아브라카다브라는 어떻게 디파이에서 가장 불운한 프로토콜이 되었나요?

한때 혁신으로 찬사를 받았던 디파이 대출 플랫폼 아브라카다브라는 많은 사람들이 "불운의 저주"라고 부르는 상황에 직면해 있습니다. 올해 들어 세 번째로 이 프로토콜은 또 다른 정교한 공격의 희생양이 되었으며, 이번에는 약 180만 달러 상당의 매직 인터넷 머니(MIM)가 유출되었습니다.

아브라카다브라의 "쿡" 기능의 논리적 결함을 노린 이 익스플로잇은 프로토콜의 아키텍처 또는 그 복잡성이 최악의 적인지에 대한 논쟁을 다시 불러일으켰습니다. 현재 총 손실액이 2,100만 달러를 넘어선 가운데, 디파이 업계에서 한때 마법과도 같았던 아브라카다브라의 명성은 점점 퇴색하기 시작했습니다.

이번 해킹은 12개월 이내에 발생한 아브라카다브라의 세 번째 대규모 해킹으로, 디파이에서 가장 자주 악용되는 플랫폼 중 하나라는 명성을 공고히 했습니다. 올해는 1월에 640만 달러 규모의 해킹으로 시작되었으며, 공격자가 토네이도 캐시를 통해 추적된 자금을 사용하여 공격을 실행한 후 MIM 스테이블코인을 불안정하게 만들었습니다.

두 달 후인 2025년 3월, 아브라카다브라는 해커들이 프로토콜의 아키텍처 깊숙이 숨겨진 다단계 로직 결함을 악용하여 1,300만 달러 상당의 더 큰 익스플로잇을 당했습니다.

2025년 9월, 이 플랫폼은 또다시 또 다른 취약점의 희생양이 되었으며, 이번에는 약 180만 개의 MIM이 손실되어 누적 손실액이 2,100만 달러를 넘어섰습니다.

세 가지 공격 모두 복잡한 스마트 컨트랙트 상호작용과 관련이 있지만, 각각 다른 약점을 노렸으며, 이는 고립된 결함보다는 프로토콜의 전반적인 설계에 대한 의문을 제기하는 패턴입니다.

개발자들은 일련의 해킹을 "불행한 불운의 연속"이라고 설명했지만, 블록체인 분석가들은 지속적인 실패가 더 심각한 시스템 취약성을 암시한다고 생각합니다.

이들은 단순한 감독 문제가 아니라 아브라카다브라 같은 디파이 프로토콜을 연쇄적인 공격에 노출시키는 취약한 아키텍처와 상호 의존적인 스마트 컨트랙트 로직에 문제가 있다고 주장합니다.

최신 익스플로잇의 전개 방식

온체인 데이터에 따르면 최근 공격자는 프로토콜의 '쿡' 기능(사용자가 효율성을 위해 여러 작업을 단일 트랜잭션으로 묶을 수 있는 기능)의 허점을 이용해 6개의 지갑 주소에서 동일한 익스플로잇 시퀀스를 실행한 것으로 나타났습니다.

해커는 이 기능을 조작하여 일반적으로 담보 한도를 초과하여 대출하는 것을 방지하는 지급 능력 확인을 우회할 수 있었습니다. 이 공격은 대출 후 지급 능력 확인을 트리거하도록 설계된 상태 플래그를 이용했습니다. 그러나 추가적인 '도우미' 작업이 삽입되었을 때 플래그가 의도치 않게 재설정되어 시스템이 최종 검증을 완전히 건너뛰게 되었습니다.

공격자는 이 취약점을 이용해 1,793,755 MIM을 빌려 토큰을 다른 자산으로 빠르게 교환한 후 오프체인으로 옮겼습니다. 보안 업체인 블록섹은 이 결함이 기존의 재진입이나 플래시 대출 버그가 아니라 로직 계층 취약점이며, 이는 성숙한 탈중앙 금융 프로토콜도 구성성 압박에 무너질 수 있음을 보여주는 미묘한 설계상의 결함이라고 확인했습니다.

아브라카다브라 팀은 신속하게 대응하여 고객 자금이 영향을 받지 않았으며 익스플로잇이 패치되었음을 사용자에게 알렸습니다. 그들은 1,900만 달러의 자금을 활용하여 올해 초 침해 사고 이후 사용했던 복구 플레이북을 반복하여 MIM을 매입하고 안정화했습니다.

