와사비 프로토콜, 관리자 키 탈취로 450만 달러 피해... 4월 암호화폐 해킹 총액 6억 달러 돌파
2026년 4월 30일, 와사비 프로토콜이 관리자 키 탈취로 인해 450만 달러 규모의 자산을 도난당했다. 이번 사건은 4월 한 달간 발생한 암호화폐 보안 사고 총액을 6억 달러 이상으로 끌어올리며 역대 최악의 달 중 하나로 기록되었다.
2026년 4월 30일 목요일, 탈중앙화 금융(DeFi) 프로토콜인 와사비 프로토콜(Wasabi Protocol)이 관리자 키 탈취로 인해 450만 달러 규모의 피해를 입었다. 이번 사건은 4월 한 달간 총 6억 달러 이상의 생태계 손실이 발생한 가운데 터진 마지막 대형 악재로 기록되었다. 특히 이번 공격은 멀티시그(Multisig)나 타임락(Timelock)과 같은 기본적인 보안 장치 부재라는 고질적인 취약점을 다시 한번 드러냈다.
보안 전문가들은 이번 사건이 사전에 충분히 방지할 수 있었던 형태의 공격이었다고 지적한다. 관리 권한을 가진 단일 키가 탈취됨과 동시에 프로토콜 전체의 자산이 무방비로 노출된 것은 거버넌스 보안의 심각한 결여를 의미한다. 이는 단순한 기술적 오류를 넘어 운영상의 중대한 과실로 평가받고 있다.
2026년 4월 30일 오전, 와사비 프로토콜의 배포자 키(Deployer Key)가 탈취되어 스마트 컨트랙트 내에 예치된 자금이 직접 인출되는 정황이 포착되었다. 공격자는 탈취한 권한을 이용해 아무런 제약 없이 자산을 외부 지갑으로 전송했다. 이번 공격으로 인한 총 피해액은 약 450만 달러에 달하며, 이는 당일 암호화폐 시장의 신뢰도에 큰 타격을 주었다.
이번 와사비 프로토콜의 사례는 이달 초 발생한 드리프트 프로토콜의 2억 8,500만 달러 규모 해킹 사건과 매우 유사한 수법을 보여준다. 타임락이나 멀티시그가 없는 배포자 키가 자금 유출의 통로가 되었다.
기술적 분석 결과, 탈취된 배포자 키에는 어떠한 지연이나 승인 절차도 설정되어 있지 않았다. 이는 공격자가 키를 확보하는 즉시 프로토콜의 모든 통제권을 장악할 수 있었음을 의미한다. 이와 같은 '단일 실패 지점(Single Point of Failure)' 문제는 2026년 4월 초 발생한 드리프트 프로토콜(Drift Protocol)의 보안 사고에서도 동일하게 나타난 바 있으며, 업계의 반복되는 보안 불감증을 여실히 보여준다.
2026년 4월, 암호화폐 해킹 역사상 최악의 달로 기록
와사비 프로토콜의 이번 피해는 2026년 4월을 2025년 2월 이후 암호화폐 해킹 피해가 가장 컸던 달로 만들었다. 4월 한 달 동안 발생한 12건의 주요 보안 사고로 인한 총 손실액은 6억 600만 달러에 육박한다. 이는 2026년 1분기 전체 손실액의 3.7배를 넘어서는 수치로, 디파이 생태계의 보안 위기가 가속화되고 있음을 시사한다.
- 켈프 DAO(Kelp DAO): 브릿지 결함으로 인해 2억 9,300만 달러 손실 발생
- 드리프트 프로토콜(Drift Protocol): 소셜 엔지니어링 및 키 탈취로 2억 8,500만 달러 피해
- 제타브릿지(ZetaBridge): 스마트 컨트랙트 로직 오류로 810만 달러 유출
- 노드파이(NodeFi): 개인 키 탈취로 인해 230만 달러 손실
이번 보안 사고 소식이 전해지자 와사비 프로토콜의 네이티브 토큰인 WASABI 가격은 급락했다. 2026년 4월 28일 약 0.00031달러 수준에서 거래되던 WASABI 토큰은 사고 당일인 30일 시가총액이 22만 7,230달러까지 쪼그라들었다. 투자자들은 보안 신뢰도가 무너진 프로토콜에서 자금을 회수하며 시장 이탈을 가속화했다.
보안 연구원들은 2026년 들어 공격의 빈도가 전년 동기 대비 68% 증가했다고 경고한다. 2026년 상반기 동안 디파이 분야에서만 47건의 사고가 발생했으며, 이는 2025년 같은 기간의 28건을 크게 상회하는 수치다. 전문가들은 프로토콜들이 멀티시그와 타임락 도입을 의무화하는 등 거버넌스 보안 가이드라인을 강화해야 한다고 강조한다.
특히 이번 사건은 고가치 자산을 취급하는 프로토콜들이 기본적인 보안 수칙조차 준수하지 않고 있다는 점을 다시 한번 확인시켜 주었다. 업계 내부에서는 자율 규제만으로는 이러한 반복적인 키 탈취 사고를 막기에 역부족이라는 목소리가 커지고 있다. 보안 표준에 대한 보다 엄격한 감사와 투명한 공시 체계 마련이 시급한 시점이다.
와사비 프로토콜 사용자들은 현재 공식 채널을 통해 발표될 복구 계획 및 보상 방안을 주시하고 있다. 프로토콜의 재기 여부는 이번 사고에 대한 투명한 기술 감사 결과와 향후 보안 강화 대책의 실효성에 달려 있다. 시장은 이번 사건을 계기로 디파이 프로토콜 전반의 보안 표준 상향을 강력히 요구하고 있다.
| Date | Protocol | Loss (USD) | Attack Type |
|---|---|---|---|
| April 1 | Drift Protocol | $285M | Oracle manipulation / Key compromise |
| April 3 | ZetaBridge | $8.1M | Smart contract logic flaw |
| April 5 | PulseVault | $3.4M | Flash loan attack |
| April 7 | NodeFi | $2.3M | Private key compromise |
| April 30 | Wasabi Protocol | $4.5M | Admin key compromise |
April 2026 saw a record $606 million in total losses, dominated by bridge flaws and key compromises.
본 콘텐츠는 정보 및 논평을 위한 것이며 투자 자문이 아닙니다.
기사에 대한 반응을 남겨보세요
다른 독자의 코멘트를 보고, 바로 의견을 남길 수 있습니다.