5월 상위 3대 보안 사고
5월의 가장 심각한 손실은 스마트 컨트랙트 취약점이 아닌, 프라이빗 키 탈취, 크로스체인 검증 결함, 민트 권한 및 브리지 의미론과 관련된 운영 보안 허점 등 신뢰 경계의 실패에서 비롯되었습니다.
이러한 패턴은 Web3 보안이 스마트 컨트랙트 코드를 훨씬 넘어선다는 점을 상기시켜 줍니다. 모든 시스템은 전체 라이프사이클에 걸쳐 신뢰 가정을 내포하고 있습니다. 그 가정 중 하나라도 무너지면 가장 취약한 고리가 되며, 종종 공격자에게는 그것 하나만으로도 충분합니다.
Echo Protocol: 약 $7,670만
2026년 5월 19일, Echo Protocol의 Monad 상 eBTC 배포가 대규모 보안 사고를 겪었습니다. 익스플로잇 당시 발행된 eBTC의 페깅 가치를 기준으로, 손실액은 약 $7,670만으로 추산됩니다.
근본 원인은 일반적인 스마트 컨트랙트 로직 취약점이 아닌 관리자 키 탈취였습니다. 특권적 제어권을 획득한 공격자는 상응하는 담보를 예치하지 않고 약 1,000개의 무담보 eBTC를 발행했습니다. eBTC는 BTC 가치를 추종하도록 설계되었기 때문에, 무단 발행은 즉시 막대한 명목 익스포저를 발생시켰습니다. 공격자는 이후 위조된 공급량의 일부를 하위 프로토콜로 이동시켜 사고를 크로스 프로토콜 리스크 이벤트로 확산시켰습니다.
이 사례는 합성 자산 또는 래핑 자산 시스템에서 핵심 보안 경계가 컨트랙트의 정확성뿐만 아니라, 민트 권한이 단일 특권 키에 과도하게 집중되어 있는지 여부에도 있음을 잘 보여줍니다. 그 신뢰 앵커가 탈취되는 순간, 공격자는 의도된 담보화 모델을 완전히 우회할 수 있습니다.
StablR: 약 $1,280만
2026년 5월 24일, StablR의 스테이블코인 시스템이 약 $1,280만 규모의 무단 토큰 발행을 수반한 보안 침해를 당했습니다.
공개된 보고서에 따르면, 이는 일반적인 스마트 컨트랙트 익스플로잇이 아닌 주로 인프라 또는 키 관리 탈취로 보입니다. 공격자는 멀티시그 기반 민트 권한을 장악한 후 소유권 역할을 교체하거나 탈취하여 USDR 및 EURR의 무단 발행을 가능하게 했습니다. 공격자가 온체인에서 실현한 수익은 불법 발행된 토큰의 전체 명목 가치보다 낮았지만, 이 사고는 여전히 디페깅을 유발하고 민트 권한 격리, 서명자 보안, 멀티시그 거버넌스 설계의 취약점을 노출시켰습니다.
스테이블코인 프로토콜에서 이 유형의 사고는 특히 심각합니다. 공격자가 트레저리 준비금을 직접 탈취할 필요가 없기 때문입니다. 무단 발행이 가능해지면, 상환 가능성에 대한 시장의 신뢰가 즉각 붕괴되어 페그가 실패하고 유동성이 급격히 악화될 수 있습니다.
Verus: 약 $1,170만
2026년 5월 18일, Verus-이더리움 브리지가 ETH, tBTC, USDC를 포함하여 약 $1,170만 규모의 익스플로잇을 당했습니다. 2026년 5월 23일 기준, 탈취된 자금의 약 75%가 반환되었습니다.
근본 원인은 이더리움 측 임포트 경로의 타입 검증 실패였습니다. Verus-이더리움 브리지는 공증된 상태 하에 Verus에 적격 익스포트 객체가 존재함을 증명한 후 이더리움에서 자산을 릴리즈하도록 설계되었습니다. 그러나 취약한 로직은 어떤 Verus 측 객체가 존재하는지만 확인했을 뿐, 증명된 객체가 실제로 지급 처리를 위해 의도된 유효한 기본 익스포트인지는 확인하지 못했습니다. 그 결과, 공격자는 수작업으로 제작된 보조 익스포트 출력을 포함한 빈 익스포트를 Verus에 생성한 후, 이더리움에서 해당 객체를 증명하여 브리지가 이를 일반적인 가치 전달 익스포트로 잘못 분류하도록 유도할 수 있었습니다.
이후 공격자는 내장된 트랜스퍼 해시 커밋먼트와 일치하는 serializedTransfers를 제공하여 사기성 임포트가 이더리움 측 검증을 통과하고 브리지에서 자산 릴리즈를 트리거하도록 했습니다. 이 사고는 브리지 보안이 암호학적 증명 검증뿐만 아니라 객체 타입, 상태, 플래그, 인코딩 경계, 실행 의미론의 엄격한 검증에도 달려 있음을 보여줍니다. 프로토콜이 객체의 존재만 증명하고 의도된 행위에 적합한 올바른 객체인지를 증명하지 않는다면, 유효한 증명조차 무효한 지급을 승인하는 데 악용될 수 있습니다.
위 정보는 2026년 6월 1일 00:00 UTC 기준 데이터를 바탕으로 합니다.
이것으로 4월 보안 사고 브리핑을 마칩니다. 블록체인 보안 사고 및 Web3 보안 트렌드에 대한 더 심층적인 분석은 저희 리소스를 통해 확인하실 수 있습니다.
보안 사고 라이브러리에서 더 자세한 내용을 확인하실 수 있습니다.
최신 정보를 유지하고 안전하게 지내세요!



