보상 허브 
2026년 2월 21일, 단 하나의 프라이빗 키가 탈취되면서 공격자는 IoTeX의 이오튜브(ioTube) 크로스체인 브릿지(Ethereum 측)에 대한 완전한 권한을 얻게 됐습니다. 몇 시간 만에 TokenSafe 계약에서 약 430만 달러 상당의 토큰(USDC, USDT, IOTX, WBTC, BUSD)이 유출됐으며, 공격자는 CIOTX 1억 1,100만 개(추정 400만 달러 상당)와 CCS 930만 개(450만 달러 상당)를 추가로 발행했습니다. 이로써 PeckShield의 독립적 피해 추산치는 총 800만 달러를 넘어섰습니다.
IoTeX 측 공식 피해액은 430만 달러로 집계되지만, 실제로 탈취된 자산들은 Uniswap을 통해 ETH로 교환된 후 THORChain을 통해 비트코인 네트워크로 브릿지됐습니다. IOTX 가격은 사건 이후 22% 하락해 $0.0054에서 $0.0042 이하로 떨어졌다가 일부 반등했습니다.
IoTeX ioTube 브릿지 해킹 사건의 개요
ioTube 브릿지는 IoTeX가 자체 개발한 크로스체인 인프라로, IoTeX의 레이어1 블록체인과 Ethereum, BSC, Base 등 다양한 네트워크 간 토큰 이동을 지원합니다. 이번 공격은 스마트 컨트랙트의 취약점이나 코드 결함이 아닌 이더리움 쪽 브릿지 밸리데이터 소유자의 프라이빗 키가 유출됨으로써 발생했습니다. 이 키로 공격자는 MintPool(랩드 토큰 생성) 및 TokenSafe(랩드 토큰을 뒷받침하는 실물 자산 보관) 등 계약을 통제할 수 있었습니다.
즉, 단 하나의 키로 실제 자산 인출과 임의의 랩드 토큰 발행이 모두 가능해졌고, 해킹은 2월 21일 오전 7~9시(UTC)에 일어났습니다. 온체인 분석가 Specter가 4:20 AM(EST)에 의심스러운 트랜잭션을 포착했으며, IoTeX 측은 약 3시간 후에 공식적으로 처음 상황을 알렸습니다.
네트워크 밸리데이터 및 커뮤니티는 신속히 ioTube 브릿지를 일시 중지하여 추가 유출을 차단했고, IoTeX는 L1 체인 전체를 멈춰 네트워크 차원에서 관련 주소를 동결했습니다. 체인은 24~48시간 내 보안 업데이트와 악성 주소 블랙리스트 적용 후 재개될 예정이었습니다.
IoTeX 공동창업자 겸 CEO 라울렌 차이는 본 사건이 이더리움 쪽 브릿지 인프라에 한정됐으며, IoTeX L1 체인 및 관련 스마트 컨트랙트, 다른 브릿지는 영향을 받지 않았다고 밝혔습니다.
공격자의 자금 세탁 방식
자금 세탁은 최근 2025~2026년 여러 사건에서 반복된 패턴을 따랐습니다. 탈취된 토큰은 Uniswap에서 ETH로 변환 후 일부 지갑에 모아지고, 이후 THORChain을 통해 비트코인 네트워크로 브릿지됐습니다. THORChain은 KYC 없이 분산형 크로스체인 유동성 공급을 지원합니다.
IoTeX는 2월 23일 기준 약 66.6 BTC(현재 시세로 약 430만 달러 상당)가 보관된 4개의 비트코인 지갑을 식별했으며, CoinDesk도 잔고를 확인했습니다. 한편, 자산이 THORChain을 경유하면 중앙 관리자가 없어 동결이나 거래 취소가 사실상 불가능합니다.
THORChain은 UTXO 체인(비트코인 등)과 계정 기반 체인(Ethereum 등) 간 중개자 없는 연결로 숙련된 공격자들의 세탁 경로로 부상했습니다. 2023년에도 유사한 패턴이 관찰되었습니다.
또한, 온체인 분석가들은 이번 공격자의 자금 공급 지갑이 2025년 2월 Infini 스테이블코인 플랫폼(4,900만 달러 피해) 해킹에서도 사용됐던 점을 발견했습니다. 두 사건 모두 내부자 수준 접근, 특권 권한 남용, 장기 계획, THORChain 세탁 등 공통점이 있습니다. IoTeX 측에 따르면 이번 공격은 최소 6~18개월 전에 계획된 것으로 보입니다.
10% 바운티 제안과 크립토 협상
해킹 이틀 후 IoTeX는 온체인 메시지를 통해 공격자에게 남은 자금 반환 시 약 44만 달러 상당의 10% 바운티를 지급하겠다고 제안했습니다. 또한, 자발적 반환 시 법적 조치나 신원정보 공유는 없을 것이라고 덧붙였습니다.
