THORChain, 1,070만 달러 규모 제안자 위조 공격
출처: Dev.to
THORChain 1,070만 달러 제안자 위조 공격 조사 보고서
사건 발생일: 2026년 5월 30일
총 손실액: 약 1,070만 달러 (USD)
영향을 받은 자산: 이더리움, 비트코인, BNB 체인 금고 자금
네트워크: THORChain (크로스체인)
2026년 5월 30일, THORChain은 크로스체인 금고 전송 메커니즘을 노린 1,070만 달러 규모의 익스플로잇을 당했습니다. 이번 공격은 THORChain의 Bifrost Attestation Gossip 시스템에 존재하던 제안자 위조(proposer‑forgery) 버그를 이용해, 공격자가 입금 관찰을 가로채어 위조된 출금 요청으로 변조할 수 있게 했습니다.
가장 충격적인 점은, THORChain 개발자들이 이미 이 취약점에 대한 수정 패치를 개발해 두었으며, 이를 적용했다면 공격을 막을 수 있었음에도, 자동화된 테스트 및 배포 시스템이 이를 구현하지 못했다는 사실입니다. 이는 기술적 결함이라기보다 운영상의 실패에 해당합니다. 보안 지식과 패치는 존재했지만, 배포 인프라가 프로토콜을 실망시킨 것입니다.
취약점: THORChain Bifrost Attestation Gossip의 제안자 위조 버그
Bifrost 프로토콜은 THORChain 내에서 크로스체인 통신을 담당합니다. 취약점은 검증자들이 트랜잭션을 관찰하고 인증하는 방식에 있었습니다.
정상 흐름
- 사용자가 자산을 THORChain 금고에 입금
- 검증자들이 입금을 관찰
- 검증자들이 집단적으로 출금 승인
- 공유 금고에서 자금이 해제
공격 흐름
- 공격자가 정상적인 입금을 시작
- 입금 관찰을 가로채고
- 관찰을 위조해 가짜 출금 요청으로 변조
- 핵심 결함: 검증자 서명이 입금/출금 비트를 포함하지 않음
- 제안자가 실제 입금 관찰을 위조된 출금 지시로 “전환”
- 검증자들이 정당한 출금으로 착각하고 승인
- ETH, BTC, BNB 체인 전반에 걸쳐 공격자 주소로 자금이 빠져나감
Blockaid 분석:
“Blockaid에 따르면 THORChain 개발자들은 이미 이 특정 취약점에 대한 수정 패치를 개발해 두었으며, 이를 적용했다면 공격을 저지할 수 있었던 것으로 알려졌습니다. 해당 패치는 이번 달 초에 적용될 예정이었으나, Thorchain의 자동 테스트·배포 시스템이 실패했다고 보고되었습니다.”
이 사건은 DeFi 보안에서 **‘취약점을 알고 수정 패치를 보유하고 있는 것’**이 배포 인프라가 제대로 작동하지 않으면 무의미함을 보여줍니다.
주요 지표
| Metric | Value |
|---|---|
| RUNE 가격 (공격 전) | $0.585 |
| RUNE 가격 (공격 후 2시간) | $0.501 (‑14%) |
| RUNE 가격 (보도 시점) | $0.514 |
| 프로토콜 TVL 영향 | 중대 |
공격이 공개된 직후 RUNE 토큰은 14% 급락했습니다.
THORChain의 설계와 아이러니
THORChain은 래핑 토큰이나 브리지 프로토콜이 가진 보안 위험 없이 네이티브 크로스체인 스왑을 제공하도록 설계되었습니다. 그러나 아이러니하게도:
- 2026년 4월 KelpDAO 2억 9,200만 달러 해킹 사건에서 해커는 THORChain을 주요 세탁 경로로 사용했습니다.
- Chainalysis와 TRM Labs 데이터에 따르면, THORChain은 Bybit 해킹(2025년 2월, 15억 달러) 및 **KelpDAO 해킹(2026년 4월, 2억 9,200만 달러)**에서 발생한 대부분의 세탁 자금을 처리했습니다.
- 프로토콜 운영자는 거래 동결이나 스크리닝을 거부했으며, 이는 탈중앙화 원칙에 위배되지 않는다고 주장합니다.
crypto.news 조사에 따르면, THORChain은 북한 라자루스 그룹이 사용하는 세탁 파이프라인의 핵심 축이 되었습니다:
- 도난당한 ETH → BTC 또는 스테이블코인으로 교환
- 크로스체인 브리지(THORChain 포함)를 통해 흐름 은폐
- 러시아 암호화폐 거래소·중국 OTC 데스크로 재전송
- 현금화 후 구매 네트워크에 자금 투입
이처럼 탈중앙화와 비수탁 운영을 고수하는 것이 국가 후원형 암호화폐 절도에 최적의 인프라가 되고 있습니다.
