2026년 초, 트루빗 프로토콜이 첫 디파이 해킹 사건의 주요 대상이 되었다. 이 해킹으로 인해 약 2,650만 달러, 즉 387억 원에 해당하는 이더리움(ETH)이 유출되었으며, 네이티브 토큰인 TRU의 가치는 급락해 사실상 거의 제로에 근접하는 상태에 이르렀다.
블록체인 보안업체인 펙쉴드는 X(구 트위터) 플랫폼을 통해 트루빗의 스마트컨트랙트에서 약 8,500 ETH가 유출되는 상황을 최초로 발견했다고 밝혔다. 해킹의 주요 수법은 TRU 토큰 가격을 정하는 스마트컨트랙트의 논리적 결점들을 이용해 무제한으로 TRU를 발행한 후, 이를 본딩 커브 시스템을 통해 매도하여 ETH를 탈취하는 방식이었다. 범죄자는 해킹 후 탈취한 자산을 두 개의 다른 지갑 주소로 분산 처리하여 흐름을 숨겼다. 공격 발생 직후, TRU의 거래가는 거의 100% 하락하여 사실상 ‘제로’에 수렴했다.
트루빗 측은 즉각 해킹 사실을 인지하고, 사용자들에게 해당 스마트컨트랙트와의 모든 상호작용을 중단할 것을 권고하였다. 공식적인 분석 보고서는 아직 출처되지 않았지만, 해당 프로젝트는 수사 기관과 협력 중이며 필요한 모든 예방 조치를 취하고 있는 상황이다.
펙쉴드는 이번 트루빗 공격이 불과 2주 전 발생한 ‘스파클’ 프로젝트 해킹 사건과 동일한 해커에 의해 저질러졌다고 분석하였다. 당시 해커는 유사한 방식으로 토큰을 발행 후, 이를 저가에 거래한 다음, 익명성을 확보하기 위해 프라이버시 중심의 믹싱 서비스인 토네이도 캐시를 활용하여 흔적을 없앴다.
이번 사건은 2026년 디파이 시장에서 첫 대형 해킹 사례로 기록되어, 암호화폐 시장의 보안 상황에 대한 우려를 더욱 증대시키는 계기가 될 것으로 보인다.
2025년 동안 디파이 해킹 피해 규모는 약 27억 2,000만 달러, 한화로 약 3조 9,668억 원에 달한다고 밝혀졌다. 특히, 2025년 2월에는 북한 해커들이 바이빗 거래소에서 15억 달러 규모의 암호화폐를 탈취한 사건이 발생하여 역대 최대 해킹 사례로 남게 되었다. 그러나 연말로 접어들면서 전체 해킹 피해 규모는 감소세로 돌아섰고, 12월에는 전월 대비 60% 이상의 감소율을 보였던 것으로 나타났다. 보안 수준이 개선되고 있는 한편, 초기에 발생한 트루빗 사건은 디파이 프로젝트들이 보안에 대한 경각심을 다시 한번 일깨우는 계기가 될 것으로 예상된다.
디파이 시장 잇따른 해킹 사건들은 특정 해커 집단의 조직적 활동 가능성을 시사하며, 보안 시스템과 프로토콜 강화가 더욱 중요한 현실로 대두되고 있다. 따라서 투자자들은 신규 디파이 프로젝트를 검토할 때는 스마트컨트랙트 코드의 보안 감사를 필수적으로 확인하고, 본딩 커브 및 오라클 등 가격 결정 구조의 취약점에 대한 심층 분석 보고서를 사전에 검토해야 한다.
