솔라나 기반의 디파이(DeFi) 프로토콜인 드리프트 프로토콜이 약 2억7000만달러(한화 약 4조7500억원) 규모의 자산 유출 피해를 입었다. 이번 사건은 전통적인 해킹 기법이 아닌 '소셜 엔지니어링'과 솔라나의 특수 기능인 '듀러블 넌스(durable nonce)'의 악용이 결합된 중대한 사례로, 업계에 큰 충격을 주고 있다.

이번 공격은 해킹으로 인한 취약점이나 개인키 탈취 없이 진행되었기 때문에 특히 사이버 보안 전문가들 사이에서 이목을 끌고 있다. 공격자는 솔라나의 거래 기능을 활용해 드리프트 보안위원회가 미리 승인한 거래를 사후에 실행한 것으로, 전체 실행 과정은 1분도 걸리지 않았지만 준비 과정은 일주일 이상 소요되었다. 이는 계획적인 접근이었음을 시사한다.

'듀러블 넌스'가 만들어낸 시간 차 공격은 이 사건의 핵심 요소다. 솔라나에서는 모든 거래에 '최근 블록 해시'가 포함되어 있으며, 이는 약 60~90초 후 만료된다. 이 구조는 오래된 거래의 재사용을 방지하기 위한 안전장치 역할을 하지만, 듀러블 넌스는 이러한 만료 구조를 제거하여 특정 거래를 무기한 유효 상태로 만든다. 이는 기관의 수탁이나 오프라인 서명 환경에서 유용하지만, 승인 시점과 실행 시점의 간극이 발생하며, 이는 보안상의 위험 요소로 지적된다.

특히 드리프트는 5명 중 2명 이상의 승인이 필요한 '멀티시그' 방식으로 운영되었지만, 공격자는 키 탈취를 하지 않고 정상 거래로 위장한 거래 서명을 확보했다. 드리프트의 공개 타임라인에 따르면, 공격자는 3월 23일 듀러블 넌스 계정을 생성한 후 보안위원 두 명의 서명을 얻었으며, 3월 30일에는 멀티시그 구성을 변경하면서도 동일한 승인을 유지했다. 이후 4월 1일, 공격자는 사전 서명된 거래를 제출하여 관리자 권한 이전을 승인받아 실행하게 되었다.

피해 규모는 약 2억7000만달러로 측정되며, 주요 유출 자산은 JPL 토큰 약 1억5560만달러, USDC 약 6040만달러, 그리고 코인베이스 래핑 비트코인(CBBTC) 약 1130만달러 등이다. 공격자가 자금을 이체한 경로는 정교하게 설계되었으며, 준비된 지갑으로 이동 후 백팩(Backpack) 거래소를 거쳐 중간 지갑으로 분산되었다. 이후 웜홀(Wormhole) 브리지를 통해 이더리움 네트워크로 넘어갔고, 일부 자금은 토네이도캐시를 활용해 세탁된 것으로 파악되고 있다.

한편, 온체인 조사관인 잭엑스비티(ZachXBT)에 따르면, 발행사인 서클이 동결 조치를 취하지 않았다는 점도 도마에 올랐다. 이는 유출된 USDC 중 약 2억3000만달러가 100건 이상의 트랜잭션으로 이동했음에도 불구하고 발생한 일이다.

이번 사건은 스마트컨트랙트의 취약점이 아닌 '운영 보안 실패'로 분류되며, 듀러블 넌스 기능이 승인과 실행 간의 시간 차를 이미 만들어버린 사태에서 유발되었다. 드리프트는 현재 프로그램을 중단하고 해당 지갑을 멀티시그에서 제거했으며, 예치된 자산과 거래 자금의 대다수가 영향을 받았다.

디파이업계에서는 코드의 결함이 아닌 사람의 실수를 통한 공격 사례가 반복되고 있으며, 최근 바이비트와 로닌 브리지 사건 등과 유사한 경향으로 인식되고 있다. 향후 쟁점은 보안위원 2명이 왜 해당 거래를 승인했는지와 듀러블 넌스 거래를 사전에 식별할 수 있는 해결책 개발의 가능성이다. 이는 솔라나 생태계 전반의 '멀티시그 구조 재검토' 필요성을 다시 한번 부각시키고 있다.

이번 사건은 디파이에서의 코드 취약점이 아닌 '운영 및 인간 요소'가 가장 큰 리스크로 부각되었음을 보여준다. 드리프트 프로토콜의 경우는 다수의 사람의 승인을 통해 완벽한 보안을 구축하고자 했던 노력에도 불구하고, 오히려 그 과정에서 인간의 실수가 큰 피해를 초래한 셈이다.