솔라나(SOL) 플랫폼 위에서 운영되는 탈중앙화 거래소 드리프트 프로토콜(Drift Protocol)이 약 2억8000만 달러 규모의 해킹 피해를 입었다. 이번 사건은 단순한 코드 취약점뿐 아니라 ‘사회공학’과 멀티시그 승인을 악용한 것으로 확인되어, 암호화폐 보안의 취약성을 다시 드러내고 있다.
드리프트는 4월 1일 오후 7시(UTC+1) 경, 프로토콜 내에서 이상 활동을 감지했으며, 사용자들에게 즉각적으로 입금을 삼가하라는 공지를 전달했다. 회사는 “이번은 만우절 농담이 아니다”라며 상황의 심각성을 강조했으며, 곧이어 공격이 진행되고 있음을 알리고 입출금을 중단했다. 이로 인해 시장에서는 대규모 자산 탈취 가능성이 급부상했고, 연구자들은 개인 키의 유출 여부에 대한 의심을 제기했다.
드리프트는 이후 사건의 타임라인을 자세히 발표하며, 이번 공격의 배후가 프로토콜 코드 또는 스마트 계약의 버그가 아닌, 수주간의 철저한 준비와 단계적인 실행에 기반한 복잡한 작전임을 밝혔습니다. 특히 ‘durable nonce’ 기능을 악용하여 미리 서명된 거래를 나중에 실행하는 방식이 사용되었고, 그 사이 직원 대상의 사회공학 공격이 승인 절차를 무력화했을 가능성이 높다고 했다.
지속적 넌스는 블록 해시 서명을 우회해 오프라인 서명을 가능하게 하는 블록체인 기술로, 드리프트는 지난 3월 23일 해당 계정을 생성했으며, 그 중 두 개는 드리프트 보안위원회의 멀티시그와 연결되고, 나머지 두 개는 공격자와 연결된 것으로 확인됐다. 멀티시그 승인 방식이 저조한 서명 요건으로 인해 해킹에 취약하다는 점이 지적되고 있다.
사건 당일 공격자는 보험기금 계정에서 시험 인출을 시도한 뒤, 멀티시그 승인을 통해 악성 관리자 계정으로 전환하고 프로토콜 권한을 장악한 것으로 보인다. 이후 공격자는 사전 설정된 출금 제한을 해제하고 자산을 몰수한 정황이 포착되었다. 이번 사건은 스테이블코인 발행사 서클(Circle)의 대응 속도에 대한 불만도 불러일으켰다. 온체인 조사자 잭엑스비티(ZachXBT)는 “수 시간 동안 수천만 달러 규모의 USDC가 솔라나에서 이더리움으로 이동했음에도 서클은 적절한 대응을 하지 않았다”고 비판했다.
일부 사용자들은 드리프트의 중앙화된 승인 구조가 해킹의 주요 원인이라고 지적하며, 드리프트가 과연 ‘탈중앙화’라고 불릴 수 있는지 의문을 제기하였다. 또한, 5개 멀티시그 중 2개 서명만으로 거래가 실행될 수 있는 구조가 본질적으로 취약하다는 비판이 나오고 있다. 드리프트는 현재 보안 업체, 법 집행기관과 함께 자금 추적 및 동결 작업을 진행하고 있으며, 이번 사건이 지난해 바이비트 해킹과 유사한 방식일 수 있다는 분석이 제기되고 있다.
업계 전문가들은 이번 사건을 계기로 멀티시그 운영 방식과 사회공학적 대응 체계에 대한 전반적인 재점검이 불가피하다고 보고 있다. 이번 해킹 사건은 단순히 기술적인 문제를 넘어, 운영 구조와 인간의 요소에서의 취약성이 더욱 강조되는 이슈가 될 것이다.
