화폐 침몰록 2010-2026: 가상자산 흑조 사건 53선과 12개의 교훈

서문 · 뒷사람을 위한 목록

제가 처음 코인을 산 곳은 2017년의 BitGrail, 이탈리아의 작은 거래소였습니다. NANO 몇 개. 8개월 뒤 거래소가 무너졌고, 창업자 프란체스코 피라노가 수년간 장부를 두 벌 운영해 왔다는 사실이 드러났습니다. 다른 모든 이용자의 돈과 함께 제 작은 잔고도 사라졌습니다. 화면에는 잔고가 그대로 보이는데 다시는 손댈 수 없다는 그 감각 — 결국 그 감각이 이 아카이브를 쓰게 만들었습니다.

이 글은 Crypto Archives 한국어판의 코너스톤(주춧돌) 문서입니다. 1차 사료 — 파산 신청서, 법정 증언, 온체인 트랜잭션 해시, 프로젝트 사후 부검 보고서, 검찰 공소장 — 으로 검증한 가상자산 흑조 사건을 한 타임라인 위에 모두 모았습니다. 검증되지 않은 사건은 뺐습니다. 다른 목록이 빠뜨리는 사건은 일부러 넣었습니다. 2010년 CVE-2010-5139 가치 오버플로 취약점, 중국 규제 사이클 세 번, 2023년 3월 USDC 디페그 — 모두 더 유명한 사건이 가르치지 못하는 교훈을 가르치기 때문입니다.

한국어판은 영어판의 단순 번역이 아닙니다. 한국 본지 사건 다섯 개 — Bithumb(2017·2018), Upbit(2019), Coinone(2019), V Global(2021), 테라폼랩스 권도형·신현성 — 를 각 장의 적절한 위치에 끼워 넣었고, 한국 가상자산이용자보호법·특금법·서울남부지검의 사건 처리 동향을 함께 정리했습니다. 글은 7개 장으로 나누어 카테고리별로 배열했습니다.

• 제1장: 중앙화 거래소 붕괴 + 한국 거래소 해킹(Bithumb·Upbit·Coinone) 총 12 사건.
• 제2장: ICO 시대 폰지 + V Global 한국 본지 사건 총 5 사건.
• 제3장: DeFi 익스플로잇과 크로스체인 브릿지 공격 8 사건.
• 제4장: 한국을 흔든 2022년 7개월의 연쇄 붕괴(테라부터 FTX까지).
• 제5장: 스테이블코인 디페그 사례 3건.
• 제6장: 2023-2026 진행 중인 청산, Bybit 14억 달러 포함 9 사건.
• 제7장: 프로젝트 부록 + 5건의 거시·정책 흑조(중국 3차례 규제·COVID 블랙써스데이·SVB·Tornado Cash).
• 12개의 교훈 — 전체 아카이브의 실무 산출물.

왼쪽 목차에서 원하는 곳으로 바로 점프할 수 있습니다. 각 사건 제목에는 프로젝트명·연도·달러 규모(해당되는 경우 원화 환산)를 함께 적어 검색이 가능하도록 했습니다. 만약 30분 이내에 다 못 읽으신다면 — 마지막 12개 교훈만 읽으셔도 됩니다. 그것이 이 50분짜리 문서의 실무 요약입니다.

요약 · 핵심 숫자

제1장 · 중앙화 거래소 붕괴와 한국 해킹 (2011-2020)

이 장의 12개 침몰선은 공통된 건축적 결함을 공유합니다. 과부하 상태로 운영되던 단일 핫월렛, 개별 트랜잭션이 아니라 총잔고만 맞춰보던 회계 시스템, 몇 달째 비어 있던 컴플라이언스·재무 자리, CTO를 겸직하던 CEO. 이 거래소들은 정교한 이유로 무너진 것이 아닙니다. 어느 규제 금융기관이라면 당연히 갖췄을 기본 통제를 아무도 세워두지 않았기 때문에 무너졌습니다.

1. Mt.Gox 초기 해킹 (2011년 6월)

2011년 6월 어느 저녁, 도쿄 시부야의 한 오피스 빌딩에서 운영 중이던 Mt.Gox 관리자 계정의 자격증명이 공개 채팅 로그에 그대로 노출되었습니다. 공격자는 그 키로 로그인해 거대한 매도 주문을 호가창에 부어버렸고, BTC 시장가는 단 몇 분 만에 $0.01까지 무너졌습니다 — 약 65,000 BTC가 그 짧은 창에서 손바뀜한 것으로 추정됩니다. Mt.Gox는 거래 롤백을 시도했지만 저가 체결의 상당 부분은 이미 다른 거래소로 빠져나간 뒤였습니다. 가상자산 역사상 처음으로 '대형 중앙화 거래소가 침해당했다'는 문장이 성립한 사건이었고, 회사가 그날 발표한 '권한 통제 강화' 약속은 3년 뒤 파산 신청 직전의 마지막 공개 보안 성명으로 남게 됩니다.

2. Bitstamp 피싱 해킹 (2015년 1월)

손실: 약 19,000 BTC(당시 500만 달러, 2026년 시세로는 11억 달러 상당). 원인: 운영팀 매니저가 악성 엑셀 첨부파일을 열어 원격 접근 멀웨어가 설치되었고 핫월렛 키가 유출되었습니다. 처리: Bitstamp는 약 일주일 영업 중단 → 기존 투자자에게서 대체 자본 조달 → 이용자 전액 보상. 파산 신청을 하지 않았습니다. 의미: 거래소가 해킹을 흡수하고 살아남은 첫 사례. Bitstamp는 2026년 현재도 운영 중인 몇 안 되는 2014년 이전 거래소입니다.

3. The DAO 해킹 (2016년 6월)

손실: 약 360만 ETH(당시 5천만 달러). 원인: The DAO 스마트 컨트랙트의 재진입(reentrancy) 취약점. 공격자는 잔고 갱신 이전에 splitDAO를 재귀 호출하여 컨트랙트를 비웠습니다. 처리: 이더리움 커뮤니티가 둘로 갈라졌습니다. 다수파는 공격을 되돌리는 하드 포크를 지지했고, 그 포크가 오늘 우리가 쓰는 이더리움이 되었습니다. 소수파는 'code is law' 원칙을 지키며 원본 체인에 남았고, 그것이 Ethereum Classic이 되었습니다. 의미: 메이저 퍼블릭 블록체인이 사회적 합의로 온체인 거래를 되돌린 유일한 사례. 재진입 취약점은 이후 모든 솔리디티 교과서의 1과가 되었습니다.

4. Bitfinex 12만 BTC 해킹 (2016년 8월)

손실: 약 120,000 BTC(당시 7,200만 달러, 2026년 시세로는 약 80억 달러). 원인: BitGo가 백업하던 2-of-3 멀티시그 핫월렛이 침해당했습니다. 공격자가 서명 키 중 두 개를 확보했지만, 정확한 기술적 방법은 공개된 적이 없습니다. 처리: Bitfinex는 파산 대신 손실을 모든 이용자 잔고에 36% 비율로 강제 사회화하고, 손실을 표시하는 BFX 토큰을 발행해 나중에 모회사 iFinex 주식으로 전환했습니다. 2022년 회수: 미국 법무부가 일리야 리히텐슈타인과 헤더 모건('Razzlekhan' 부부)을 2022년 2월에 체포하고 약 94,643 BTC를 압수했습니다 — 가상자산 절도 사상 단일 최대 회수입니다.

5. Bithumb 북한 추정 해킹 (2017년 6월 + 2018년 6월) 🇰🇷

빗썸의 첫 침해는 사이버 공격 영화의 장면이 아니라 한 직원의 개인 노트북에서 시작되었습니다. 2017년 6월, 이메일 첨부파일을 무심코 연 운영팀 인원의 PC가 멀웨어에 감염되었고, 그 노트북을 디딤돌로 회원 약 3만 1천명의 개인정보와 일부 자산이 외부로 빠져나갔습니다. 피해 규모는 약 110억원으로 집계되었으며, 한국 인터넷진흥원(KISA)과 검찰의 IP 추적은 북한 연계 공격자를 지목했습니다. 그러나 진짜 충격은 1년 뒤에 왔습니다 — 2018년 6월, 이번에는 핫월렛 자체가 직접 뚫리며 BTC·ETH·EOS 등 약 350억원이 분산 유출된 것입니다. 빗썸은 두 사건 모두 회원 손실분을 자사 자금으로 메웠고, 이후 핫·콜드월렛 분리 비율을 공격적으로 강화했습니다. 한국에서 '북한 해커가 가상자산 거래소를 정기 표적으로 본다'는 명제가 처음으로 실증된 순간이었고, 이를 계기로 국내 거래소들이 자율적으로 도입한 80%+ 콜드 보관·보험 가입·정기 보안 진단은 6년 뒤 2024년 가상자산이용자보호법이 시행되면서 그대로 법적 의무로 격상됩니다 — 한국 가상자산 규제의 뼈대가 이 두 사건의 영수증 위에 세워진 셈입니다.

