업비트 투자자보호센터

탈중앙화금융(DeFi) 시장은 혁신적인 기회를 제공하지만, 그만큼 위험도 큽니다. 특히 디파이 생태계는 다른 무엇보다 '코드가 곧 법(Code is law)'인 환경이기 때문에, 사용자가 스스로 보호하지 않으면 아무도 책임을 져주지 않습니다. 

디지털 자산 보안 기업 체이널리시스(Chainalysis) 자료에 따르면, 2025년 한 해 동안 디지털 자산 사기로 인한 총 피해액은 최소 170억 달러(약 23조 원)에 달하며, 이는 전년 대비 41% 증가한 수치입니다. 범죄 수법도 나날이 교묘해지는 경향을 나타내고 있어 각별한 유의가 필요합니다.

본 콘텐츠는 생성형 AI를 이용하여 제작되었습니다

디파이 사기, 사용자 부주의와 ‘묻지마’ 투자 노린다

전체 디파이 범죄 사건 중 41%는 디지털 자산 개발자의 악의적 행위(러그풀 등)에서 발생합니다. 대표적인 유형은 아래의 3가지입니다. 

① 러그풀 (Rug Pull) 

러그풀이란 개발자가 프로젝트를 그럴듯하게 홍보하여 투자금을 모은 뒤, 갑자기 유동성을 회수하거나 프로젝트를 폐쇄하고 잠적하는 수법입니다. 이들은 프로젝트 런칭 초기에 엄청난 연수익률(APY)을 홍보하고, 가격이 고점에 다다르면 개발팀이 보유 물량을 한꺼번에 매도하는 방식을 주로 사용합니다. 특히 디지털 자산의 수명이 짧은 밈코인(meme coin)의 경우 러그풀이 빈번하게 관측됩니다. 

② 스마트 컨트랙트 익스플로잇 (Exploit)

스마트 컨트렉트 익스플로잇이란, 디지털 자산 프로젝트 코드의 취약점을 공격해 자금을 탈취하는 방식입니다. 개별 사용자를 목표로 삼기 보다는 아직 검증이 되지 않은 신생 디지털 자산 프로젝트를 대상으로 벌어지며, 사용자는 여기에 함께 엮여서 피해를 보는 경우가 많습니다. 

대표적인 스마트 컨트렉트 익스플로잇으로는 플래시론(Flash Loan) 공격과 오라클(Oracle) 가격 조작 등이 있습니다. 플래시론은 본래 1개의 트랜잭션 안에서 디지털 자산 대출과 상환을 동시에 진행하는 기능을 말합니다. 이 기능을 악용하면 해커가 자기 돈을 쓰지 않고, 막대한 남의 돈을 빌려서 유동성이 적은 코인을 대량 매수했다가 덤핑(대량 매도)하는 방식으로 시스템을 무너트릴 수 있습니다. 

오라클 가격 조작은 주로 만들어지지 얼마 되지 않은 탈중앙화거래소(DEX)가 목표가 되는 경우가 많습니다. 이런 거래소들은 디지털 자산 가격 기준을 잡을 때 외부 시장 가격을 참조하지 않고, 자신들의 내부 현물 가격(Spot Price)에 따라 대출을 해주는 경우가 있습니다. 자금력을 갖춘 공격자가 유동성이 적은 디지털 자산을 집중 먜수해서 가격을 수백배로 부풀린 후, 그것을 담보로 대출 풀(Pool)에 있는 자금을 모두 빼가면 해당 프로토콜은 파산하게 됩니다. 

③ 승인(Approval) 탈취 및 피싱

사용자가 자신의 디지털 자산이 들어있는 전자 지갑을 외부 프로토콜에 연결할 때 무심코 누른 '승인(Approve)' 버튼 하나로 지갑 내 모든 자산 접근 권한을 내어주는 경우입니다.

권한을 모두 내어주게 되면, 지갑에 들어있는 디지털 자산을 해커가 자유롭게 옮길 수 있습니다. 자칫하면 전 재산이 일순간에 날아가버리는 셈입니다. 이렇다보니 해커들은 어떻게 해서든 사용자로 하여금 승인 버튼을 무심코 누르게 만들기 위해 여러가지 노력을 기울입니다. 최근에는 이와 관련해 AI 딥페이크 영상을 이용하거나, 고객센터를 사칭하여 접근하는 사회 공학적 기법(Social Engineering)이 급증하고 있습니다.

2025년 이후 보고된 사례들

디파이 사기의 무서운 점은, 오랜 기간 디지털 자산을 다뤄왔던 사용자들도 생각보다 당하는 경우가 많다는 점입니다. 범죄 수법은 꾸준히 진화 중인데, 최근에 큰 피해를 입혔던 3가지 사례를 추려봤습니다. 

