubit Bridge (2022년 1월, 8,000만 달러)
사건 경과
예금 컨트랙트에서 영(0) 주소 검사가 누락되어, 공격자가 0x000... 지갑을 사용해 가짜 예금을 만들고 허공에서 BSC 체인의 wETH를 탈취했습니다.
교훈
- 경계 조건(Boundary condition) 검토 누락.
8. Ronin (2024년 재해킹, 1,200만 달러)
2년 만에 또다시 사고가 발생했습니다. 원인은 새로 배포한 가스비 무료(Gas-free) RPC 노드에서 개인 키가 유출되었기 때문입니다.
교훈
- 한 프로젝트가 큰 사고를 겪었다고 해서 두 번째에 안전하다는 보장은 없습니다.
- 최신 보안 감사 동향을 지속적으로 파악하세요.
9. Orbit Chain (2024년 1월, 8,200만 달러)
사건 경과
7명의 다중 서명 검증인 중 3명이 의심스러운 거래에 서명했으며, 내부자 소행으로 강하게 의심받고 있습니다.
교훈
- 내부자 리스크는 결코 무시할 수 없습니다.
- 다중 서명이 곧 절대적 안전을 의미하지는 않습니다.
10. 기타 소형 브릿지의 먹튀(Rug Pull)
매년 몇몇 새로운 브릿지들이 자체 토큰을 발행해 잠시 반짝했다가 갑자기 자금을 빼돌리고 도망칩니다. 공통점은 다음과 같습니다:
- 익명 팀.
- 위조된 감사 보고서.
- TVL의 급격한 상승과 하락.
11. 종합 교훈: 사용자를 위한 7가지 절대 원칙
- 거액의 자금을 브릿지 컨트랙트에 장기간 예치하지 마세요.
- 다중 서명 임계값이 충분히 높아야 합니다 (≥ 10명 중 7명).
- 검증인이 탈중앙화되어야 합니다 (다수 기관 참여).
- 라이트 클라이언트 / ZK 검증 브릿지를 우선 고려하세요.
- 감사를 2곳 이상에서 받아야 하며, 미수정 'High' 등급 취약점이 없어야 합니다.
- 온체인 TVL 이상 변동에 주목하세요.
- 브릿지 업그레이드 후에는 1주일간 지켜보세요.
12. 맺음말
브릿지 해킹 사건의 본질은 거의 '새로운 공격 방식'이 아니라 개인 키 유출, 초기화 오류, 서명 검증 취약점, 내부자 악행과 같은 기존 문제들의 반복입니다. 이 10가지 사례를 '오답 노트'로 삼아, 다음번에 브릿지를 평가할 때 하나하나 대조해 보면 위험의 90%를 피할 수 있습니다.