6. Mt.Gox 공식 파산 (2014년 2월)

손실: 약 850,000 BTC(이용자분 75만 + 회사분 10만) + 28억 엔의 법정통화. 당시 가치는 약 4억 8천만 달러, 2026년 BTC 시세로 510억 달러 이상. 원인: 수년간 누적된 누출. 2011년 내부자 공격, 2013년 가변성(malleability) 익스플로잇, 이용자 자금 분리 없음, 트랜잭션 단위 정산 없음, CEO-CTO 겸직 문제. 파산 관재인 보고서는 회사·이용자 잔고의 통합 감사가 단 한 번도 수행된 적 없다고 결론지었습니다. 처리: 2018년 민사 회생(民事更生) 절차 시작. 2024년 7월부터 채권자 기본 변제가 시작되었고, 2026년 5월 기준 약 92%의 채권자가 초기 배당을 받았습니다. 전체 버전: 화폐 침몰록 1권(중국어, 5,300자) 참조.

7. Coincheck NEM 해킹 (2018년 1월)

손실: 약 5억 3,400만 달러 상당의 NEM 토큰(5억 2,300만 NEM). 원인: 핫월렛 키 보호가 부적절했고 멀티시그가 미구현 상태였습니다. 이용자 NEM의 대부분이 콜드 스토리지가 아닌 온라인 핫 스토리지에 있었습니다. 처리: Coincheck는 회사 자금으로 463억엔(약 4억 2천만 달러)을 전액 엔화 환산 보상. 2018년 4월 Monex 그룹에 인수되어 운영을 이어갔습니다. 의미: 일본 사상 최대 가상자산 절도 사건. 이 사건을 계기로 일본 금융청(FSA)이 모든 가상자산 거래소를 직접 감독하기 시작했고, 멀티시그·콜드월렛 분리·이용자 자산 분리 보관이 의무화되었습니다 — 6년 뒤 한국이 가상자산이용자보호법으로 채택할 구조의 원형입니다.

8. BitGrail $170M NANO (2018년 2월)

손실: 약 1,700만 NANO(당시 1억 7천만 달러). 원인: 창업자 프란체스코 '더 봄버' 피라노가 수년간 이용자 예치금을 개인 트레이딩 손실에 횡령해 왔으며, 이용자에게 보여주는 장부와 실제 장부 두 벌을 동시에 운영했습니다. 처리: 2019년 피렌체 법원은 피라노에게 개인 책임을 물었지만 실제 회수율은 10% 미만. 개인 메모: 제가 2017년 첫 NANO 포지션을 잃은 거래소입니다. 금액은 작았지만, 잔고가 화면에 그대로 보이는데 더 이상 손댈 수 없다는 그 감각이 결국 이 아카이브를 시작하게 만들었습니다.

9. Upbit ETH 580억원 라자루스 해킹 (2019년 11월) 🇰🇷

2019년 11월 27일 오후 1시 즈음, Upbit의 ETH 핫월렛에서 342,000 ETH가 단 한 건의 트랜잭션으로 외부 주소로 빠져나갔습니다. 당시 환율로 약 580억원, 미화 4,900만 달러. 두나무 운영팀은 사건을 인지한 직후 모든 입출금을 중단했고 — 여기서부터가 이 사건이 한국 가상자산 역사에 남는 이유입니다 — 다음 날인 11월 28일자로 약 5,300억원 규모의 자기자본을 끌어다 시장에서 ETH를 직접 사들여 이용자 잔고를 24시간 안에 원위치시켰습니다. 한국 거래소가 처음으로 '해킹 → 자체 보상 → 운영 정상화'를 하루 안에 완결한 사례입니다. 서울지방경찰청 사이버수사과·검찰·미국 FBI·Chainalysis가 공조한 후속 추적은 도난 자금이 다수의 믹서와 거래소를 경유해 북한 라자루스 그룹 통제 주소군으로 흘러간 것을 확인했고, 미국 법무부는 2020년 8월 280개 관련 주소에 대한 압수 청구를 제기했습니다. 두 가지 교훈이 동시에 못박혔습니다 — 라자루스가 한국 거래소를 단발성 시험이 아닌 정기 표적으로 본다는 점, 그리고 결국 이용자를 구하는 것은 보험 약관 한 줄이 아니라 거래소 자기 대차대조표의 두께라는 점. 가상자산이용자보호법이 자기자본 비율과 보험 의무를 함께 규정하게 된 직접적 배경입니다.

10. QuadrigaCX 코튼 사망 1.6억 달러 (2019년 1월)

손실: 약 2억 캐나다 달러(약 1억 6천만 달러 USD). 원인: 캐나다 거래소. 창업자 제럴드 코튼이 2018년 12월 인도에서 사망했고(혹은 일부 주장처럼 사망을 위장했고), 이용자 콜드월렛 개인키는 코튼 단독 관리였다고 알려져 있었습니다. 발견: Ernst & Young의 파산 조사 결과 '콜드월렛'은 코튼 사망 수개월 전부터 비어 있었습니다. 코튼은 이용자 자금을 개인 트레이딩에 쓰다 손실을 메우지 못했습니다. 처리: 캐나다 파산 절차 회수율 20% 미만. 의미: 가상자산 리스크 프레임워크에 '단일 장애점: 창업자'라는 새 카테고리를 추가한 사건. 이 카테고리는 카르펠레스·SBF·권도형 등 CEO의 개인 상태가 바뀔 때마다 반복적으로 재발견됩니다.

11. KuCoin 2억 8100만 달러 해킹 (2020년 9월)

손실: 약 2억 8,100만 달러 상당의 혼합 암호화폐. 원인: 핫월렛 개인키 유출(정확한 방법은 공개되지 않음). 처리: KuCoin은 영업을 유지했고, CEO Johnny Lyu가 Binance·Huobi·OKX 및 대부분의 메이저 토큰 발행사와 협력해 도난 토큰을 동결·하드포크로 무효화했습니다. 약 80%가 산업 협력으로 회수되었고, 나머지 20%는 회사 준비금으로 보전. 이용자 순손실은 0. 의미: 산업 전반의 협력이 대형 해킹도 완화할 수 있음을 보여준 드문 사례.

12. Coinone 차명훈 내부자거래 기소 사건 (2019-2023) 🇰🇷

코인원 사건은 핫월렛에서 BTC가 사라진 사건이 아닙니다. 회의실에서 상장 일정이 새어 나간 사건입니다. 서울남부지검의 수사 기록에 따르면 2018-2019년 사이 코인원 임직원 일부가 상장 예정 토큰 정보를 사전에 파악해 본인 또는 지인 명의로 매집한 뒤, 공식 상장 공지가 나가는 순간 매도해 시세 차익을 챙긴 정황이 포착되었습니다. 검찰은 자본시장법상 '미공개정보 이용'에 준하는 혐의를 적용하려 했지만, 당시 한국 법체계에서 가상자산은 자본시장법의 '증권'이 아니었습니다 — 그래서 어떤 법조항을 갖다 댈 것인가를 두고 수사 내내 논쟁이 이어졌습니다. 결국 2023년 일부 임원에 대해 1심 유죄와 집행유예가 확정되었고, 그 사이 검찰은 유사 사건에 대해 배임수재·사기·업무상 배임 같은 일반 형법 조항을 묶어 기소하는 패턴을 다듬어 갔습니다. 직접 절도는 한 푼도 없었지만, 한국 거래소 거버넌스 신뢰에 남긴 파장은 컸습니다. 2024년 시행된 가상자산이용자보호법이 '미공개 중요정보 이용 금지' 조항을 명시적으로 신설하고 위반 시 부당 이득의 3~5배 과징금과 형사처벌을 병과한 것은, 이 사건이 5년 가까이 끌고 다닌 법적 공백에 대한 입법자의 뒤늦은 응답이었습니다.

제2장 · ICO 폰지 시대 + V Global 한국 본지 사건 (2014-2021)

이 장의 다섯 침몰선은 1장과 결이 다릅니다. 기술적 미숙으로 무너진 것이 아니라 처음부터 사기였던 사건들입니다. 만들 수 없는 수익률을 약속하고, 존재하지 않는 블록체인을 주장하고, 다단계 구조로 하위 라인을 영업원으로 동원했습니다. 이 시대는 가상자산 개인투자자가 처음으로 '이 산업의 일부 프로젝트는 잘못된 회사가 아니라, 코인 옷을 입은 신용 사기'임을 이해하게 만든 시기입니다.

13. BitConnect 24억 달러 폰지 (2018년 1월 붕괴)

손실: 일주일 만에 BCC가 $400에서 사실상 0으로 떨어지며 약 24억 달러 증발. 구조: '하루 1%(연 365%) 수익을 만드는 자동 트레이딩 봇'을 내세워 이용자가 BTC를 BCC로 환전해 락업하면 '이자'를 받는 구조. 트레이딩 봇은 존재하지 않았고, 수익은 신규 입금에서 나왔습니다 — 전형적인 폰지. 처리: 2018년 1월 SEC와 미국 다수 주 규제기관의 집행 → BCC 일주일 만에 99% 하락. 창업자 Satish Kumbhani는 인도로 도주해 현재 미국 기소 상태로 도피 중. 문화적 상징: 'Carlos Matos — Hey hey heyyy!' 유튜브 영상은 지금도 가상자산 폰지의 표본 자료로 인용됩니다.

