온체인 계산 프로토콜인 트루빗(Truebit)이 스마트컨트랙트의 취약점을 통해 약 2600만 달러(약 383억 원)의 피해를 입었다. 이 사고는 보안 기업 슬로우미스트(SlowMist)에 의해 오랜 시간 활용된 솔리디티(Solidity) 컴파일러의 구버전에서 발생한 정수 연산 오버플로우 오류에 기인한 것으로 밝혀졌다. 이로 인해 트루빗의 핵심 토큰인 TRU는 가치가 99% 하락하는 대규모 손실을 겪었다.

슬로우미스트의 보안 분석 리포트에 따르면, 해커는 스마트컨트랙트의 논리적 허점을 이용해 거의 이더리움(ETH) 비용을 지불하지 않고 TRU 토큰을 대량으로 민팅할 수 있었다. 트루빗의 '퍼체이스(Purchase)' 컨트랙트는 오버플로우 방지 장치가 없는 덧셈 연산을 사용하고 있었고, 이로 인해 민팅 가격 계산에서 필요한 ETH 수량이 0으로 수렴하게 됐다. 결과적으로 해커는 사실상 공짜로 TRU를 민팅하고, 컨트랙트 내부의 예치금을 모두 탈취할 수 있었다.

슬로우미스트는 트루빗의 컨트랙트가 솔리디티 0.6.10 버전으로 컴파일된 상태였으며, 이 버전에서는 자동 오버플로우 감지 기능이 없다는 점을 지적했다. 'uint256'의 최대값을 초과하는 연산이 발생할 경우 값이 0으로 '랩 어라운드(wrap around)'되는 문제가 있다. 이번 사건을 통해 오랫동안 유지되어온 스마트컨트랙트 프로젝트에서도 기본적인 보안 점검이 결여될 경우 커다란 피해가 발생할 수 있다는 점이 확인되었다.

한편, 미국 상원의원인 신시아 루미스(Cynthia Lummis)와 론 와이든(Ron Wyden)은 블록체인 개발자 보호를 위한 '블록체인 규제 명확성법(BRCA)'을 발의하였다. 이 법안은 사용자 자금에 직접 접근하지 않는 소프트웨어 개발자 및 네트워크 운영자에게 연방 및 주 수준의 송금업자 규제를 적용하지 않도록 명시하고 있다. 루미스 의원은 "현재의 불명확한 규제 환경은 혁신이 해외로 유출되는 문제를 초래하고, 무해한 개발자들이 돈세탁 혐의로 기소될 위험에 빠질 수 있다"며 이 법안의 필요성을 강조했다.

또한 도널드 트럼프 전 대통령 가족과 관련된 디파이 플랫폼 '월드리버티파이낸셜(World Liberty Financial)'이 암호화폐 대출 시장에 진출하는 주목을 받고 있다. 이 플랫폼은 최근 '월드리버티마켓(World Liberty Markets)'이라는 대출 서비스를 출범시켰으며, 트럼프 연계 스테이블코인 USD1과 거버넌스 토큰 WLFI를 기반으로 운영된다. 사용자는 이더리움(ETH), 비트코인(BTC) 등 주요 디지털 자산을 담보로 대출과 예치가 가능하다.

월드리버티의 공동 창업자 잭 폴크먼(Zak Folkman)은 해당 플랫폼이 시간이 지남에 따라 실물자산 기반 토큰까지 담보로 포함할 예정이라고 밝혔다. 또한, 예측 시장, 거래소, 부동산 플랫폼과의 협력도 추진 중이다.

이번 사건과 관련하여 투자자들이 스마트컨트랙트의 구조적 리스크를 이해하고 대비할 필요성이 더욱 부각되고 있다. 토큰포스트 아카데미는 이러한 구조적 리스크를 파악하고 분석할 수 있는 교육 과정을 통해 '검증 가능한 투자자'를 양성하고자 한다. 특히 분석 과정에서는 토크노믹스와 온체인 분석 기술을 배우게 된다. 이와 같은 교육을 통해 투자자들은 '왜 위험한가'를 분석하고, 시장에서의 리스크를 최소화하는 방법을 익힐 수 있다.