블록체인 인프라 프로토콜 트루빗(Truebit)이 스마트계약의 설계 결함으로 인해 약 2600만 달러(약 383억 원) 상당의 해킹 피해를 입었다. 이 사건은 트루빗의 네이티브 토큰인 TRU의 가치에 심각한 타격을 줄 뿐만 아니라, 스마트계약 보안의 취약성을 다시 한번 드러내었다. 해킹 발생 후 TRU는 하루 만에 99% 가까이 폭락하며 사실상 붕괴에 이르렀다.
이번 공격은 트루빗의 ‘퍼처스(Purchase)’ 스마트계약에서 발생했으며, 블록체인 보안 업체 슬로우미스트(SlowMist)는 이 사건에 대한 상세한 분석을 제공했다. 슬로우미스트에 따르면, 공격자는 이더리움(ETH)을 거의 지불하지 않고도 대량의 TRU 토큰을 발행할 수 있었던 구조적 결함을 이용했다. 해당 결함의 주요 원인은 정수 덧셈 연산에서 오버플로를 방지하는 장치가 결여된 것이었다.
트루빗이 사용한 솔리디티(Solidity) 버전 0.6.10은 정수 오버플로에 대한 기본적인 오류 방지 기능이 없는 구버전으로, 계산값이 설정된 한도를 초과하면 0 근처의 작은 값으로 다시 랩어라운드(wraparound)되는 문제를 가지고 있었다. 공격자는 이 문제를 악용해 계약상 TRU 가격을 ‘제로(0)’로 설정한 뒤, 사실상 무료로 토큰을 생성해 낸 것으로 분석되었다.
트루빗은 2021년 4월 이더리움 메인넷에 도입된 지 오래된 프로토콜이지만, 이와 같은 치명적인 취약성을 보유하고 있었던 것은 블록체인 업계의 스마트계약 보안이 여전히 약한 고리임을 반영하고 있다. 슬로우미스트에 따르면, 2025년 암호화폐 산업에서 발생한 보안 사고의 30.5%가 스마트계약의 기술적 허점을 악용한 공격이었다. 이 수치는 계정 탈취(24%)와 개인키 유출(8.5%)을 크게 초과하는 비율이다.
더불어 인공지능(AI)을 통한 스마트계약 공격의 가능성도 점차 현실화되고 있다. AI 기업 앤트로픽(Anthropic)은 최근 자사 모델 ‘클로드 오푸스 4.5’와 ‘소넷 4.5’, 그리고 오픈AI의 GPT-5 시험을 통해 총 460만 달러(약 67억 원) 규모의 스마트계약 취약점을 AI가 탐지하고 공격 시나리오를 구성할 수 있음을 입증했다.
피싱 사기 또한 빠르게 증가하고 있으며, 보안 플랫폼 서틱(CertiK)은 2025년 피싱으로 인한 피해가 총 7억 2200만 달러(약 1조 648억 원)에 달했다고 밝혔다. 발생한 사건의 대부분은 지갑 개인키나 복구 코드 유출을 유도하는 링크 클릭으로 인해 발생했다. 다행히 이러한 위험에 대한 인식이 확산되면서 피싱 피해액은 2024년보다 38% 감소하는 추세를 보이고 있다.
트루빗 사태는 단순한 프로토콜의 실패를 넘어, 장기간 운영된 서비스조차 근본적인 보안 취약점을 안고 있다는 사실을 상기시킨다. 스마트계약에 대한 기술적 점검과 보안 강화를 둘러싼 논의는 앞으로 더욱 활발해질 것으로 예상된다. 이제는 스마트계약이 어떻게 작동하는지를 이해하고, 보안 문제에 대한 경각심을 높이는 것이 필수적인 투자 전략이 되어가고 있다.