14. OneCoin 40억+ 달러 'Cryptoqueen' (2014-2019)

손실: 175개국 약 350만 투자자에게서 최소 40억 달러. 구조: 불가리아인 창업자 루자 이그나토바가 만든 다단계. '비트코인 킬러'를 자처했지만 OneCoin에는 블록체인이 아예 없었습니다 — 모든 '거래'는 내부 데이터베이스의 행이었습니다. 다단계 추천 수수료가 매출의 주축이었고, 국가별로 법인 구조를 겹쳐 규제 회피. 처리: 이그나토바는 2017년 10월 그리스 공항에서 사라진 뒤 행방불명이며 FBI 10대 수배자 명단에 올라 있습니다. 그녀의 남동생 콘스탄틴은 2019년 미국에서 체포되어 협조 진술 중. 한국 영향: 한국에서도 2015-2017년 사이 다수의 OneCoin 다단계 모집책이 활동했고, 일부는 유사수신행위법 위반으로 기소되었습니다. 문화적 의미: BBC 팟캐스트 〈The Missing Cryptoqueen〉은 이 사건을 가장 정밀하게 다룬 다큐멘터리입니다. 국제 가상자산 사기 사상 최대 규모로 추정됩니다.

15. V Global 한국 1조 7천억원 폰지 (2020-2021) 🇰🇷

제가 이 아카이브에서 가장 오래 멈춰 있었던 단락은 솔직히 Luna가 아니라 V Global입니다. 2020년 어느 시점부터 '300% 수익 보장'과 '글로벌 거래소 운영'이라는 문구가 카카오톡 단체방·유튜브 라이브·강남 호텔 세미나를 통해 한국 시장에만 조용히 퍼졌습니다. 자체 거래소 'V Global'은 입금은 받았지만 출금은 점차 제한했고, 신규 회원을 데려오면 다단계 수수료를 얹어 주는 전형적인 폰지·유사수신·방문판매가 결합된 구조였습니다. 2021년 6월 경찰 압수수색이 들어가는 순간 출금은 완전히 잠겼고, 그제서야 장부에 적힌 피해자는 약 6만 9천명, 추산 피해액은 1조 7천억원으로 집계되었습니다 — 단일 사건 기준 한국 가상자산 폰지 역사상 최대입니다. 대표 이모씨는 특정경제범죄가중처벌법상 사기·유사수신행위법·방문판매법 위반 등으로 1심 징역 22년을 선고받았고, 항소심에서 일부 조정은 있었지만 중형은 유지됩니다. 피해자 회수율은 10% 미만으로 추정되며 검찰의 추징 보전 자금이 일부 배당되는 수준에 그칩니다. Luna가 더 화려한 헤드라인을 만들었다면, V Global은 더 깊은 상처를 남겼습니다. Luna는 글로벌 시장 전체가 함께 무너진 거시 사건이지만, V Global은 '한국 시장만의 폐쇄 회로'에서 벌어진 일이었고 6만 9천명은 다름 아닌 동네 사람들 — 학원 원장, 식당 사장, 정년퇴직한 공무원 — 이었습니다. 이 사건이 가상자산이용자보호법 입법을 가속하고 검찰이 가상자산 다단계에 특정경제범죄법을 본격 적용하는 분수령이 된 것은, 거꾸로 그만큼 한국 사회가 이 6만 9천명의 명단을 받아 들고 더 이상 손 놓고 있을 수 없게 되었기 때문입니다.

16. Centra Tech 셀럽 ICO (2017)

손실: ICO 자금 약 2,500만 달러. 구조: Visa·Mastercard와 제휴해 '암호화폐 직불카드'를 출시한다고 주장하며 Floyd Mayweather와 DJ Khaled를 유료(미공시) 홍보 모델로 기용. 실상: Visa·Mastercard 제휴는 완전한 날조였고, 제품은 출시되지 않았으며, 창업자들은 변호사 의견서를 위조했습니다. 처리: 2018년 SEC 집행, 창업자 Sohrab Sharma는 연방 교도소 8년형. Mayweather와 Khaled는 미공시 유료 홍보 사실로 별도 벌금. 의미: SEC가 미공시 셀럽 홍보를 본격 제재하기 시작한 사건. 한국에서도 2023년 이후 V Global과 일부 코인 프로젝트에서 셀럽·전직 공직자 기용 사례가 검찰 수사 대상이 되었습니다.

17. PlusToken 30억+ 달러 폰지 (2019년 6월 붕괴)

손실: 최소 30억 달러(추정치 50억 달러까지), 피해자 약 200만명. 주로 중국·동아시아. 구조: '고수익 자동 트레이딩 지갑'을 표방하며 월 9-30% 수익을 약속. 처리: 2019년 6월 운영진이 출금을 중단하고 도주. 중국 공안이 2020년에 검거, 109명 기소. 약 200,000 ETH와 19,000 BTC가 중국 법원 명령으로 압수되었습니다. 시장 영향: 압수된 자금이 2019-2020년에 걸쳐 시장에 배출되며 그 시기의 비정상적인 BTC·ETH 하락 일부를 설명합니다. Chainalysis는 2026년에도 PlusToken 관련 지갑을 모니터링 중입니다. 한국 연결: PlusToken은 한국 채팅방·텔레그램 그룹에서도 적극적으로 모집되었고, 일부 한국 모집책이 유사수신행위법 위반으로 기소되었습니다.

제3장 · DeFi 익스플로잇과 브릿지 공격 (2020-2022)

2020년 DeFi 폭발 이후 새로운 공격 표면이 등장했습니다. 스마트 컨트랙트 취약점, 플래시 론 합성성(composability) 공격, 크로스체인 브릿지 멀티시그 결함. 이 장의 8개 사건은 누적 20억 달러 이상 손실이며, 그중 80%가 2022년 한 해에 집중됩니다.

18. bZx 플래시 론 공격 (2020년 2월)

손실: 두 차례 공격 총 약 100만 달러. 원인: DeFi 플래시 론 합성성 공격의 첫 물결. 공격자는 무담보로 거대 자본을 차입 → Uniswap 가격 오라클을 조작 → 조작된 가격에서 bZx 레버리지 상품을 익스플로잇. 의미: 제3자 가격 오라클을 쓰는 모든 DeFi 프로토콜이 플래시 론 조작에 취약함을 드러냈습니다. 이후 메이저 프로토콜은 TWAP 또는 Chainlink 류의 조작 방지 오라클로 이동.

19. Iron Finance / TITAN (2021년 6월)

2021년 6월의 어느 오후, TITAN 차트를 보고 있던 트레이더들은 자신이 무엇을 목격하고 있는지 깨닫는 데 몇 시간이 걸렸습니다. $65 부근을 횡보하던 토큰이 시계의 분침이 한 바퀴 돌 때마다 가시적으로 무너졌고, 24시간이 지났을 때 가격은 사실상 0이었습니다. 메커니즘 자체는 사후에 보면 단순합니다 — IRON은 USDC 75% + 거버넌스 토큰 TITAN 25%로 짜인 부분 알고리즘 스테이블코인이었고, 큰 손이 TITAN을 던지자 차익거래 로직이 TITAN을 끝없이 발행해 덤핑하며 죽음의 나선이 시작된 것입니다. 약 20억 달러 시가총액이 한낮 사이에 증발했습니다. Mark Cuban이 자신의 블로그에 '적절한 실사를 하지 않은 채 TITAN 롱을 들었다'고 공개적으로 인정한 것은 이 사건이 단지 한국·동남아 산타 디지털 자본의 손실로만 끝나지 않았음을 보여주는 작은 단면입니다. 당시 업계는 이 사건을 '첫 알고리즘 스테이블코인 죽음의 나선'이라 불렀지만, 더 정확한 표현은 '11개월 뒤 Luna 붕괴의 완전한 사전 예고'였습니다 — 2021년 6월에 Iron Finance 메커니즘을 끝까지 읽어 본 사람이라면, 2022년 5월에 UST가 디페그를 시작했을 때 결말이 어디서 멈출지 이미 알고 있었습니다.

20. Africrypt 남아공 (2021년 4월)

손실: 초기에는 36억 달러로 보고되었으나 후속 분석으로 약 36억 랜드(2억 달러)로 수정. 구조: 남아공 카지 형제(Ameer & Raees Cajee)가 '가상자산 자동 트레이딩' 플랫폼을 운영하다 2021년 4월 '거래 일시중단' 공지 후 잠적. 처리: 형제는 영국으로 도주, 남아공 고등법원이 2021년 자산동결 명령, 인도 청구는 2025년까지 진행. 의미: 아프리카 최대 가상자산 사기. '자동 트레이딩 + 고수익' 구조가 문화 차이를 넘어 글로벌하게 복제됨을 입증.

