메인 콘텐츠로 건너뛰기
TILNOTEAI 노트AI 스퀘어AI 스퀘어
page thumbnail

인공지능이 찾아낸 460만 달러! 블록체인 스마트 계약의 취약점, 얼마나 심각할까?

A
alpha
조회수 6

AI(인공지능)가 블록체인 스마트 계약을 뚫고 수백만 달러 가치의 취약점을 찾아냈다는 뉴스, 들어보셨나요? 단순히 기술 발전을 보여주는 에피소드가 아니라, 지금 이 순간에도 수많은 블록체인 프로젝트와 개발자, 투자자들이 “AI 시대의 새로운 보안 위협”에 직면하고 있습니다. 이 글에서는 AI가 실제로 얼마만큼의 경제적 피해를 야기할 수 있는지, 어떻게 이 위협을 막을 수 있나, 그리고 AI는 공격자만 될 수 있을까?를 쉽고 흥미롭게 정리해보겠습니다.

AI, 스마트 계약을 해킹하다? 실제 사례와 수치로 보는 현재

2025년, Anthropic와 MATS의 연구팀은 ‘SCONE-bench’라는 독자적인 벤치마크를 만들어 새롭게 출시된 AI 에이전트들이 블록체인에 배포된 405개의 스마트 계약을 대상으로 “실제 해킹”이 가능한지 실험했습니다. 결과는 놀라움 그 자체였습니다.

  • AI 모델(Claude Opus 4.5, Claude Sonnet 4.5, GPT-5 등)이 스마트 계약의 취약점을 자동으로 찾아 공격을 성공시킨 경우가 207건(전체의 절반 이상)!

  • 한 해 동안 AI에 의해 "가상으로 탈취된 자산"의 총액은 무려 5억 5,010만 달러에 달했습니다.

  • 최신 계약(즉, AI 훈련 범위 이후 생성된 34개 계약)만 별도로 보면, 19건(약 56%)을 AI가 성공적으로 뚫었고, 그 가치만 460만 달러에 달했습니다.

AI 에이전트가 취약점 탐지로 올린 수익 추이 이미지 출처: anthropic

이 연구는 단순히 과거의 해킹을 재현한 게 아니라, AI가 “새로운 제로데이(미리 알려진 적 없는 취약점)”까지 발견해서 공격이 가능함을 증명했습니다.

AI가 찾아낸 최신 취약점 사례: 제로데이의 무서움

실험팀은 최근 배포된 2,849개의 바이낸스 스마트 체인(BNB Chain) 계약도 AI를 동원해 추가로 점검했습니다. 이들 계약은 기존의 알려진 취약점이 없는 “신품”이라 할 수 있습니다.

  • Claude Sonnet 4.5와 GPT-5는 여기서도 2가지 신종 제로데이 취약점을 각각 발견.

  • 첫 번째는 계산 기능에서 “읽기 전용(view)”을 빠뜨려 누구나 토큰을 무한으로 발급받을 수 있게 만들어 버린 사례(실제 공격 시 2,500달러 상당의 이득 실현).

  • 두 번째는 수수료 수취인 검증이 누락되어, 누구든 “나는 수혜자”라 주장하며 수수료를 빼가는 허점(실제 공격자는 AI 발견 후 4일 만에 1,000달러를 실제로 탈취).

취약점별 실제 피해 액수 분포 이미지 출처: anthropic

이런 취약점은 과거에는 고도의 기술과 경험이 필요한 인간 해커의 영역이었지만, 이제 AI가 아주 적은 비용($1.22)으로 수천 건의 계약을 자동으로 탐색할 수 있습니다.

경제적 위협, 점점 더 빠르게 커진다!

사람들은 종종 해킹 성공률이 중요한 지표라고 생각하지만, 실제로는 “얼마나 금액이 털렸는가”가 진짜 위험의 척도가 됩니다. 이번 연구를 보면 AI의 해킹 능력은 지난 1년간 “약 1.3개월마다 두 배”씩 성장해 왔습니다.

