4일 전, 솔라나 기반의탈중앙화 무기한 선물 거래소 드리프트 프로토콜(Drift Protocol)이 대규모 해킹 공격을 받아 2억 8,500만 달러(약 3,948억 원)가 약 12분 만에 탈취되는 사건이 발생했다. 드리프트 측은 공식 채널을 통해 "이것은 만우절 농담이 아니다"라는 문구와 함께 긴급 공지를 발송해야만 했다. 이번 해킹 피해는 올해 DeFi에서 발생한 해킹 중 최대 규모로, 솔라나 역사에서도 2022년 웜홀(Wormhole) 브리지 해킹에 이어 두 번째로 큰 사건이다.

드리프트 프로토콜의 총 가치 잠금(TVL)은 해킹 발생 직후 5억 5,000만 달러에서 2억 4,000만 달러 아래로 급격히 하락했고, DRIFT 토큰 가격은 24시간 내 최대 47% 폭락하여 0.04달러대까지 내려갔다.

이번 해킹은 전통적인 스마트 컨트랙트 코드 취약점을 악용한 것이 아니었다. 공격자는 '소셜 엔지니어링'과 솔라나의 정상적인 기능인 '듀러블 논스(Durable Nonce)'를 활용하여 드리프트의 거버넌스 구조를 뚫었다. 공격 준비는 3주 전부터 시작되었고, 3월 11일에 공격자는 이더리움 믹서인 토네이도 캐시(Tornado Cash)에서 ETH를 인출한 후, 허구의 자산인 '카본보트 토큰(CVT)'을 발행했다. CVT의 배포 시점이 북한 시간대에 해당하여, TRM랩스와 엘립틱(Elliptic)은 이번 해킹이 북한 연관 해킹 조직의 수법과 비슷하다고 분석했다.

이후 공격자는 라이덤(Raydium) DEX에서 CVT의 가격을 인상시키기 위해 세탁 거래를 실시하고, 3월 23일부터 30일 사이에 드리프트 시큐리티 카운슬 멀티시그 서명자들을 속여 평범한 트랜잭션에 대한 사전 서명을 받아냈다. 이 때 확보한 서명들은 공격자가 원하는 시점에 실행할 수 있는 '예약 실행 키'가 되었다.

결정적인 취약점은 3월 27일 드리프트 스스로가 제거한 타임락(Timelock)에서 비롯되었다. 드리프트는 시큐리티 카운슬의 서명 구조를 2-of-5로 전환하면서 타임락을 완전히 없앴고, 이로 인해 공격자가 사전 서명한 트랜잭션은 즉시 집행 가능하게 되었다. 결국 4월 1일 공격자는 CVT를 유효 담보로 등록하고 출금 한도를 상향한 뒤, 수억 달러의 CVT를 예치하여 드리프트의 리스크 엔진으로부터 실제 자산을 인출했다.

탈취된 자산의 종류는 USDC, SOL, JLP, WBTC 등이었으며, 공격자는 이 자산들을 Solana에서 USDC로 스왑한 후, 크로스체인 트랜스퍼 프로토콜(CCTP)을 통해 이더리움으로 넘겼다. 드리프트는 2022년과 2026년의 보안 감사를 통과했던 프로토콜이었지만, CVT 도입과 최근 거버넌스 변경 사항은 감사 과정에서 누락되었다.

드리프트 해킹 사건은 즉각적으로 20개 이상의 솔라나 프로토콜에 연쇄적인 영향을 미쳤다. 여러 프로토콜들이 긴급 조치를 발표하며 피해를 공표했다. 예를 들어, 캐럿 프로토콜(Carrot Protocol)은 TVL의 50%가 영향을 받아 민트 및 리딤 기능을 중단했고, 파이라 프로토콜(Pyra Protocol)은 전면적으로 출금을 차단했다. 레인저 파이낸스(Ranger Finance)는 90만 달러 이상의 영향을 확인하고 RGUSD 입출금을 정지했으며, 기타 여러 프로토콜에서 수백만 달러의 손실이 확인되었다.

DeFi 분야에서는 신뢰가 프로토콜 단위가 아닌 생태계 단위로 작동한다. 사용자들은 의심할 새도 없이 우선 자금을 인출하고 후에 판단을 내리는 경향이 있다. 이로 인해 솔라나(SOL)의 가격도 큰 영향을 받았으며, 4월 2일 SOL은 78~83달러 구간에서 거래되었고, 하루 만에 6% 이상 하락하는 등 주간 기준으로 11%의 하락폭을 기록했다.

이번 해킹 사건의 핵심적 교훈은 공격 벡터의 변화다. 스마트 컨트랙트의 오류보다 거버넌스 구조와 인간의 판단이 훨씬 더 취약할 수 있다는 점이 다시 한번 확인되었다. 공격 방지에는 기술적 보안 감사만으로는 불충분하며, 업계 전반에서 거버넌스 설계 및 키 관리 기준의 개선이 시급하다. DeFi에서 첫 번째 손실은 자금, 두 번째 손실은 신뢰이며, 신뢰는 다시 돌아오려면 훨씬 더 오랜 시간이 걸린다.