21. Poly Network 6.11억 달러 해킹 (2021년 8월)

손실: 다중 체인에 걸쳐 약 6억 1,100만 달러. 당시 최대 DeFi 공격. 원인: 크로스체인 브릿지 컨트랙트 취약점. 공격자가 EthCrossChainManager가 위조 메시지를 허용한다는 점을 발견해, 단일 메시지로 모든 브릿지 자산을 자기 주소로 우회. 처리: 공격자가 2주 안에 전액을 반환하며 '취약점을 보여주려 한 화이트햇'을 자처. Poly Network은 공격자에게 'Chief Security Advisor' 칭호와 50만 달러 바운티를 공개 부여. 의미: 대형 가상자산 공격 중 공격자가 자발적으로 자금을 반환한 유일한 사례. 진짜 신원은 끝까지 확인되지 않았습니다.

22. Wormhole 브릿지 3.26억 달러 (2022년 2월)

손실: 약 3억 2,600만 달러(120,000 wETH 상당). 원인: Wormhole Solana ↔ Ethereum 브릿지의 서명 검증 결함. 공격자는 이더리움에서 아무것도 소각하지 않고 '이더리움 측에서 소각됨' 서명을 위조해 Solana 측에서 120,000 wETH를 무료로 발행. 처리: 모회사 Jump Crypto가 24시간 안에 3억 2,600만 달러를 직접 투입해 이용자 자금을 백업. 이용자 순손실 0. 의미: 브릿지 공격이 이용자 손실 없이 마무리된 드문 사례. 동시에 VC 자본이 브릿지 취약성의 외부효과를 흡수한 명확한 사례.

23. Ronin Network Axie 6.25억 달러 (2022년 3월)

Ronin 해킹의 시작은 한 통의 채용 제안 메일이었습니다. 베트남 호치민의 Sky Mavis 시니어 엔지니어가 LinkedIn을 통해 접근한 '고연봉 글로벌 채용' 제안을 받았고, 면접 절차 중에 건네받은 PDF를 열어 보는 순간 멀웨어가 그의 작업 환경 안으로 들어왔습니다. 그 한 대의 PC를 발판으로 공격자는 Sky Mavis가 운영하는 4개 밸리데이터 노드의 키를 확보했고, 마침 트래픽 급증 처리를 위해 Axie DAO가 일시 위임한 1개 노드까지 합쳐 5개 서명이 손에 들어왔습니다. Ronin의 9-노드 5/9 멀티시그 보안 모델이 그렇게 일거에 무너졌고, 단일 위조 인출 트랜잭션으로 173,600 ETH와 2,550만 USDC — 시가로 약 6억 2,500만 달러 — 가 빠져나갔습니다. 회사가 이 사실을 인지한 것은 사고 발생 엿새 뒤 한 이용자가 입출금 오류를 신고하면서였습니다. FBI는 이후 사건을 북한 라자루스 그룹에 공식 귀속했고, Sky Mavis는 자체 자본 투입 + 1억 5천만 달러 긴급 조달 + 9개월에 걸친 단계별 보상으로 이용자를 복구했습니다. 사후에 남은 한 줄 교훈은 차갑습니다 — 9개 노드 중 4개를 같은 조직이 운영하는 한, '5/9 멀티시그'라는 보안 라벨은 수학적으로는 진실이어도 운영적으로는 1/2 멀티시그와 다르지 않습니다. 이후 모든 브릿지 설계가 이 문장을 흡수했습니다.

24. Beanstalk 거버넌스 공격 (2022년 4월)

Beanstalk 공격은 단 한 블록 안에서 끝났습니다. 공격자는 플래시 론으로 거버넌스 토큰 BEAN을 일순간 확보해 의결권 과반을 손에 쥐었고, '모든 프로토콜 자금을 내 주소로 옮긴다'는 단순한 제안을 직접 올린 뒤 그 자리에서 자기 표로 가결시켰습니다. 의결과 실행 사이의 지연이 없었으니, 가결이 곧 인출이었습니다. 약 1억 8,200만 달러가 그 한 줄짜리 제안의 실행과 함께 사라졌고, Beanstalk는 그날 강제 중단된 뒤 거버넌스 자체를 처음부터 다시 설계해야 했습니다 — 자금은 회수되지 않았습니다. 이 사건이 DeFi 위협 모델에 추가한 새로운 항목은 '플래시 론 + 거버넌스 투표 결합 공격'이었고, 그 직후 거의 모든 DAO 프로토콜이 의결 후 실행까지 최소 24-48시간 타임락을 끼워 넣게 됩니다. 의사결정과 자산 이동 사이에는 무조건 잠금 시간이 있어야 한다는, DeFi가 비싼 수업료로 배운 원칙입니다.

25. Nomad 브릿지 1.9억 달러 자유 공격 (2022년 8월)

손실: 약 1억 9천만 달러. 원인: Nomad 브릿지 컨트랙트의 초기화 결함 — 배포 업그레이드 과정에서 trustedRoot 필드가 기본값 0x00으로 남았습니다. 결과적으로 위조된 호출이 모두 유효 처리. 특이점: 가상자산 역사상 유일한 '자유 공격'. 취약점이 알려진 직후, 트랜잭션을 복사·붙여넣기 할 수 있는 사람이면 누구나 자금을 빼낼 수 있었습니다. 수백 개 주소가 참여했고 금액은 100달러부터 수백만 달러까지. 처리: Nomad의 '화이트햇 반환 요청'에 약 22%가 회수되었습니다. 의미: 단일 배포 설정 실수가 산업 규모의 자유 공격을 촉발할 수 있음을 보여준 사례 연구.

제4장 · 2022년 한국을 흔든 연쇄 붕괴

이 장의 사건들은 2022년 5월부터 11월까지 7개월에 압축되어 일어났습니다. 산업이 '가상자산 겨울'의 시작이라 부르는 시기입니다. 연쇄 반응은 명확합니다. Luna가 무너지고 → 3AC가 대규모 LUNA + stETH 포지션으로 청산되고 → 3AC에 빌려준 Voyager·BlockFi·Celsius가 모두 부실화되고 → FTX의 기존 약점이 시장 스트레스로 증폭되어 → 11월 FTX 붕괴 → FTX에 빌려준 Genesis·Gemini Earn이 2023년 초 부실화. 한국 입장에서는 두 가지 이유로 특별히 아픈 해입니다. 첫째, 테라폼랩스는 한국 본지 프로젝트였습니다. 둘째, FTX 한국 이용자가 수만 명 규모로 영향을 받았습니다.

26. 테라/Luna 36시간 죽음의 나선 — 권도형·신현성 (2022년 5월) 🇰🇷

손실: 약 400억 달러의 시가총액 증발. 원인: 알고리즘 스테이블코인 죽음의 나선. UST 디페그 → 차익거래자가 UST를 LUNA로 교환 → LUNA 공급량이 72시간 만에 3.5억에서 1,700억으로 폭증 → LUNA 가격이 푼돈 수준까지 붕괴 → UST는 $0.13까지 하락.

한국 본지 맥락: 테라폼랩스는 권도형(Do Kwon, 1991년생, KAIST·스탠포드 출신)과 신현성(Daniel Shin, 티몬 창업자)이 2018년 공동 설립한 싱가포르 법인이지만 실제 핵심 인력과 사업 기획은 서울에서 이뤄졌습니다. UST의 19.5% 수익 메커니즘은 Anchor Protocol을 통해 작동했고, 이 수익률은 한국 거래소를 통해 '한국형 안전자산'으로 광범위하게 마케팅되었습니다 — 일부 한국 유튜브 채널은 '코인계의 정기예금'이라는 표현까지 썼습니다. 한국 가상자산 사업자협회와 검찰 추산에 따르면 국내 LUNA·UST 노출 투자자는 약 28만명, 손실 추산액은 최소 수조 원입니다.

법적 절차 타임라인:

• 2022.09.14 — 서울남부지검 금융증권범죄합동수사단이 권도형 등 8명에 대해 자본시장법 위반·사기·특정경제범죄법 혐의로 체포영장 청구.
• 2022.09.26 — 인터폴이 권도형에 대해 적색수배(Red Notice) 발부.
• 2023.03.23 — 권도형이 몬테네그로 포드고리차 공항에서 위조 코스타리카 여권 소지 혐의로 체포.
• 2023.05 — 몬테네그로 1심: 한국 송환 결정.
• 2024.02 — 항소심: 결정 번복, 미국 송환으로 변경.
• 2024.04 — 신현성에 대해 서울남부지법 1심 무죄. 검찰 즉시 항소.
• 2025년 초 — 권도형이 미국 뉴욕 남부지검으로 신병 인도. 8개 혐의(증권사기·전신사기·시장조작 등)로 기소.
• 현재 — 미국 형사절차 진행 중. 한국 형사·민사 모두 유효하며, 미국 절차 종료 후 한국 송환 가능성 남음.

관련 법조항: 한국 검찰의 핵심 쟁점은 LUNA를 자본시장법상 '증권'으로 볼 수 있는지였습니다. 1심 무죄 판결은 '증권으로 보기 어렵다'는 취지였고, 검찰은 항소심에서 UST의 Anchor 수익 약속이 사실상 투자계약증권의 요건을 충족한다고 주장하고 있습니다. 이 사건의 판례적 의미는 한국 가상자산 토큰의 증권성 판단 기준을 향후 5년간 좌우할 것으로 예상됩니다. 전체 버전: 화폐 침몰록 2권(중국어, 4,800자, 36시간 시간순 재구성) 참조.