- 마차 메타(Matcha Meta) 사건 (2026년 1월): 사용자들이 보안 옵션을 끄고 승인(Approval) 권한을 허용한 것이 악용되어 도합 약 1350만 달러(약 180억 원)가 탈취되었습니다. 마차 메타 측의 공식 설명에 따르면 피해자들은 대부분 멀쩡히 존재하는 ‘One-Time Approval(일회성 승인)’ 기능을 끄고 무한 승인 권한을 허용해줬고, 이에 따라 큰 피해가 발생했습니다. 디파이 사용자들이 자신의 전자지갑 승인 권한을 민감하게 다뤄야 한다는 것을 다시 한 번 일깨워준 사례입니다. 

- 피그 부처링(Pig Butchering) 스캠: 피그 부처링은 돼지를 살찌워서 도살한다는 뜻으로, 사기 피해자와 오랜 신뢰 관계를 맺은 뒤, 거액을 투자하게 만들어 한순간에 모든 돈을 가로채는 수법을 말합니다. 통상 SNS나 데이팅 앱을 통해 친분을 쌓은 뒤 가짜 디파이 사이트에 투자를 유도하는 방식이 많이 보고되고 있습니다. 중국 및 동남아시아를 거점으로 한 조직적 범죄도 보고되고 있으며, 2025년에만 관련 피해 규모가 170억 달러에 육박합니다.

- USPD 프로토콜 프록시 공격 (2025년 12월): USPD 프로토콜 프록시 공격은 최근 있었던 대표적인 스마트 컨트랙트 익스플로잇 사례입니다. 공격자는 스마트 컨트랙트의 '업그레이드 기능(Proxy Pattern)'을 악용하여, 합법적인 업그레이드나 실행 트랜잭션을 가로채고 악성 코드를 대신 실행시키는 프록시 프론트런(Proxy Front-running) 수법을 활용해 마음대로 토큰을 발행(Minting)하여 약 100만 달러를 탈취하는데 성공했습니다. 

디파이 사기를 예방하는 체크리스트 

디파이 투자나 서비스 사용 전 반드시 다음 5가지를 확인하시기 바랍니다. 

①스마트 컨트랙트 감사(Audit) 확인

이름이 잘 알려진 보안 업체(CertiK, Hacken 등)의 감사를 받았는지 확인하세요. 감사를 받았다고 해서 모든 문제가 해결되는 것은 아니지만, 보안 업체 감사 내역이 없는 서비스는 아예 건드리지 않는 편이 좋습니다. 

② 유동성 잠금(Liquidity Lock) 확인

해당 프로젝트의 개발자나 운영진이 프로토콜 유동성을 마음대로 뺄 수 없도록 '락업(Lock-up)'이 걸려 있는지 확인하는 것이 좋습니다. 락업 이외에도 제3자 플랫폼을 통해 유동성을 잠그는 방식도 존재하기 때문에 이런 부분들도 함께 살펴보면 좋습니다. 

③ 개발팀이 공개된, 잘 알려진 인물인가 확인

디지털 자산 특성상 실제 신원 보다는 온라인 프로필로 소통하는 경우가 많습니다. 하지만 디파이 사기를 막기 위해서는 이런 부분들도 경계심을 가지고 바라봐야 합니다. 특히 개발팀이 익명이고 SNS로만 소통한다면 위험 신호입니다.

④ 확인하지 않고 '승인' 버튼 누르는 습관 버리기

디파이 서비스 자체가 해킹을 당하는 것은 사실 개인이 대비하기 어렵습니다. 하지만 가장 빈번한 피해 사례는 부주의하게 전자지갑 권한을 내 주는 승인 버튼을 눌러서 자산이 털리는 것입니다. 디파이 서비스 이용 후에는 리보크(Revoke.cash)나 이더스캔(Etherscan)의 토큰 승인 취소 기능을 이용해 연결 권한을 해제하는 것이 좋습니다. 

⑤ 이상하리만치 높은 고수익 조건 의심하기

초기 디파이 서비스들은 사용자를 끌어들이기 위해 연수익률(APY) 수천 퍼센트의 보상을 보장하기도 합니다. 단순히 초기 수익률이 높고, 앞으로의 지속가능성에 대한 로드맵을 제시하지 못한다면 그것은 폰지(Ponzi) 사기일 가능성이 매우 높습니다. 신규 투자자의 돈으로 기존 투자자에게 이자를 주는 구조는 반드시 무너집니다.

*본 콘텐츠는 디지털 자산과 관련한 동향 및 일반적인 교육 자료를 제공할 목적으로 제작되었습니다. 이는 투자 권유 또는 특정 디지털 자산의 매수·매도를 추천하기 위한 것이 아니며, 어떠한 경우에도 투자판단의 근거로 사용될 수 없습니다. 본 콘텐츠를 이용한 투자 결과에 대한 책임은 전적으로 투자자 본인에게 있습니다.