포브스 "상반기 가상자산 해킹 피해 13억달러…지갑 탈취가 최대 위험"
간단 요약
- 올해 상반기 가상자산 해킹 피해 규모가 13억1567만6432달러로, 전년 동기 대형 사건을 제외하면 약 28% 늘었다고 보도했다.
- 피해의 약 44%가 켈프다오와 드리프트 프로토콜에서 발생했으며, 원인은 스마트계약 취약점이 아닌 운영·인프라 보안 실패라고 분석했다.
- 올해 상반기 지갑 침해 피해액이 4억4400만달러를 넘고, 피싱과 AI 에이전트가 새로운 위험 요인으로 부상해 보안 감사만으로는 충분하지 않다고 지적했다.
기간별 예측 흐름 리포트



올해 상반기 가상자산(암호화폐) 해킹 피해 규모가 13억달러를 넘어선 것으로 나타났다. 표면적으로는 지난해보다 피해액이 줄었지만, 대형 단일 사건을 제외하면 실제 보안 위협은 더 커졌다는 분석이다.
17일 포브스는 웹3 보안업체 서틱(CertiK)의 해킹 보고서 '핵3D(Hack3D)'를 인용해 올해 상반기 온체인 보안 사고 344건에서 총 13억1567만6432달러가 탈취됐다고 보도했다.
이는 전년 동기 대비 46.8% 줄어든 수치다. 다만 지난해 피해액 대부분은 2025년 2월 발생한 바이비트(Bybit) 14억5000만달러 해킹 사건에서 나왔다. 이를 제외하면 지난해 피해액은 약 10억3000만달러로 낮아지며, 같은 기준에서 올해 상반기 피해액은 오히려 약 28% 늘어난 셈이다.
서틱은 "손실이 거의 50% 줄었다는 표면적 해석은 생태계가 의미 있게 더 안전해졌다는 인상을 줄 수 있다"면서도 "데이터는 그런 결론을 뒷받침하지 않는다"고 진단했다.
올해 상반기 피해의 약 44%는 켈프다오(Kelp DAO)와 드리프트 프로토콜(Drift Protocol) 두 사건에서 발생했다. 켈프다오는 2억9130만달러, 드리프트 프로토콜은 2억8530만달러를 잃었다. 두 사건 모두 스마트계약 코드 결함이 아니라 운영·인프라 보안 실패가 원인으로 지목됐다.
룽후이 구(Ronghui Gu) 서틱 공동창업자 겸 최고경영자(CEO)는 "상반기에 가장 두드러졌던 것은 손실의 형태"라며 "두 사건 모두 전통적인 의미의 스마트계약 코드 취약점이 아니라 운영 및 인프라 보안 실패였다"고 말했다.
가장 큰 피해를 낸 공격 유형은 지갑 침해였다. 서틱에 따르면 올해 상반기 지갑 침해 피해액은 4억4400만달러를 넘었고, 사건당 평균 피해액도 1300만달러 이상으로 가장 높았다.
구 CEO는 "공격자들은 코드 버그를 찾는 것보다 키 관리, 멀티시그 거버넌스, 운영 인프라를 노리는 쪽에서 더 높은 수익을 얻고 있다"고 설명했다.
피싱 공격도 대규모 표적형으로 바뀌고 있다. 공격 건수는 132건에서 63건으로 줄었지만, 단 4건의 사회공학 공격에서 3억1000만달러가 탈취됐다. 이는 전체 피싱 피해액의 약 85%에 해당한다.
AI 에이전트도 새로운 위험 요인으로 떠올랐다. 구 CEO는 "지갑 접근 권한을 가진 AI 에이전트는 새로운 형태의 특권 키 보유자"라며 "충분히 보호되지 않은 에이전트는 악성 입력을 걸러내지 못할 수 있다"고 지적했다.
포브스는 보안 감사만으로는 더 이상 충분하지 않다고 짚었다. 구 CEO는 "프로토콜이 완벽한 코드 감사를 통과하더라도, 관리자 키가 탈취되면 수백만달러를 잃을 수 있다"고 강조했다.
강민승 기자
minriver@bloomingbit.io여러분의 웹3 투자 인사이트를 더해줄 강민승 기자입니다. 트레이드나우·알트코인나우와 함께하세요! 📊🚀