27. Three Arrows Capital 붕괴 (2022년 6월)

손실: 약 100억 달러 AUM 증발, 채권자에게 연쇄 효과. 원인: 3AC는 약 200만 stETH 포지션 + 대규모 LUNA 노출 + 다양한 고레버리지 거래를 보유. Luna 붕괴가 초기 타격, 2022년 6월 stETH 디페그가 가중. 마진 콜에 응할 수 없었습니다. 처리: 영국령 버진아일랜드 법원이 2022년 6월 27일 청산 명령. 창업자 Su Zhu와 Kyle Davies는 도주 후 트위터에서 채권자를 공개 조롱해 가상자산 커뮤니티 분노를 샀습니다. 싱가포르가 2023년 9월 체포영장 발부. 시스템적 효과: 3AC는 Voyager·BlockFi·Genesis·Celsius의 최대 단일 카운터파티 — 한 펀드의 실패가 네 개의 하류 플랫폼을 동시에 무너뜨렸습니다.

28. Celsius Network 47억 달러 (2022년 6월)

손실: 약 47억 달러의 이용자 예치금 동결. 원인: Celsius는 예치금에 연 17% 수익을 약속. 실제 수익은 이용자 자금을 Anchor Protocol(19.5%) + stETH 차익거래에 투입해 만들어졌습니다. Luna 붕괴가 Anchor를 죽였고, stETH 디페그가 손실을 가중. Celsius는 2022년 6월 13일 출금을 중단. 처리: 2022-2024 파산 절차, CEO Alex Mashinsky가 2024년 증권사기·전신사기 등 7개 중범죄 혐의 유죄 평결. 이용자는 가상자산 가치의 약 60%와 재편된 회사 주식 약 20%를 받았습니다. 의미: Anchor와 동일한 메커니즘 — 약속된 수익은 사업자의 지속적 보조금을 필요로 합니다. 보조금이 끊기면 메커니즘이 무너집니다.

29. Voyager Digital 16.5억 달러 (2022년 7월)

Voyager는 종이 위에서는 모든 것을 제대로 하고 있었습니다. 미국 상장 가상자산 브로커리지, 분기별 공시, 변호사가 검토한 위험 고지문. 그러나 2022년 7월 파산 신청서가 공개되자 시장은 이 회사가 이용자 자금 가운데 약 6억 7천만 달러 — 거의 절반에 가까운 비중 — 를 단 하나의 카운터파티에 빌려주고 있었음을 알게 되었습니다. 그 상대는 6월에 이미 디폴트한 Three Arrows Capital이었고, 회수 가능성은 그 순간 사실상 사라졌습니다. 이용자 동결 자산 총액은 약 16억 5천만 달러로 집계되었고, 2023년 5월에 완료된 배당의 최종 회수율은 약 35%에 머물렀습니다. 사후에 분기 보고서를 다시 펼쳐 보면 회사는 분명 '집중 위험'이라는 문구를 적어 두긴 했습니다 — 그저 그 문구 옆에 3AC의 이름도, 6.7억 달러라는 숫자도 적지 않았을 뿐입니다. 미국 거래소의 정형화된 공시 양식이 어디서 작동을 멈추는지 보여 준 교과서 사례이며, 이후 가상자산 브로커리지가 '단일 카운터파티 집중 한도'를 자기 위험 관리의 1번 항목으로 끌어 올린 직접적 계기였습니다.

30. FTX 제국 80억 달러 붕괴 (2022년 11월) 🇰🇷 한국 이용자 영향

손실: 약 80억 달러의 이용자 자금 부족. 원인: SBF가 통제하는 계열 트레이딩사 Alameda Research가 수년간 FTX 이용자 예치금을 횡령. CoinDesk가 11월 2일 FTT 담보 집중을 폭로하자 인출 러시 발생. 한국 영향: FTX는 한국 직접 라이선스가 없었지만 한국 이용자가 VPN과 외국 계좌로 광범위하게 사용했고, 추산 한국 이용자 수만 명, 동결 자금 수천억 원 규모. 한국 가상자산 사업자협회가 FTX 한국 이용자 청구 등록을 위한 정보 창구를 운영했습니다. 전체 버전: 화폐 침몰록 3권(중국어, 5,100자, 9일간의 시간순 재구성) 참조. SBF 상태: 2023년 11월 7개 혐의 모두 유죄 평결, 2024년 3월 25년 징역 + 110억 달러 몰수형, 항소 중. 인용: "내 경력 전체에서 이런 정도의 기업 통제 완전 실패와 신뢰할 수 있는 재무 정보의 완전 부재를 본 적이 없다" — John J. Ray III(Enron 파산 관재인이기도 했던 인물).

31. BlockFi 파산 (2022년 11월)

손실: 약 3억 달러의 이용자 자산 동결. 원인: BlockFi는 2022년 중반에 FTX로부터 4억 달러 긴급 신용 한도를 받아들였습니다(FTX가 안정적 백스톱이라 믿었기 때문). FTX가 붕괴하자 FTX/Alameda 노출 + 기존 3AC 노출이 회수 불가. 2022년 11월 28일 파산. 처리: 이용자 배당은 2023년 12월 완료. 의미: '구해줄 거라 믿었던 상대가 사실 시스템 리스크 본체'였던 사건의 명확한 사례.

32. Genesis Global Capital (2023년 1월)

손실: 약 17억 달러의 미회수 대출. 원인: Genesis는 3AC에 24억 달러를 대출(사후 공시), 회수 불가. 동시에 FTX 붕괴로 Alameda 예치금 1억 7,500만 달러도 손실. 2023년 1월 19일 파산. 연쇄 효과: Gemini의 이용자 대상 'Earn' 상품은 Genesis를 통해 운영되었습니다. Genesis가 중단되자 Gemini Earn 이용자 자금 9억 달러가 동결. Gemini와 Genesis 모회사 Digital Currency Group(DCG)의 분쟁은 Cameron Winklevoss와 DCG 창업자 Barry Silbert의 공개 비방전으로 번졌습니다 — 임원들이 서면으로 서로를 공개 공격한 드문 사례.

제5장 · 스테이블코인 디페그 역사

이 장은 스테이블코인 사건을 한곳에 모았습니다. 핵심 교훈은 Terra/UST가 첫 알고리즘 스테이블코인 실패가 아니라는 점입니다. 긴 계보의 가장 최근 사례일 뿐입니다. 2022년 5월 이전에 스테이블코인 역사를 공부한 사람이라면 무슨 일이 벌어질지 정확히 알 수 있었습니다.

33. NuBits (2016년 6월 / 2018년 3월)

손실: 두 차례 디페그를 합쳐 시가총액 약 1,500만 달러 잠식. 구조: NuBits는 NuShares 거버넌스 토큰과 짝지어진 알고리즘 스테이블코인 — 6년 뒤 Luna/UST 설계와 거의 동일. 결과: 1차 디페그 2016.06 $0.21, 일시 회복; 2차 디페그 2018.03 $0.04, 회복 못함. 의미: 가상자산 역사의 원조 죽음의 나선 사례. 2022년 이전에 스테이블코인 설계를 연구한 사람이라면 NuBits를 몰랐을 수 없습니다. Terra/Luna 백서는 NuBits를 인용하지 않았는데, 이 부재는 2022년 5월 붕괴 이후 회고적으로 자주 지적됩니다.

34. BitUSD 영구 디페그 (2014년 이후)

손실: 정확히 정량화하기 어렵지만 생태계 차원의 손상이 큼. 구조: BitShares의 BTS 담보 스테이블코인. BTS 초과담보로 BitUSD 발행. 결과: BTS 가격 하락으로 BitUSD가 $0.70-0.80 범위에서 반복적으로 디페그, 2018년경 실질 유동성 상실. 의미: 모든 초과담보 스테이블코인 설계의 선례. BitShares 창업자 Dan Larimer가 이후 Steemit·EOS·Voice에서 반복한 '기술적으로는 화려하지만 결국 지속 제품을 만들지 못하는' 패턴이 처음 관찰된 곳이기도 합니다.

35. Neutrino USDN (2022년 4월)

손실: USDN $0.70까지 디페그, Waves 체인 생태계 전반에 약 5억 달러 간접 손실. 구조: Waves 체인의 알고리즘 스테이블코인, WAVES 거버넌스 토큰으로 가격 변동성 흡수 — UST와 유사. 결과: 2022년 4월 1차 디페그, 일시 회복; 2022년 6월(Luna 붕괴 한 달 뒤) 재디페그, 회복 못함. 의미: Luna 이후 알고리즘 스테이블코인에 대한 시장 신뢰가 자유낙하 중이던 시점이라 회복이 불가능했습니다.

