2026년 디파이(DeFi) 시장에서 첫 번째 대형 해킹 사건이 발생했다. Truebit 프로토콜이 해킹당해 약 2,650만 달러(약 387억 원) 상당의 이더리움(ETH)이 유출되었고, 네이티브 토큰인 TRU의 가치는 급락하여 사실상 소멸 상태에 이르게 됐다.

이번 공격은 특정한 스마트컨트랙트의 논리적 취약점을 악용한 ‘무제한 발행’ 방식으로 이루어졌다. 블록체인 보안업체 펙쉴드(PeckShield)는 이번 해킹을 최초로 포착했으며, Truebit의 스마트컨트랙트에서 대량의 자산이 유출되는 것을 확인했다. 공격자는 TRU 토큰의 가격 정산 메커니즘 허점을 이용해 무한정으로 TRU를 발행하고, 이 토큰을 본딩 커브(Bonding Curve) 구조를 활용해 매도함으로써 ETH를 지속적으로 탈취하는 방식으로 운영하였다.

공격 이후, 탈취된 자산은 두 개의 주소(0x2735…cE850a와 0xD12f…031a6)로 분산 전송되었고, TRU의 시장 가치는 거래소에서 거의 100% 급락하였으며, 사실상 ‘제로’에 가까운 수치까지 하락하였다.

Truebit 측은 해킹 사실을 인지하고 사용자가 관련 스마트컨트랙트와의 상호작용을 중단할 것을 권고했다. 현재 프로젝트 측은 수사기관과 협력하고 있으며, 필요한 모든 조치를 취하고 있다고 전하였다.

펙쉴드는 이번 해킹의 배후가 2주 전 '스파클(Sparkle)' 프로젝트를 공격했던 해커와 동일하다고 밝혔다. 당시 공격에서도 유사한 방식으로 토큰을 저가에 발행하고 이더리움을 교환한 후, 익명성 중심의 믹싱 서비스인 토네이도 캐시(Tornado Cash)를 통해 흔적을 감추었다.

이번 사건은 해킹 이후 디파이 시장에서의 보안 취약성을 다시 한번 증명하며, 그 여파도 적지 않을 것으로 예상된다.

2025년 한 해 동안 디파이 관련 해킹 피해는 총 27억 2,000만 달러(약 3조 9,668억 원)에 달한 것으로 알려져 있다. 특히, 북한 해커들이 중앙화 거래소 바이빗에서 15억 달러(약 2조 1,880억 원) 규모의 암호화폐를 탈취한 사건이 역대 최대 규모로 남았다. 다행히 연말로 접어들면서 전체 피해액은 감소세를 보이고 있으며, 12월에는 전월 대비 60% 이상 감소한 것으로 나타났다.

이 같은 해킹 사건들은 디파이 프로젝트들이 보안 경계를 더욱 높여야 할 필요성을 일깨워주는 계기가 될 것이다. 보안 사고로부터 자산을 보호하기 위해서는 스마트컨트랙트 코드의 감사 및 본딩 커브와 같은 가격 결정 구조의 취약점 분석이 필수적이다.

디파이 시장은 단순한 투자 공간을 넘어 복잡한 전략과 고도의 이해가 필요한 분야로 발전하고 있다. 이번 사건을 통해 투자자들은 디지털 자산을 지키기 위해 보다 철저한 학습과 정보 확인이 필요함을 느껴야 할 것이다.