개발자는 반응하고, 커뮤니티는 지쳐갑니다.

팀의 신속한 대응에도 불구하고 투자자들의 신뢰는 계속 약화되고 있습니다. 소셜 미디어에서 커뮤니티 회원들은 불만을 표출했으며, 일부는 또 다른 해킹이 발생하기 전에 아브라카다브라가 "주문서를 폐기해야 한다"는 농담을 던지기도 했습니다. 다른 사람들은 이 프로젝트가 고도로 구성 가능한 스마트 컨트랙트에 의존하는 것이 해커의 창의성에 대한 보상을 제공하는 일종의 '보안이 너무 복잡한' 프로토콜이 되어 공격자의 표적이 된 것은 아닌지 의문을 제기하기도 했습니다.

보안 분석가들은 이러한 우려를 반영하여 향후 사고를 방지하기 위해 모듈식 계약 설계, 격리된 지급 능력 검사, 운영 후 필수 검증과 같은 보다 엄격한 개발 표준을 채택할 것을 제안했습니다.

많은 관찰자들은 이 사건을 통해 디파이 업계에서 혁신이 리스크 관리보다 앞서서는 안 된다는 분위기가 확산되고 있음을 알 수 있습니다. 한 애널리스트는 "아브라카다브라는 컴포저빌리티의 한계를 뛰어넘기 위해 노력해 왔지만 비전이 실현되기도 전에 코드가 계속 깨지고 있습니다."라고 말했습니다.

디파이의 더 큰 문제: 복잡성의 폐해

아브라카다브라 사건은 단순히 불행한 사건의 연속이 아니라 탈중앙화 금융 전반에 걸친 광범위한 문제를 반영합니다. 탈중앙 금융 프로젝트가 원활하게 상호 작용할 수 있도록 하는 핵심 기능인 구성성은 탈중앙 금융 프로젝트를 가장 취약하게 만드는 요소이기도 합니다. 새로운 컨트랙트나 기능이 추가될 때마다 또 다른 의존성 계층이 추가되고, 모든 계층은 또 다른 잠재적 실패 지점을 만들어냅니다.

아브라카다브라의 경우, 올해 발생한 세 번의 공격은 모두 시스템의 서로 다른 구성 요소를 악용했습니다. 이 사실만으로도 오래된 취약점을 패치하는 것이 문제가 아니라 확장되는 코드베이스의 복잡성을 관리하는 것이 문제라는 것을 알 수 있습니다.

체인널리시스의 데이터에 따르면 해커들은 2025년 1월부터 6월까지 21억 7천만 달러의 암호화폐를 도난당했으며, 이는 2024년 전체 도난 금액과 거의 일치하는 수치입니다. CertiK의 보고서에 따르면 바이비트의 15억 달러 규모 유출 사건과 같은 대규모 사건으로 인해 이 수치는 24억 7천만 달러로 더 높아졌습니다.

아브라카다브라의 누적 손실이 현재 2,100만 달러를 넘어선 가운데, 이 프로젝트는 탈중앙화 금융의 최첨단 시스템에 내재된 위험을 극명하게 보여주는 사례입니다.

마법이 대혼란으로 변할 때

어느 순간 불운은 더 이상 변명거리가 되지 않습니다.

아브라카다브라의 불행은 빠른 혁신과 책임감 있는 엔지니어링의 균형이라는 디파이의 핵심 딜레마를 반영합니다. 한때 가장 큰 강점이었던 플랫폼의 복잡한 설계는 이제 아브라카다브라의 아킬레스건이 되었습니다. 모든 새로운 기능, 모든 구성 가능한 레이어는 공격자들이 테스트할 수 있는 또 다른 문입니다.

이 교훈은 하나의 프로토콜을 넘어서는 것입니다. 탈중앙 금융 생태계 전체가 통제되지 않는 복잡성은 곧 혼란이라는 사실을 깨닫고 있습니다. 보안은 사후 고려 사항에서 모든 계약에 내장되고 모든 단계에서 검증되는 기본 원칙으로 발전해야 합니다.

프로토콜이 실험보다 복원력을 우선시하기 시작할 때까지 탈중앙화 금융의 '마법'은 한 번에 한 가지씩 계속 사라질 것입니다.