2억 8,500만 달러 규모 드리프트 프로토콜 해킹 여파, 솔라나 기반 캐럿 프로토콜 공식 종료 선언

솔라나 생태계의 수익률 프로토콜인 캐럿(Carrot)이 2억 8,500만 달러 규모의 드리프트 프로토콜(Drift Protocol) 해킹 사건 발생 한 달 만에 공식적인 운영 종료를 선언했다. 2026년 4월 1일 발생한 공격 이후 캐럿의 총 예치 자산(TVL)은 한 달 만에 93% 급감했으며, 프로토콜 측은 2026년 5월 14일을 최종 출금 기한으로 설정했다. 이는 올해 발생한 디파이(DeFi) 해킹 사건 중 단일 프로토콜의 파산으로 이어진 첫 번째 주요 사례로 기록되었다.

캐럿 운영팀은 2026년 4월 30일 공식 발표를 통해 프로토콜의 즉각적인 셧다운 절차를 시작한다고 밝혔다. 이용자들은 2026년 5월 14일까지 부스트(Boost), 터보(Turbo), CRT 풀에 예치된 자산을 모두 회수해야 한다. 해당 기한이 종료된 이후에도 남아있는 자산에 대해서는 프로토콜 차원의 강제 디레버리징(Deleveraging) 절차가 진행될 예정이며, 이는 자산의 가치 하락을 초래할 수 있다.

드리프트 프로토콜 해킹으로 인한 유동성 고갈과 인프라 훼손은 우리 팀이 감당할 수 있는 수준을 넘어섰으며, 지속적인 운영이 불가능하다는 결론에 도달했다.

이번 사태의 발단은 2026년 4월 1일 발생한 드리프트 프로토콜의 2억 8,500만 달러 규모 익스플로잇(취약점 공격)이다. 공격자는 가짜 토큰을 생성하고 관리자 키를 탈취하는 방식을 통해 단 12분 만에 프로토콜 내부의 USDC와 JLP 등 핵심 자산을 대거 인출했다. 보안 전문가들은 이번 공격의 배후로 북한(DPRK) 연계 해커 조직을 지목하고 있으며, 이는 단순한 코드 오류가 아닌 정교한 사회 공학적 공격의 결과로 분석된다.

급격한 자산 유출과 재무적 붕괴

해킹 사건 발생 전 약 2,800만 달러에 달했던 캐럿의 TVL은 2026년 5월 1일 기준 199만 달러 수준으로 쪼그라들었다. 팀은 사건 초기인 4월 초부터 자산 통합과 레버리지 제한 등 구조조정안을 시행하며 회생을 시도했으나, 투자자들의 신뢰 상실로 인한 뱅크런(대규모 인출 사태)을 막지 못했다. 유동성 공급원이었던 드리프트 프로토콜의 마비는 캐럿의 수익 창출 모델 자체를 무너뜨리는 결과를 초래했다.

• 2026년 4월 1일: 드리프트 프로토콜 해킹으로 2억 8,500만 달러 유출
• 2026년 4월 2일: 캐럿, 일부 시장 출금 제한 및 구조조정 착수
• 2026년 4월 30일: 캐럿, 공식 운영 종료 및 셧다운 발표
• 2026년 5월 14일: 사용자 자산 출금 및 강제 디레버리징 마감 시한

캐럿 팀은 4월 한 달 동안 프로토콜을 유지하기 위해 다각도의 노력을 기울였다고 강조했다. 특정 시장에서의 출금을 제한하고 자산을 통합하여 상환 능력을 확보하려 했으나, 드리프트 프로토콜에 묶인 자산의 회수가 불투명해지면서 재무적 한계에 부딪혔다. 결국 팀은 더 이상의 운영 비용 지출이 이용자들의 잠재적 회수금을 줄일 뿐이라는 판단하에 종료를 결정했다.

자산 회수 절차에서 가장 핵심적인 부분은 IOU(부채 증명) 토큰의 발행이다. 캐럿은 드리프트 프로토콜로부터 향후 회수될 수 있는 보상금을 배분하기 위해 IOU 토큰 시스템을 도입하기로 했다. 이는 CRT 토큰 보유자들을 대상으로 특정 시점의 스냅샷을 기준으로 배정되며, 드리프트 측의 보상 프로그램이 가동될 때 비례적으로 자금을 분배받을 수 있는 권리를 부여한다.

디파이 보안의 새로운 위협과 교훈

이번 사건은 2026년 디파이 생태계가 직면한 새로운 보안 과제를 시사한다. 드리프트 프로토콜의 해킹은 스마트 컨트랙트의 버그가 아닌, 관리자 권한 탈취와 오라클 조작을 결합한 복합적인 공격이었다. 이는 프로토콜들이 코드 보안뿐만 아니라 운영상의 보안(OpSec)과 거버넌스 권한 관리에 더욱 철저해야 함을 보여준다.

또한 캐럿의 파산은 특정 대형 프로토콜에 대한 의존도가 높은 '레고형' 디파이 구조의 위험성을 경고한다. 하나의 하위 프로토콜이 붕괴할 때 상위 프로토콜이 연쇄적으로 무너지는 전염 효과는 솔라나 생태계 전체의 유동성 위축으로 이어질 수 있다. 업계 전문가들은 향후 프로토콜 설계 시 외부 플랫폼과의 상호 의존성을 다각화하고 비상 정지 메커니즘을 강화해야 한다고 조언한다.

결론적으로 캐럿의 종료는 2026년 상반기 가상자산 시장에 큰 충격을 안겼다. 이용자들은 5월 14일 마감 시한 전까지 개인 지갑으로 자산을 이동시켜 추가적인 손실을 방지해야 한다. 캐럿 팀은 프로토콜 종료 후에도 IOU 토큰을 통한 보상 절차를 투명하게 공개하겠다고 약속했으나, 실제 자산 회수까지는 상당한 시간이 소요될 것으로 전망된다.