탈중앙화 거래소인 크레딧스파이(CrediX_fi)에서 발생한 해킹 사건으로 약 450만 달러, 즉 62억 5,500만 원에 달하는 자산이 유출되며 디파이 생태계의 보안 위협이 다시금 수면 위로 드러났다. 이번 사건은 단순한 스마트 계약의 취약점이 아니라, 관리자 권한의 핵심 요소가 탈취되면서 발생한 대규모 침해로 평가되고 있다.
보안 분석 회사인 펙실드(PeckShield)에 따르면, 해커는 ‘662e’로 끝나는 슈퍼 관리자 계정을 통해 크레딧스파이 프로토콜의 주요 권한을 장악하였다. 이 계정은 POOL_ADMIN, BRIDGE, ASSET_LISTING_ADMIN, EMERGENCY_ADMIN, RISK_ADMIN 등 프로토콜 운영의 중요한 권한을 모두 포함하고 있었으며, 해커는 이를 이용해 담보 없는 토큰을 발행하고 유동성을 흡수하는 방식으로 공격을 감행했다.
특히 이번 사건에서 문제가 된 BRIDGE 역할은 크레딧스파이의 소닉 USDC 시장 안에 존재하는 합성자산인 acUSDC를 무담보로 발행하여 자산을 유출한 점이다. 이는 거래소 내부의 보안 관리에 존재하는 심각한 허점을 보여주며, 결과적으로 시스템의 무결성이 완전히 훼손된 상황이다. 이에 따라 크레딧스파이는 긴급 조치를 취해 웹사이트 운영을 중단하고, 사용자들에게는 스마트 계약을 통한 직접 출금만을 허용하고 있다.
현재 크레딧스파이 개발진은 사고 원인에 대한 공식 감식 보고서나 긴급 복구 로드맵을 발표하지 않고 있으며, 이로 인해 보안 전문가들은 시스템 전반에 대한 신뢰가 크게 저하되었으며, 현재로서는 크레딧스파이와 관련된 모든 투자 및 거래를 피해야 한다고 경고하고 있다.
한편, 이번 사건은 ‘슈퍼 관리자 계정’ 하나가 전체 프로토콜의 운영에 절대적 영향을 미칠 수 있다는 구조적 문제를 노출시킨다. 익명의 주소 하나가 여러 핵심 시스템을 제어할 수 있다는 점은 전체 생태계의 붕괴로 이어질 수 있는 심각한 결함이라고 전문가들은 지적하고 있다. 이와 같은 사례는 디파이 보안 모델 설계상 단일 실패 지점(Single Point of Failure) 방지 전략의 필요성을 다시 한번 일깨우는 계기가 되고 있다.
전문가들은 이번 해킹 사건이 크레딧스파이와 관련된 자산 전체에 걸쳐 신뢰를 붕괴시키고 유동성을 고갈시킬 가능성이 높다고 예상하고 있다. acUSDC는 물론, 프로토콜 내의 거버넌스 및 유틸리티 기반 토큰조차도 실질적인 기능 무력화에 직면할 수 있다. 궁극적으로 외부 감사와 온체인 분석, 그리고 완전한 거버넌스 재구축 없이는 생태계 회복이 이루어질 수 없다는 것이 전문가들의 중론이다.
결론적으로, 크레딧스파이 해킹 사건은 탈중앙화를 추구하는 디파이 프로토콜이 거버넌스 구조와 권한 관리에 체계적 결함을 가지고 있을 경우 전체 시스템이 언제든지 붕괴할 수 있음을 다시 한번 증명하였다. 이번 사태는 디파이 산업 전반에 걸쳐 ‘보안 설계 기준을 재정립해야 할 시점’임을 상기시킨다.
