“미래금융” 각광받던 DeFi, 잇딴 해킹에 자산 썰물

DeFi는 관리자 없이 블록체인의 자동화된 스마트 컨트랙트에서만 동작하는 금융 서비스. 은행·증권사 같은 전통적 중개기관을 대체할 것으로 기대받으며 성장해왔다. 그러나, 계속되는 대형 보안사고를 계기로 강도 높은 규제가 불가피해졌다.

“은행 없는 금융”을 표방, 한때 금융의 미래로 각광받던 가상화폐 업계의 무규제 영역, 이른바 ‘DeFi’가 두 건의 해킹 사태 이후 투자자 이탈이라는 위기에 직면해 있다. 이 사건들은 DeFi 프로젝트의 안전성에 대한 심각한 우려를 촉발했다고 FT는 밝혔다.

데이터 분석업체 디파이라마(DefiLlama)에 따르면, 북한 연계 해커들이 DeFi 최대의 대출 플랫폼인 에이브(Aave)에서 2억9000만 달러(약 4329억 4100만 원)를 탈취했다. 업계 공동 구제금융이 단행된 이후 DeFi 시장에서는 약 140억 달러(약 20조 9006억 원)가 빠져나갔다. 이 사건은 해커들이 DeFi 거래소 드리프트(Drift)에서 2억8000만 달러(약 4179억 5600만 원)를 훔쳐간 지 불과 몇 주 만에 발생했다.

이 두 사건은 DeFi 업계에 큰 타격을 안겼다. 블록체인은 보안이 핵심으로 여겨진다. 전통 금융기관들이 블록체인 기술 도입을 모색하는 시점에 일어난 이 사태는 더욱 뼈아프다고 FT는 지적했다. 가상화폐 그룹 갤럭시의 리서치 어소시에이트 루카스 체얀은 “파장이 심각하다”며, 이번 해킹이 “기존 금융 인프라보다, 가상화폐가 더 안전하고 투명한 대안이라는 주장을 훼손했다”고 말했다.

DeFi는 2020년 이른바 ‘DeFi 여름’이라 불리는 시기에 폭발적으로 성장했다. 시장 규모는 10억 달러(약 1조 4932억 원) 미만에서 2021년 약 1800억 달러(약 268조 7760억 원)로 급팽창했다. 금융의 접근성을 높이는 것을 목표로 한 DeFi는 상호 연결된 금융 애플리케이션 생태계로 확장됐다. 그러나 해커들이 취약한 고리를 공략하면서, 이 연결성이 약점으로 드러났다.

지난 4월 18일, 북한 연계 해커들은 켈프다오(KelpDAO)에서 이더리움 연동 토큰 약 2억9000만 달러어치를 탈취했다. KelpDAO는 사용자들이 토큰을 잠그지 않고도 대출을 통해 더 높은 수익을 얻을 수 있는 플랫폼. 해커들은 이 탈취한 토큰을 담보로 Aave에서 대출을 받았다.

이 수법으로 Aave는 최대 2억3000만 달러(약 3434억 3600만 원)의 부실채권을 떠안게 됐다. 이더리움 공동 창업자인 조셉 루빈, 가상화폐 억만장자인 저스틴 선, 그리고 인프라 기업 레이어제로(LayerZero)와 맨틀(Mantle) 등 업계 유명인사들이 나서 연쇄 위기를 막기 위한 구제금융을 주도했다. Aave의 스타니 쿨레초프 창업자 겸 최고경영자(CEO)는 DeFi가 “고강도 스트레스 테스트”를 받았다고 표현하며, 구제금융이 “Aave만을 위한 것이 아니라 DeFi 전체 생태계를 복원하고 전염 효과를 막기 위한 것”이었다고 강조했다.

많은 사람들은 이번 구제금융이 DeFi의 정신에 반한다고 본다. DeFi 지지자들은 종종 2008년 글로벌 금융위기 당시의 대형 은행 구제금융을 주류 금융의 실패 증거로 인용하며 탈중앙화 금융을 지지해왔기 때문이다.

가상화폐 분석 회사 카이코(Kaiko)의 수석 리서치 애널리스트 애덤 모건 맥카시는 이번 구제금융이 이들 기업이 “탈중앙화를 가장하고 있음”을 드러냈다고 지적했다. 그는 “현실적으로는 가상화폐 업계에서 20년을 보낸 12~20명의 남성이 서로의 가격을 지키기 위해 이해관계를 공유하며 움직이고 있다”고 꼬집었다.

DeFi 프로젝트의 토큰 가격은 최근 대부분 하락했다. Aave 토큰은 4월 18일 이후 20% 내려갔으며, 1년 전보다는 50% 폭락했다. 탈중앙화 거래소인 유니스왑(Uniswap)의 토큰도 1년 전 대비 약 34% 떨어졌다.

이 같은 하락세는 아직 뚜렷한 수익모델을 만들지 못한 DeFi 산업의 미래에 대한 의구심을 키우고 있다. 다만 이란 전쟁 이후 원유 파생상품 거래 수요가 몰린 하이퍼리퀴드(Hyperliquid)와 예측시장 플랫폼 폴리마켓(Polymarket) 정도가 예외 사례로 꼽힌다.

Polymarket은 오랫동안 규제 밖에서 운영됐지만 내부자 거래 의혹과 의심스러운 베팅으로 감시가 강화되고 있다. 최근 미국에서는 베네수엘라 지도자 체포 관련 정보를 이용해 베팅한 군인이 기소되기도 했다. 이에 따라 Polymarket은 투명성을 강화하기 위해 분석 기업과 협력하기로 했다.

이번 해킹 사태는 규제 당국의 경계심도 키울 전망이다. 엘리자베스 워런, 버니 샌더스 등 미국 상원의원들은 이미 가상화폐 기업에 대한 정부의 구제금융 금지 법안을 발의한 상태다. 또한 블록체인 분석 기업 체이널리시스(Chainalysis)는 DeFi 기업들이 보안 투자를 충분히 하지 않아 사이버 공격 위험이 크다고 경고한 바 있다. 현재 미국 의회는 가상화폐 산업 전반의 시장 구조를 규정하는 포괄적 법안을 추진 중이다. 특히, DeFi 개발자들에 대한 법적 보호 범위가 핵심 쟁점으로 떠오르고 있다.

일부 전문가들은 인공지능(AI)과 양자컴퓨팅 발전이 디파이에 추가 위협이 될 수 있다고 우려한다. 탈중앙화 기술기업 그노시스(Gnosis) 공동창업자 프리데리케 에른스트는 “해커들은 디파이 취약점을 훨씬 더 잘 찾아내고 있다. 이번 해킹에도 AI가 활용됐을 가능성이 있다”고 말했다. 그는 “DeFi 생태계 참여자들은 자신들이 매우 쉬운 공격 대상이라는 사실을 이해해야 한다”며 “아직 안전장치가 충분히 마련되지 않았다. 지금 DeFi에 참여하기엔 매우 위험한 시기”라고 경고했다.

권선무 기자