이는 DeFi 업계에서 위기 대응 표준으로 자리 잡은 방식입니다. 프로젝트 측은 공격자 지갑을 식별해 온체인 공개 메시지로 제안하고 기한을 정합니다. 반환 시 바운티를 지급하고, 미반환 시 법 집행기관 및 거래소 협조로 자산 동결을 시도합니다.
이 방식의 성과는 사례별로 상이하지만, 아무 것도 하지 않는 것보다는 효과적입니다.
| 해킹 사건 | 피해액 | 바운티 제안 | 결과 |
|---|---|---|---|
| Euler Finance (2023.03) | $1.97억 | 10%+정보제공 $100만 | 수주 협상 끝에 전액 회수 |
| Poly Network (2021.08) | $6.12억 | "Mr. White Hat" 호칭 | 해커가 전액 반환(장난이었다 주장) |
| Sentiment Protocol (2023.04) | $100만 | $9.5만(10%) | 2일 내 90% 반환 |
| KyberSwap (2023.11) | $4,600만 | 10%($460만) | 해커가 전체 통제권 요구, 협상 결렬 |
| IoTeX (2026.02) | $430만 | 10%($44만) | 2월 24일 기준 미정 |
Euler Finance 사례는 참고할 만합니다. 초기 10% 제안 후 해커는 일부 자금만 옮기고 연락을 끊었으나, $100만 현상금 및 법무법인 압박에 결국 전액 환수, 해커의 사과까지 이끌어냈습니다. 반면, KyberSwap는 해커가 바운티를 거부하고 프로토콜 전체 통제권을 요구해 협상에 실패했습니다.
프라이빗 키 해킹은 왜 반복되는가?
IoTeX 사건이 시사하는 핵심은, 스마트 컨트랙트는 설계대로 정상 작동했음에도 인적(운영) 취약점이 전체 보안을 무력화시켰다는 점입니다.
2025년 1분기 기준, 전체 해킹 피해 중 88%가 프라이빗 키 유출에서 비롯됐으며(출처: The Block), 이 추세는 2026년에도 이어지고 있습니다. 업계는 스마트 컨트랙트 감사를 위해 막대한 비용을 들이고 있지만, 공격자들은 인적 보안 허점을 공략하고 있습니다.
다음은 주요 브릿지 해킹 사례와 원인 요약입니다.
| 브릿지 | 연도 | 피해액 | 주요 원인 |
|---|---|---|---|
| Ronin (Axie Infinity) | 2022 | $6.24억 | 밸리데이터 프라이빗 키 5개 탈취 |
| Wormhole | 2022 | $3.26억 | 서명 검증 취약점(코드 결함) |
| BNB 브릿지 | 2022 | $5.68억 | 증명 검증 취약점(코드 결함) |
| Nomad | 2022 | $1.9억 | 루트 신뢰 취약점(코드 결함) |
| Flow 블록체인 | 2025.12 | $390만 | 프라이빗 키 탈취 |
| CrossCurve | 2026.02 | $300만 | 검증 체크 누락(코드 결함) |
| IoTeX(ioTube) | 2026.02 | $430만+ | 밸리데이터 오너 프라이빗 키 탈취 |
Ronin은 밸리데이터 키 과집중 및 권한 만료 미조정으로 6일간 해킹 사실이 감지되지 않았던 대표적 사례입니다. IoTeX는 수 시간 만에 탐지해 피해를 줄였지만, 단일 키가 거액 자산에 대한 행정 권한을 가진 구조 자체가 근본적 약점임을 보여줍니다.
크로스체인 리스크의 본질
2022년 이후 브릿지 해킹으로 28억 달러 이상이 유출되며, 브릿지는 암호화폐 인프라에서 가장 위험한 지점으로 꼽힙니다. 2026년 1월 한 달간 전체 업계 피해액 중 브릿지 해킹이 상당 비중을 차지했습니다.
이 문제는 구조적입니다. 브릿지는 소수 계약과 키에 막대한 가치를 집중시켜, 고도의 공격자들이 장기 계획으로 노릴 만한 단일 실패 지점을 만듭니다.
2025년 업계 분석에 따르면, 브릿지 해킹 피해액 중 약 4.6%만이 바운티 협상 등으로 반환됐으며, 13%는 긴급 조치로 동결 또는 사용 불가 상태로 남아 있고, 53.6%는 여전히 휴면 지갑에 보관되어 있습니다.
이에 대응해 네이티브 라이트 클라이언트 검증(zk-proof 기반), 키 분산 및 순환, 하드웨어 보안 모듈 사용, 출금 속도 제한 등 다양한 솔루션이 제시되고 있습니다. 이들 중 상당수는 이미 일부 브릿지에서 적용되고 있으나, IoTeX 등 많은 프로젝트는 아직 도입하지 않은 상태입니다.
IOTX 가격 변동
공개 전 IOTX 가격은 약 $0.0054였으나, 해킹 후 한때 $0.0042까지 22% 하락했습니다. 2월 24일 기준 IOTX는 $0.0045 부근에서 거래되며, CoinMarketCap 시가총액은 약 4,300만 달러입니다.