제6장 · 2023-2026 진행 중인 청산

2022년의 연쇄 붕괴 이후 산업은 지속적 정리(settlement) 단계에 진입했습니다. 이 장의 9개 사건은 공통 특징을 가집니다. 라자루스 그룹 공격(DMM·WazirX·Atomic·Bybit), 단일 장애점(PlayDapp·Multichain), 오래된 스마트 컨트랙트 취약점의 재출현(Curve·Mixin).

36. Atomic Wallet 1억 달러 (2023년 6월)

손실: 다수 체인·통화에 걸쳐 약 1억 달러. 원인: 2023년 6월 2일 Atomic Wallet 앱 이용자들이 광범위한 무단 자금 이동을 관찰. 정확한 메커니즘은 끝까지 완전히 공개되지 않았습니다 — 앱 업데이트의 개인키 처리 결함이거나, 악성 의존성을 통한 공급망 공격으로 추정. 귀속: Elliptic 온체인 분석이 북한 라자루스 그룹에 귀속. 처리: Atomic Wallet은 완전한 보상안을 끝내 제시하지 못했고, 실제 이용자 회수율은 5% 미만. 의미: '비수탁(non-custodial) 지갑 앱' 자체가 기저 프로토콜과 별개의 단일 장애점임을 보여준 첫 대형 사례.

37. Curve Finance Vyper 취약점 (2023년 7월)

손실: 다수 Curve 풀에 걸쳐 약 6,500만 달러. 원인: Curve 자체 코드가 아니라 Vyper 컴파일러 버전 0.2.15, 0.2.16, 0.3.0에 재진입 보호 결함이 있었습니다. 해당 버전으로 작성된 풀이 취약. 연관 위험: CRV 가격이 급락하며 Curve 창업자 Michael Egorov의 개인 대출 포지션이 강제 청산될 뻔했습니다. 그렇게 되면 약 1억 달러 CRV 연쇄 매도가 발생했을 것입니다. Egorov는 Justin Sun·Vitalik Buterin 등 대형 보유자에게 OTC로 대량 CRV를 매도하며 청산을 막았습니다. 의미: 스마트 컨트랙트의 공급망 위험을 드러낸 사건 — 프로토콜이 완벽하게 안전해도 컴파일러에 버그가 있으면 취약합니다.

38. Multichain 브릿지 실종 (2023년 7월)

손실: 약 1억 2,600만 달러 이용자 자금 동결. 원인: Multichain(구 Anyswap) 크로스체인 브릿지 프로토콜. CEO 자오쥔 허(Zhaojun He)가 2023년 5월 실종되었고, 이후 모든 크로스체인 트랜잭션 처리가 불가능해졌습니다. 7월에 '운영 지속 불가' 공식 발표. 관련 동향: 중국 공안이 개입, 허씨는 중국 당국에 구금된 것으로 알려짐. Justin Sun 통제 기업과의 전체 관계는 공개되지 않았습니다. 의미: 크로스체인 브릿지의 보안 모델이 근본적으로 소수 핵심 인력에 의존한다는 점을 다시 확인. 그 인력이 사라지면 모든 자금이 동결됩니다.

39. Mixin Network 2억 달러 (2023년 9월)

손실: 약 2억 달러. 원인: Mixin은 홍콩 주도의 크로스체인 프로토콜. 2023년 9월 클라우드 사업자 데이터베이스 침해로 부분 개인키 노출. 처리: Mixin은 이용자와 단계별 협상, 약 50%가 '50% 가상자산 보상 + 50% MXN 토큰' 혼합안을 수용. 의미: 가상자산 리스크 프레임워크에 '클라우드 서비스 사업자'를 새 공격 벡터로 추가. 프로토콜이 안전해도 클라우드가 침해되면 프로토콜이 노출됩니다.

40. HTX (Huobi) 해킹 (2023년 11월)

손실: 2023년 다수 사건 합계 약 2억 달러. 원인: HTX는 2023년 9월과 11월에 연속 핫월렛 침해를 보고. 맥락: 이 시점에 HTX는 Justin Sun이 운영적으로 통제하고 있었습니다. Sun은 개인 자금으로 이용자 손실을 모두 보전한다고 공언, 이용자 순손실 0. 의미: 구조적으로 2020년 KuCoin과 유사(해킹-자체보전). Justin Sun의 개인 신뢰도는 가상자산 커뮤니티에서 지속적으로 논쟁의 대상입니다 — 다수 플랫폼에 걸친 그의 행위와 공개 행보 모두.

41. PlayDapp 2.9억 달러 민팅 익스플로잇 (2024년 2월) 🇰🇷

손실: 약 2억 9천만 달러 상당의 PLA 토큰 공급 영향(200억 PLA 발행 후 일부 매도). 원인: PLA 토큰 컨트랙트의 민트 권한이 있는 개인키가 침해되었습니다. 공격자는 기존 유통량의 약 30배에 달하는 200억 PLA를 발행해 거래소에서 점진적으로 덤핑. 한국 맥락: PlayDapp은 한국 P2E 게임 프로젝트로 시작해 한국 거래소에 다수 상장되었던 토큰. 이 사건으로 한국 거래소들은 토큰 컨트랙트의 민트 권한 잔존 여부를 상장 심사 항목에 추가했습니다. 처리: 메이저 거래소들과 협조해 일부 토큰을 동결했지만 PLA 가격은 회복 불가능하게 붕괴, 프로젝트는 사실상 종료. 의미: 상대적으로 주목받지 못하던 '스마트 컨트랙트 민트 권한 관리' 위험을 전면에 부각. 초기 배포 후 민트 권한이 폐기되지 않은 토큰이 다수 — 그 키가 침해되면 토큰은 무한 희석될 수 있습니다.

42. DMM Bitcoin 일본 4.82억 달러 (2024년 5월)

손실: 약 4억 8,200만 달러(4,502 BTC). 원인: 일본 거래소. 정확한 기술적 메커니즘은 부분 비공개이지만, 일본 FSA 조사 결과 핫월렛 개인키가 원격으로 탈취되었다고 결론지었습니다. 귀속: FBI와 일본 경찰청 공동 라자루스 그룹 귀속. 처리: 일본 대기업 DMM 그룹이 자금을 투입해 이용자 손실을 전액 보전. 2024년 12월 DMM은 가상자산 거래소 사업 철수를 공식 발표, 이용자 자산은 SBI VC Trade로 이관. 의미: '해킹 → 전액 보전 → 자발적 시장 철수'의 첫 대형 사례. 전액 보전된 사건이라도 운영자의 의지를 꺾을 만큼 깊은 상처를 남길 수 있음을 보여줍니다.

43. WazirX 인도 2.3억 달러 (2024년 7월)

손실: 약 2억 3천만 달러. 원인: 인도 최대 가상자산 거래소. 4-of-6 멀티시그 핫월렛 구조가 침해 — 공격자가 6개 서명 키 중 4개를 확보. 귀속: 온체인 분석이 북한 라자루스 그룹에 귀속. 처리: WazirX는 싱가포르 파산 절차에 진입, 2025년에도 배당이 더디며 회수율 약 55%. 의미: 멀티시그 핫월렛이 '절대 안전'하지 않다는 점을 재확인. 단일 조직이 통제하는 서명 기기를 충분히 침해할 수 있으면 4-of-6은 사실상 1-of-1 — Ronin이 이미 가르친 교훈을 다시 받은 셈입니다.

44. Bybit 14억 달러 프론트엔드 하이재킹 (2025년 2월) — 사상 최대 단일 해킹

2025년 2월 21일, Bybit의 보안팀은 평소와 같은 콜드 → 핫월렛 정례 멀티시그 트랜잭션을 처리하고 있었습니다. 멀티 서명자 모두가 모니터에 뜬 익숙한 이체 화면을 보고 차례로 승인 버튼을 눌렀고, 트랜잭션이 체인에 올라간 직후 자산 모니터링 대시보드가 빨간색으로 물들기 시작했습니다. 약 40만 ETH — 시가로 14억 달러 — 가 한 트랜잭션으로 통째로 외부 주소에 권한이 넘어간 것입니다. 가상자산 역사상 단일 최대 해킹 기록이 그 순간 갱신되었습니다. 사후 포렌식이 밝혀낸 메커니즘은 차라리 그래서 더 무서웠습니다 — 키가 새 나간 것도, 콜드월렛이 뚫린 것도 아니었습니다. 서명 페이지의 프론트엔드에 악성 자바스크립트가 주입되어 있어, 서명자들이 본 '정상 이체' 화면과 실제 하드웨어 지갑이 서명한 명령(공격자 주소에 대한 권한 부여)이 달랐을 뿐입니다. FBI는 이 사건을 북한 라자루스 그룹에 공식 귀속했고, Bybit는 48시간 안에 자기자본과 추가 차입으로 부족분을 메워 이용자 출금 기능을 완전 복구했으며 2월 말 '이용자 무손실'을 공식 발표했습니다. 자체 대차대조표 하나가 14억 달러를 통째로 흡수해 낸 것입니다. 이 사건은 '프론트엔드 서명 페이지 하이재킹'을 가상자산 위협 모델의 최상위 공격 벡터로 단번에 끌어올렸습니다. 2023년 Ledger Connect Kit 사건과 같은 계열의 취약점이지만 규모가 약 2,000배. 그리고 다시 한 번, 같은 교훈이 굵은 활자로 박혔습니다 — 하드웨어 지갑은 '개인키 도난'을 막을 뿐, '잘못된 내용에 서명하는 인간'을 막지는 못한다는 사실.

