올해 1분기 웹3 해킹 사건의 74.7%가 소셜 엔지니어링 공격으로 발생하며, 해킹 자금 회수율은 2026년에는 6%에 불과할 것이라는 예측이 나오고 있다. 중앙화 거래소는 일부 대형 공격에서 생존한 반면, 디파이(DeFi) 프로젝트들은 큰 피해를 입고 있는 상황이다. 이는 탈중앙화의 철학보다 실질적인 보상 체계가 더욱 중요함을 증명하고 있다.

최근 드리프트 프로토콜(DRIFT)에서 발생한 해킹 사건으로 인해 프로토콜의 가격이 급락했고, 이와 같은 사건들이 가상자산 및 웹3 생태계 전반에 걸쳐 신뢰도를 낮추고 있다. 시스템 코드의 취약점을 공략하는 전통적인 해킹 방식 대신, 공격자들은 이제 담당자를 속여 권한을 탈취하는 소셜 엔지니어링 기법을 많이 사용하고 있다. 소셜 엔지니어링 공격의 비중은 2021년 28.7%에서 2026년 1분기에는 74.7%로 급증해, 투자자들의 우려가 커지고 있다.

올해 4월 한 달 동안에만 보고된 웹3 해킹 사건은 12건에 이르렀다. 특히, 폴카닷과 이더리움을 연결하는 브릿지 프로토콜 ‘하이퍼브릿지(Hyperbridge)’에서 발생한 사고는 공격자가 위조 요청을 검증 없이 통과시켜 약 10억개의 브릿지된 DOT가 무단 발행되는 사건이 발생했고, 초기 발표된 피해 규모는 250만 달러 이상으로 계속 증가하고 있다.

해킹 사건들 중 특히 북한 해킹 조직인 라자루스 그룹이 연루된 사례가 많다. 이들은 6개월에 걸쳐 프로젝트 팀원들과 신뢰를 쌓은 후 거버넌스 권한을 탈취하는 정교한 작전을 통해 드리프트 프로토콜에서 약 2억 9570만 달러를 획득했다. 이러한 사건들을 수습하기 위해 테더(Tether)에서 1억2750만 달러 규모의 지원 패키지를 마련했으나, 전체 피해액을 회복하기에는 턱없이 부족한 상황이다.

웹3 해킹의 부상은 전통 금융의 보안 모델과의 차이를 드러낸다. 전통 금융에서는 계좌 동결 등 제도적 개입이 가능해 자금 탈취를 막을 수 있지만, 웹3에서는 트랜잭션이 완료되면 자금이 즉시 온체인으로 빠져 나가며 회수할 방법이 전무하다. 이로 인해 해킹 자금의 회수율은 2020년 40%에서 2026년 현재 6%대로 떨어질 것으로 보인다. 믹서와 크로스체인 브리지를 통한 자금 세탁 기술의 발전이 주요 원인으로 지목되고 있다.

이러한 상황 속에서 중앙화 거래소와 디파이 프로젝트는 뚜렷한 양극화를 겪고 있다. 바이비트(Bybit)와 같은 중앙화 거래소는 대규모 해킹 사건에서도 고객 자산을 1대1로 보증하며 손실을 전액 보전하겠다고 공표해 체계적인 회복에 성공했다. 하지만 디파이 프로젝트는 공격을 당할 경우 대응 수단이 없는 상태로, 해커와의 협상조차 쉽지 않다.

전문가들은 웹3 생태계가 다음 단계로 발전하기 위해서는 기관 자본의 유입이 반드시 필요하다고 주장하며, 하지만 현재의 보안 구조로는 이마저도 어려운 상황이라고 지적하고 있다. 블록체인의 효율성과 24시간 작동하는 시장은 매력적이나, 회수율이 10% 미만인 시장에 기관이 투자하기보다는 신중할 수밖에 없다. 따라서 탈중앙화 철학보다 사고 발생 시 책임지고 자산을 보호할 수 있는 구조가 필요하다는 목소리가 높아지고 있다.