블록체인 프로토콜 트루빗(Truebit)이 스마트계약의 설계 결함으로 인해 약 2600만 달러(약 383억 원)에 달하는 손실을 입었다. 이러한 해킹 사건은 트루빗 토큰(TRU)의 가치를 하루 만에 99% 이상 급락시키며 암호화폐 시장에서의 전면적인 붕괴를 초래했다.

문제의 중심에는 트루빗의 '퍼처스(Purchase)' 스마트계약이 있다. 블록체인 보안업체 슬로우미스트(SlowMist)는 보고서를 통해 공격자가 이더리움(ETH)을 사실상 무료로 사용해 대량의 TRU 토큰을 생성할 수 있었던 구조적 결함을 지적했다. 이 보고서에 따르면, 정수 덧셈에서 오버플로 방지 기능이 결여된 것이 가장 큰 원인으로 지목되고 있다.

트루빗이 이용한 솔리디티(Solidity) 버전 0.6.10은 정수 오버플로에 대한 기본적인 오류 예방 장치가 없는 구버전이다. 계산값이 정해진 한도를 초과할 경우 값이 0 근처의 아주 작은 수로 랩어라운드(wraparound)되는 문제가 발생한다. 이러한 취약점을 공격자는 악용하여 계약상 TRU 가격을 '제로(0)'로 계산하게 만들어 사실상 공짜로 토큰을 발행했다.

트루빗은 2021년 4월 이더리움 메인넷에 도입된 역사적인 프로토콜이지만, 이번 사건은 스마트계약의 보안이 여전히 블록체인 업계의 취약한 부분임을 여실히 드러냈다. 슬로우미스트는 2025년 한 해 동안 암호화폐 산업에서 발생한 보안 사건의 30.5%가 스마트계약의 기술적 결함을 악용한 공격이었음을 밝혔다. 이는 모든 사건 중 가장 높은 비율로, 계정 탈취와 개인키 유출이 그 뒤를 따랐다.

특히 인공지능(AI)을 통한 스마트계약 공격 가능성도 현실화되고 있다. AI 기업 앤트로픽(Anthropic)은 자사의 모델을 통해 인공지능이 총 460만 달러(약 67억 원) 규모의 스마트계약 취약점을 탐지하고 공격 시나리오를 설계할 수 있음을 입증했다. 이와 더불어, 사람의 방심과 실수를 노린 피싱 사기도 급속히 증가하고 있다. 보안 플랫폼 서틱(CertiK)은 2025년 피싱으로 인한 피해가 7억 2200만 달러(약 1조 648억 원)에 달하며, 대부분의 사건이 개인키나 복구코드 유출을 유도하는 리플리카 링크 클릭으로 발생했다고 밝혔다.

다행히 이러한 위험에 대한 인식은 점차 확산되고 있으며, 피싱 피해액이 지난해에 비해 38% 감소하는 긍정적인 신호를 보이고 있다. 이는 일부 투자자들이 보안 경각심을 높이고 있음을 나타낸다.

트루빗 사태는 특정 프로토콜의 실패를 넘어서, 긴 시간 동안 운영된 서비스들에도 심각한 보안 취약점이 존재할 수 있음을 다시 한번 환기시켰다. 스마트계약의 기술적 점검과 보안 강화를 위한 논의가 더욱 강화될 예정으로 전망된다.

"오류 하나가 무너뜨린 시스템… 스마트계약, 배워야 지킨다"는 말이 떠오르듯, 트루빗 사태는 단순히 코딩의 미비함이 전체 프로젝트를 무너뜨릴 수 있다는 확실한 경고를 전한다. 더 나아가, 현재 스마트계약 코드에 대한 AI 공격 가능성까지 현실화되고 있는 만큼, 단순한 투자 이상의 기술적 이해를 갖춘 전략이 필수적이다.

토큰포스트 아카데미에서는 이를 반영하여 5단계: The DeFi User와 6단계: The Professional 과정을 통해 스마트계약 오작동 및 해킹 메커니즘, 청산 및 오버플로 리스크 관리, 그리고 옵션/선물에서의 잠재적 붕괴 구조를 포괄적으로 다루고 있다.