제7장 · 프로젝트 부록 + 거시·정책 흑조

앞의 여섯 장에서 다룬 프로젝트급 사건은 44건이었습니다. 이 장은 10개를 더합니다. 앞 장이 빠뜨린 프로젝트급 5건, 그리고 5건의 거시·정책급 흑조 — 특정 프로젝트를 노린 것이 아니라 가상자산 시장 전체를 24-72시간 안에 30-57% 끌어내린 사건들입니다.

A. 프로젝트 부록

45. CVE-2010-5139 가치 오버플로 취약점 · 1,844억 BTC (2010년 8월 15일)

손실: 1,844억 BTC가 허공에서 발행됨(온체인 사실, 당시 BTC에 시장가가 거의 없었으므로 달러 손실은 0). 원인: CVE-2010-5139 — 비트코인 트랜잭션 출력 가치 오버플로 취약점. 공격자가 단 한 건의 트랜잭션으로 1,844억 BTC를 자기 지갑에 발행. 당시 BTC 총 유통량은 약 700만 — 이 발행량은 약 26,000배. 처리: Satoshi Nakamoto와 코어 개발자들이 5시간 안에 0.3.10 버전을 배포, 커뮤니티가 집단 하드 포크로 트랜잭션을 되돌렸습니다. 약 53개 블록이 고아 처리되었습니다. 의미: 가상자산 역사상 첫 대형 온체인 재난. '블록체인 불변성'은 극단적 상황에서 '커뮤니티 합의'에 양보한다는 점을 확립한 사건. 이 하드 포크 복구 템플릿은 6년 뒤 DAO 해킹 대응으로 완성됩니다. 용어 정정: BIP30은 2012년 사후 패치로 coinbase txid 재사용을 금지한 제안이며, 취약점 자체가 아닙니다. 실제 버그 식별자는 CVE-2010-5139입니다.

46. Mango Markets 거버넌스 조작 — Eisenberg (2022년 10월 11일)

손실: 약 1억 1,400만 달러. 원인: Avraham Eisenberg가 Mango Markets(Solana 기반 DEX 무기한 선물)에서 약 1,000만 USDC로 동시에 MNGO 롱·숏 포지션을 개설. 이후 외부 거래소에서 MNGO 현물 가격을 약 1300% 끌어올리고, 부풀려진 MNGO를 담보로 잡아 프로토콜 유동성 풀 전체(1.14억 달러)를 차입한 뒤 인출. Eisenberg는 '합법적 고수익 거래 전략'이라 공개 주장. 처리: 2022년 12월 푸에르토리코에서 체포, 2024년 4월 뉴욕 남부지법 배심원단이 전신사기·상품사기·시장조작 유죄 평결. 의미: '저유동성 거버넌스 토큰 + 담보 대출 + 가격 조작'을 DeFi 리스크 프레임의 공식 공격 모드로 등록. 이후 모든 저시총 거버넌스 토큰 대출 풀이 오라클 이상가격 감지를 추가했습니다.

47. USDC 디페그 · SVB 은행 위기 (2023년 3월 10-13일)

손실: USDC가 $0.88까지 일시 거래; Circle USDC 준비금 중 약 33억 달러가 SVB에 갇힘; 스테이블코인 시장 전반이 패닉 매도. 원인: SVB가 2023년 3월 10일 파산 선언. Circle은 400억 달러 USDC 준비금 중 33억 달러(약 8.25%)가 SVB 현금 예치라고 공시. 시장이 패닉 — 만약 SVB 예금자가 100% 보호받지 못하면 Circle 대차대조표에 즉시 부족분 발생. USDC가 24시간 안에 Curve 3pool과 Uniswap에서 $0.88로 하락. 처리: 3월 13일(일요일 저녁) 미국 재무부·FDIC·연준이 SVB 예금자 100% 보호를 공동 발표. Circle은 그날 밤 USDC 준비금을 전액 회수, USDC는 36시간 안에 $1.00 페그 복원. 의미: 영향 기준 역사상 최대 스테이블코인 디페그 사건. '100% 현금 담보 스테이블코인'에도 시스템 은행 위험이 남는다는 점을 확인 — NuBits/UST 알고리즘 경로와는 다른 디페그 모드. 이후 컴플라이언스 중심 스테이블코인은 준비금에서 미 재무채권 비중을 늘리고 은행 예치를 줄였습니다.

48. Euler Finance 1.97억 달러 해킹-회수 (2023년 3월)

손실: 약 1억 9,700만 달러(2023년 당시 단일 최대 DeFi 공격). 원인: Euler V2 대출 프로토콜의 donateToReserves 함수에 결함 — 공격자가 자기차입-자기담보 + 플래시 론 결합으로 헬스팩터 검증을 우회해 다수 풀(DAI/WBTC/USDC/stETH)을 비웠습니다. 처리: 3월 22일 공격자가 온체인 협상 끝에 약 90%를 반환, 나머지 1천만 달러는 추가 협상 라운드로 부분 회수. 2024년 Euler DAO가 프로토콜 준비금으로 영향받은 모든 이용자에게 100% 보전 완료. 의미: Poly Network 2021과 유사한, 대규모 DeFi 해킹에서 '대부분의 자금 자발적 반환'이 기록된 두 번째 사례. '온체인 공개 협상'을 가상자산 사건 대응의 비표준 옵션으로 등록.

49. Solana 메인넷 중단 사례 (2021-2024)

손실: 사건별 직접 자산 손실은 없지만, 매 중단마다 Solana DeFi 프로토콜·CEX 입출금·NFT 거래가 동시에 멈추며 큰 간접 피해 발생. 주요 중단: 2021.09 — 17시간(IDO Grape Protocol 트래픽 폭주); 2022.01 — 30시간(NFT 민팅 트래픽 + 밸리데이터 RAM 고갈); 2022.05 — 7시간; 2022.06 — 4시간; 2023.02 — 19시간(v1.14 업그레이드 버그); 2024.02 — 단기 중단. 의미: 가상자산에서 Layer-1 메인넷 장애는 드물지 않지만 시장은 대체로 무시합니다. Solana는 그중 최다 발생자 — 약 6-9개월에 한 번. Layer-1에 자산을 수탁하는 사람은 '체인 다운'을 꼬리 위험이 아니라 일상 위험으로 다뤄야 합니다.

B. 거시 · 정책 흑조

50. 중국 인민은행 5부처 가상자산 금지령 (2013년 12월 5일)

시장 영향: BTC가 약 ¥7,000에서 ¥3,000(-57%, 24시간); 글로벌 가상자산 시가총액 약 50% 하락. 원인: 인민은행·공업정보화부·은감회·증감회·보감회 공동 「비트코인 위험 방지 통지」 — 금융기관의 비트코인 서비스 금지, 비트코인의 화폐 지위 부정, 제3자 결제 기관의 가상자산 거래소 서비스 중단 의무화. 결과: 당시 세계 1-3위였던 중국 3대 거래소(Huobi·OKCoin·BTCChina)의 법정통화 입출금이 60일 내에 끊겼고, 시장 점유율이 빠르게 해외 거래소로 이전. 의미: 주권 규제 행동으로 가상자산 시장이 급락한 첫 사례. '중국 규제 문서 + 글로벌 시장 하락' 템플릿을 확립, 2017년과 2021년에 반복됩니다.

51. 중국 9.4 ICO 금지령 (2017년 9월 4일) 🇰🇷 관련

시장 영향: BTC가 $4,900에서 $3,000(-39%), ETH가 $390에서 $220(-44%); 글로벌 ICO 프로젝트 수가 수개월 안에 사실상 0으로. 원인: 인민은행 등 7부처 공동 「토큰 발행 자금 조달 위험 방지 통지」 — ICO 금지, 국내 거래소 폐쇄, ICO 프로젝트의 투자금 환불 의무. 한국 관련: 한국 금융위원회도 같은 시기 2017년 9월 29일에 모든 형태의 ICO를 금지한다고 발표했습니다. 이로 인해 한국 본지의 ICO 프로젝트들이 싱가포르·스위스 추크 등으로 본거지를 옮겼고, 테라폼랩스도 그 흐름 중 하나로 싱가포르에 법인을 두었습니다. 결과: 중국·한국 거래소가 60일 내 위안화·원화 ICO 매매 중단, 글로벌 ICO 자금 모집액이 2017Q3 정점 66억 달러에서 2019년 거의 0으로. 의미: 단일 국가 규제 조치가 가상자산을 '글로벌 베어마켓 가속 모드'로 전환시킨 첫 사례. 동시에 ICO에서 해외 운영·탈중앙 자금 조달로의 이주를 촉발해 DeFi 시대를 예고.