해킹 24시간 내 거래량은 500% 이상 급증하여 1,700만 달러를 돌파했습니다. 업비트 등 주요 거래소는 IOTX 입출금을 일시 중단하며 거래 경보를 발령했고, 바이낸스도 관련 거래를 차단했습니다.
2021년 11월 기록한 IOTX 사상 최고가는 $0.26으로, 현재 수준 대비 98% 높습니다. 이번 해킹은 이미 진행 중이던 하락세를 가속화시킨 요소 중 하나로 분석됩니다. IoTeX 측은 피해자 보상 계획을 48시간 내 공표하겠다고 밝혔으며, 발행된 대부분 CIOTX 및 CCS 토큰은 동결 혹은 회수 중입니다.
트레이더에게 시사하는 점
브릿지 리스크는 프로토콜 리스크: 랩드 토큰(CIOTX, wETH, wBTC 등)을 보유 중이라면, 자산뿐 아니라 브릿지의 키 관리, 밸리데이터 보안, 운영 체계 등도 함께 노출됩니다. 브릿지 해킹은 랩드 토큰 가치를 0으로 만들 수 있으니 필요 최소한만 노출하는 것이 바람직합니다.
바운티 기한 주목: IoTeX의 48시간 바운티 제안은 단기 촉매가 될 수 있습니다. 반환 시 단기적 가격 반등 가능성이 있으나, 기한 내 미반환 시 법적 조치 및 현상금 등 추가 조치가 예상됩니다.
프라이빗 키 해킹이 새로운 트렌드: 2021년 이후 스마트 컨트랙트 감사가 보편화되며 코드 취약점보다 운영 보안 실패가 더 큰 리스크로 부상했습니다. 브릿지 이용 전 다중 서명, 키 분산, 하드웨어 보안 모듈, 출금 제한 등 운영 보안 체계가 갖춰졌는지 반드시 확인해야 합니다. IoTeX ioTube 브릿지는 이더리움 측 주요 계약에 단일 밸리데이터 오너 키가 사용된 것이 단점으로 작용했습니다.
FAQ
브릿지 해킹 이후 IoTeX가 사기 프로젝트인가요?
아닙니다. IoTeX는 2017년 설립 이후 Google, 삼성, ARM 등과 파트너십을 맺고 Polygon AggLayer와도 통합되어 있습니다. 이번 해킹은 운영 보안상의 문제로 브릿지 인프라에 국한된 사건입니다. 다만, 프라이빗 키 유출로 인한 430만 달러 손실은 팀의 보안 체계에 대한 의문을 남깁니다.
해커가 IoTeX 자금을 반환할까요?
예측이 어렵습니다. 온체인 분석 결과, 공격자 지갑이 2025년 Infini 해킹과 연관되어 매우 조직적인 범죄 집단으로 보입니다. 이와 같은 경우, 단독 범행자보다 협상 가능성이 낮으며, THORChain 경유 자금 세탁으로 법적 환수도 어렵습니다.
IoTeX 실제 피해액은 얼마인가요?
IoTeX 공식 발표는 TokenSafe에서 430만 달러 자산 유출입니다. PeckShield 추산은 발행 토큰까지 포함해 800만 달러 이상이나, 상당수 토큰이 동결 또는 회수되어 실제 영구 피해액 수치는 다를 수 있습니다.
크로스체인 브릿지는 안전한가요?
브릿지는 크립토 인프라 중 가장 높은 리스크를 지닙니다. 2022년 이후 28억 달러 이상의 피해가 발생했습니다. 브릿지 이용 시 노출 금액과 기간을 최소화하고, 탈중앙 밸리데이터나 ZK 검증 기반 브릿지를 선호하며, 불필요한 랩드 토큰은 장기간 방치하지 않는 것이 바람직합니다.
결론
IoTeX 해킹 사건은 코드가 아닌 키 관리의 중요성을 일깨워 주는 사례입니다. 스마트 컨트랙트는 문제없었지만, 오직 한 개의 프라이빗 키 유출로 수많은 이용자 자산이 유출됐습니다.
IoTeX의 10% 바운티 제안은 과거 Euler, Sentiment 등에서 효과를 거둔 바 있으나, KyberSwap 사례처럼 실패할 수도 있습니다. 해커가 조직적 그룹인지, 아니면 자금 세탁의 어려움을 인지한 단독 범죄자인지에 따라 결과가 달라질 수 있습니다.
트레이더 입장에서는 크로스체인 브릿지가 전 세계 고도의 공격자(국가 지원 그룹 포함)의 주요 표적임을 유념하고, 신뢰 없는 검증(ZK, 라이트 클라이언트)과 중앙 집중 키 모델의 점진적 탈피가 진행되기 전까지 브릿지 노출을 신중히 관리하는 것이 필요합니다.
면책 고지: 본 기사는 정보 제공 목적이며, 금융 조언이 아닙니다. 암호화폐 투자는 위험이 크므로 투자 결정 전 반드시 직접 조사하시기 바랍니다.