THORChain 보안 사고 연표
| 날짜 | 공격 | 손실액 |
|---|---|---|
| 2021년 7월 | 여러 차례 익스플로잇 (며칠 간격) | 약 $1,500만 |
| 2021년 그 외 | 지속적인 익스플로잇 | 총 $800만 이상 |
| 2026년 4월 | KelpDAO 해커가 THORChain을 세탁에 사용 | $2억 9,200만 세탁 |
| 2026년 5월 30일 | 제안자 위조 금고 탈취 | $1,070만 |
THORChain 관련 사고로 인한 역사적 총 손실액은 직접적인 익스플로잇만으로도 1,500만 달러를 넘어섭니다. 현재 프로토콜은 수백만 달러 규모의 국가 후원 해킹 수익을 처리하고 있습니다.
배포 파이프라인 실패가 드러낸 문제점
- 개발자 대응: 취약점 파악 → 코드 작성 → 배포 준비 완료
- 예정 배포: 5월 초 적용 예정
- 시스템 실패: 자동 CI/CD 파이프라인이 테스트·배포를 수행하지 않음
- 결과: 패치가 프로덕션 검증자에게 도달하지 않아 익스플로잇 성공
드러난 세 가지 시스템적 이슈
- 자동화에 과도한 의존 – 중요한 보안 패치는 인간의 검증 없이 자동 시스템에만 맡겨서는 안 됩니다.
- 배포 격차 – 스테이징에 적용된 보안 패치는 프로덕션 인프라에 전달되지 않으면 무의미합니다.
- 깊이 있는 방어 실패 – 코드 리뷰 ✓, 패치 개발 ✓, 배포 자동화 ✗ 등 모든 단계가 성공해야 합니다.
Manuel Aráoz (OpenZeppelin 설립자) 발언:
“이제 DeFi 전체가 안전하지 않다고 생각합니다.” AI가 스마트 계약 취약점을 빠르게 찾아내는 현 상황을 지적하며, **수정 패치를 신속히 배포하지 못하는 산업의 한계를 비판했습니다.
결론
THORChain 1,070만 달러 익스플로잇은 ‘알려진 취약점을 이용한 해커’ 이야기가 아니라, ‘알려진 위험을 조직적으로 관리하지 못한 실패’ 이야기입니다.
- 제안자 위조 기법은 THORChain 개발팀이 이미 이해하고 있었으며, 해결책도 존재했습니다.
- 문제는 ‘패치 준비 완료’와 ‘패치 배포’ 사이의 운영 기계가 고장 난 것이었습니다.
DeFi 산업에 주는 교훈
- 보안은 코드 감사를 넘어 배포 파이프라인, 업데이트 메커니즘, 실패 방지 장치까지 포함합니다.
- 자동화는 인간의 감독 없이는 위험합니다. 가장 정교한 스마트 계약 보안도 CI/CD가 조용히 실패하면 무용지물입니다.
- THORChain의 이념적 입장은 시스템적 위험을 초래합니다. 거래 스크리닝을 거부하는 원칙은 탈중앙화와 일치하지만, 동시에 국가 후원 테러 자금 조달에 연루될 위험을 내포합니다.
불편한 질문: 기본적인 AML/KYC 통제를 거부하는 프로토콜이 “그냥 기술을 따르는 것”이라고 주장할 수 있을까요? 언제부터 원칙적인 탈중앙화가 고의적인 눈감음이 되는 걸까요?
조사자: Onchain Shadow
보고서 날짜: 2026년 5월 30일
면책 조항: 이 보고서는 공개된 온체인 데이터와 언론 보도를 기반으로 한 보안 연구 목적의 자료이며, 실제 손실과는 차이가 있을 수 있습니다.
참고 자료
- Blockaid Security Analysis
- Arkham Intelligence
- crypto.news Investigation Report
- Chainalysis / TRM Labs Attribution Data
ChainSentinel – AI 기반 온체인 위험 인텔리전스 플랫폼
- 실시간 위험 스캔 – 주소를 검사해 러그 풀, 피싱, 익스플로잇 위험을 확인
- 멀티체인 모니터링 –