52. 블랙 써스데이 · COVID 유동성 위기 (2020년 3월 12일)

시장 영향: BTC가 단일 24시간 창에서 $7,900에서 $3,850(-51%) — 가상자산 역사상 최대 일간 하락. 글로벌 시가총액 24시간 동안 약 1,500억 달러 증발(당시 총 시총의 약 절반). 원인: COVID-19 팬데믹발 글로벌 유동성 위기. 모든 위험자산이 동시에 매도되었지만 가상자산은 24/7 거래 + 글로벌 개인 레버리지로 인해 주식 시장의 2-3배 더 떨어졌습니다. BitMEX 등 무기한 선물 거래소에서 연쇄 청산 발생. 처리: BitMEX는 프론트엔드가 폭주로 일시적으로 다운되어 강제 청산이 우연히 차단되며 이용자가 보호되었습니다. 일간 청산 총액이 18억 달러를 초과. BTC는 48시간 안에 $5,500까지 회복, 8월에 사건 이전 수준 돌파. 의미: 가상자산이 거시 유동성 위기에서 '안전자산'이 아니라 '위험 증폭 자산'임을 입증. 2020년 이전의 'BTC는 디지털 금' 서사를 영구히 바꿨고, DeFi 프로토콜이 가격 폭락 저항 오라클을 도입하게 만들었습니다.

53. 중국 채굴 금지 (2021년 5월 19-21일)

시장 영향: BTC가 단일일 $43,000에서 $30,000(-30%), ETH 동시 -40%; 일일 약 3천억 달러 시총 증발 — 가상자산 역사 2위 일간 하락. 원인: 5월 21일 국무원 금융안정발전위원회 회의에서 '비트코인 채굴과 거래 행위 단속' 명시. 이후 내몽골·신장·쓰촨·칭하이·윈난성이 순차적 정리 정책 발표. 당시 중국이 글로벌 BTC 해시레이트의 약 60-65%를 차지. 결과: 글로벌 BTC 해시레이트가 60일 안에 180 EH/s에서 90 EH/s(-50%)로. 채굴자들이 북미(주로 텍사스)·카자흐스탄·러시아로 대거 이주. BTC 블록 타임이 수개월간 10분에서 18분 이상으로 늘어남. 의미: 가상자산 사상 최대 해시레이트의 지리적 재분배. '중국이 60일 안에 글로벌 해시레이트의 60%를 옮길 수 있다' — 다시는 단일 관할권의 통제 하에 해시레이트가 집중될 수 없다는 뜻. 이 사건 이후 BTC의 '검열 저항성'은 구조적으로 개선되었습니다.

54. Tornado Cash OFAC 제재 · 오픈소스 코드 판례 (2022년 8월 8일)

시장 영향: 시장 가격 영향은 상대적으로 작음(BTC -5%)이지만 개발자 커뮤니티 영향은 거대; TORN 거버넌스 토큰 -50%; Tornado Cash 관련 이더리움 주소를 메이저 DeFi 프로토콜(Aave·Uniswap·dYdX)이 자체적으로 블랙리스트. 원인: 미국 재무부 OFAC가 Tornado Cash — 오픈소스 코드 믹서 — 를 SDN(Specially Designated Nationals) 명단에 추가. 미국이 기업·개인이 아닌 '오픈소스 소프트웨어'를 제재한 첫 사례. 같은 달 개발자 Alexey Pertsev가 네덜란드에서 체포. 후속 동향: 2023년 8월 미국 개발자 Roman Storm 미국에서 자금세탁 공모 혐의로 체포; 2024년 8월 미국 제5순회 항소법원이 OFAC의 오픈소스 코드 제재가 '법정 권한을 초과'한다고 판시하며 원 제재를 부분 무효화. Tornado Cash는 기술적 블랙리스트에 잔존. 의미: '코드 자체가 제재 대상이 될 수 있는가'라는 근본적 법적 쟁점을 미국 연방 법정에 처음 올린 사건. 결과는 모호 — '오픈소스 코드는 직접 제재해서는 안 된다'는 판례를 세우는 동시에 모든 프라이버시·익명성 도구 개발자에게 큰 위축 효과를 남겼습니다.

⭐ 12개의 교훈 (요약)

이 12개의 교훈은 위의 53개 사건에서 정제한 제 실제 운영 프레임워크입니다. 각 교훈은 그 교훈을 확립한 구체적 사건과 짝지어져 있습니다. 이 7,600 단어 문서에서 단 하나만 가져간다면, 이 12개를 가져가십시오.

A. 중앙화 거래소 수탁 (교훈 1-3)

1. 거래소는 PoR(Proof of Reserves)로 고르고, CEO 카리스마로 고르지 마라. 카르펠레스, 뱅크먼-프리드, 마신스키 모두 붕괴 직전까지 언론에서 호평받았습니다. 보도는 돈으로 살 수 있고, PoR는 구조적입니다. 독립 회계법인의 매월 감사 + zk-SNARK 부채 증명을 요구하세요.
2. 분리되지 않은 계열 트레이딩사는 붕괴의 청사진이다. FTX-Alameda, Voyager-3AC, Celsius 내부 장부 모두 같은 패턴. 거래소 모회사가 무관한 마켓메이커·헤지펀드·미공시 자기자본 거래 장부를 운영하는지 보세요.
3. 출금 일시중단은 95% 확률로 지급불능 신호. Mt.Gox, FTX, Celsius, Voyager, Cryptopia, Multichain, V Global — 정상 재개한 곳이 없습니다. Bitstamp 2014와 Bybit 2025만 예외 5%. 공지는 대피 알람으로 받아들이세요.

B. 스테이블코인 (교훈 4-5)

4. '스테이블코인'은 마케팅 라벨일 뿐 — 실제 준비금 구조를 항상 확인하라. 중앙 준비금(USDT/USDC/FDUSD)은 발행사 지급능력 + 협력 은행 안정성에 의존(USDC SVB 2023이 두 번째를 입증). 알고리즘(UST/USDN/NuBits)은 거버넌스 토큰에 대한 신뢰 지속에 의존. 두 방식 모두 다른 방식으로 실패할 수 있습니다.
5. 순수 알고리즘 스테이블코인은 구조적 사망 카테고리. NuBits·BitUSD·Iron Finance/TITAN·Terra/UST·Neutrino USDN — 다섯 번의 디페그-제로가 같은 죽음의 나선 패턴을 증명합니다. '알고리즘 스테이블코인 2.0' 마케팅에 설득당하지 마십시오.

C. DeFi와 크로스체인 (교훈 6-8)

6. 크로스체인 브릿지는 가상자산 최대 공격 표면 — 사용을 최소화하라. 누적 브릿지 손실 20억 달러 초과. 체인 간 이동이 필요하면 CEX 내부 입출금을 온체인 브릿지보다 우선하세요.
7. 플래시론 + 거버넌스 공격은 모든 저유동성 거버넌스 토큰 풀을 노릴 수 있다. Beanstalk와 Mango Markets가 패턴을 보여주었습니다. 보유 중인 DeFi 포지션이 거버넌스 타임락(최소 24-48시간 실행 지연)을 갖춘 프로토콜에 있는지 확인하세요.
8. 하드웨어 지갑은 개인키 도난은 막지만 '잘못된 내용 서명'은 막지 못한다. Bybit 2025(14억 달러), Ledger Connect Kit 2023(60만 달러), Permit2 피싱 2023-2024(누적 12억 달러+) 모두 정상 작동 하드웨어에서 하이재킹된 내용에 사용자가 서명한 사례. 하드웨어 지갑은 필요조건이지 충분조건이 아닙니다 — 서명 전 화면을 직접 읽으십시오.

D. 자기수탁 (교훈 9)

9. 단일 벡터에 집중하지 마라. 권장 배분: 규제 받는 거래소(PoR 확인) 약 30%, 하드웨어 지갑 콜드 스토리지 50%, 멀티시그 또는 제3자 커스터디(Coinbase Custody, BitGo) 20%. FTX에 100% 넣은 이용자는 2022년 11월 11일에 100%를 잃었습니다. 분산한 이용자는 30% 슬라이스 + 시차만 잃었습니다.

E. ICO / 프로젝트 (교훈 10-11)

10. '수익 보장'은 99% 확률 폰지 신호. BitConnect 일 1%, OneCoin 불투명 수익, Anchor Protocol 19.5%, Celsius 17%, PlusToken 월 9-30%, V Global '300% 보장' — 모두 지속 가능하게 만들 수 없는 수익률을 약속했습니다. 수익원을 3문장 안에 설명하지 못하는 프로젝트는 기본값을 폰지로 간주하십시오.
11. 셀럽 추천은 프로젝트 검증이 아니다. Floyd Mayweather와 DJ Khaled가 Centra Tech, Tom Brady가 FTX 광고, 여러 나라 정치인이 OneCoin 이벤트, 한국에서는 V Global 등 다단계 코인에 연예인·전직 공직자 동원. SEC와 한국 검찰 모두 미공시 셀럽 홍보를 제재 대상에 포함시켰지만, 집행은 시장 노출 속도를 따라가지 못합니다. 셀럽에 기대는 프로젝트는 감점 요인.

F. 메타 교훈 (교훈 12)