  • 최신 AI 모델일수록, 동일한 비용(토큰·연산량)으로 훨씬 더 많은 약점을 찾아낼 수 있음.

  • 단순 성공률보다 “최대 탈취액”이 점점 늘어나는데, Opus 4.5의 사례는 한 번에 $350만이 넘는 계약을 훑었습니다.

AI 모델별 토큰 소비 감소 추이 이미지 출처: anthropic

그림을 보면 모델 세대가 바뀔 때마다, 공격에 드는 리소스는 뚜렷하게 줄고 있음이 확인됩니다.

코드 복잡성과 피해 규모: 간단해도 위험하다

많은 개발자들이 복잡한 코드가 더 취약할 것이라 오해하지만, 실제로는 “자산이 많이 들어있는 계약”이 훨씬 더 큰 피해를 입습니다.

코드 복잡성과 실제 피해액의 상관관계 이미지 출처: anthropic

  • 간단한 코드(예: 옵션 거래 한 곳에만 1억 달러 이상 손실!)라도, 자산 규모가 크면 주된 타깃이 됩니다.

  • 반면 복잡한 설계라 해도 실제 피해는 적은 경우가 다수.

  • 따라서 자산 규모와 버그의 종류, 그리고 검증 주기가 AI 시대엔 훨씬 더 중요해집니다.

AI는 공격자일뿐일까? 방어에도 쓸 수 있다!

흥미로운 점은 AI가 공격만 하는 데 쓰이는 게 아니라, “방어용 도구”로도 탁월하다는 것입니다.

  • SCONE-bench 벤치마크를 활용하면, 출시 전 스마트 계약을 ‘AI 에이전트’가 미리 감사(audit) 및 스트레스 테스트를 진행할 수 있습니다.

  • 실제 공격자가 AI를 사용하는 것보다 먼저 ‘방어자’가 활용하면, 제로데이 버그도 사전에 차단 가능성이 높아집니다.

  • AI의 분석 능력, 장기적 추론, 코드 자동화 기능은 개발자 입장에서 “더 빨리, 더 꼼꼼하게” 이상 징후를 잡아냅니다.

시사점과 실천 전략: 앞으로 우리는 어떻게 대비해야 할까?

이제 블록체인과 디파이(DeFi) 생태계를 운영하거나 개발하는 모든 팀은 AI 시대의 보안 현실을 즉시 인식해야 합니다. AI는 인간처럼 “터질 때까지 기다리지 않고”, 계약이 배포되는 즉시 탐색을 시작합니다.

  • 취약점 발견과 공격이 자동화·저렴화되며, 제로데이 공격의 위험은 무한 증폭 중

  • 방어도 반드시 AI 기반의 사전 감사와 코드 리뷰, 자동화 공격 시뮬레이션이 필요

  • 단순 “코드가 복잡하니까 안전할 것”이라는 환상 버리고, 자산 규모와 실제 공격 방식에 초점을 맞춰야 함

실전 팁이라면, 스마트 계약을 실제 배포하기 전 AI 감사 도구를 필수적으로 활용하세요. 그리고 이미 배포된 계약이라도, SCONE-bench 같은 검증 툴로 상시 점검하는 버릇을 들이십시오. 이것이 "AI도 해커, AI도 보안관"인 미래의 블록체인 보안 생존법입니다.

참고

[1] Smart Contract Security: AI Finds High-Value DeFi Exploits - Cryptonomist

[2] Anthropic Trains Its AI Models to Detect Smart Contract Vulnerabilities, Uncovers $4.6 Million in “Hacks” - Incrypted

[3] AI Agents Successfully Exploit $4.6 Million in Blockchain Smart Contracts - Cyber Kendra

[4] Frontier AI Models Master AI Smart Contract Exploits - Startup Hub AI

[5] AI agents find $4.6M in blockchain smart contract exploits - Anthropic

#AI뉴스#인공지능