트루빗 프로토콜이 스마트컨트랙트 취약점으로 약 2,650만 달러 상당의 이더리움을 도난당해, TRU 토큰 가치가 사실상 제로가 됐다. 보안업체는 스파클 공격의 해커와 동일 인물로 분석했다.

트루빗, 2026년 첫 디파이 해킹에 뚫렸다…ETH 387억 원 탈취·TRU 전멸 / TokenPost.ai

Truebit 프로토콜이 2026년 첫 디파이(DeFi) 해킹 사건의 희생양이 됐다. 이번 공격으로 약 2,650만 달러(약 387억 원) 상당의 이더리움(ETH)이 유출됐으며, 네이티브 토큰 TRU의 가치는 단 몇 시간 만에 사실상 전멸했다.

허점 노린 ‘무제한 발행’ 공격

블록체인 보안업체 펙쉴드(PeckShield)는 X(구 트위터)를 통해 이번 공격을 최초로 포착했다. 트루빗의 스마트컨트랙트에서 약 8,500 ETH 규모의 자산이 빠져나가는 정황이 탐지된 것. 분석 결과, 공격자는 토큰 가격을 산정하는 스마트컨트랙트의 논리적 취약점을 악용해 TRU 토큰을 무제한 발행할 수 있었고, 이 토큰을 프로토콜 내 ‘본딩 커브’ 구조를 활용해 매도하는 방식으로 ETH를 지속적으로 빼내는 전략을 썼다.

공격 이후 탈취된 자산은 두 개의 지갑 주소(0x2735…cE850a와 0xD12f…031a6)로 분산됐다. 공격 직후 TRU 토큰 가치는 거래소에서 거의 100% 급락해 사실상 ‘제로’에 수렴했다.

트루빗 “보안 문제 인지…조치 중”

트루빗 측은 현재 해킹 사고를 인지하고 관련 스마트컨트랙트와의 상호작용을 즉시 중단할 것을 사용자들에게 권고했다. 아직 공식 분석 보고서는 나오지 않았으나, 프로젝트 측은 수사기관과 협력 중이며 필요한 모든 조치를 취하고 있다고 밝혔다.

‘스파클 해킹’ 주범과 동일 인물

펙쉴드는 이번 트루빗 공격 배후가 2주 전 ‘스파클(Sparkle)’ 프로젝트를 겨냥했던 해커와 동일 인물이라고 분석했다. 당시에도 유사한 방식으로 토큰을 저가에 발행하고 이를 5 ETH로 교환한 뒤, 프라이버시 중심 믹싱 서비스인 토네이도 캐시(Tornado Cash)를 통해 흔적을 감췄다.

이번 사건은 2026년 디파이 시장에서 발생한 첫 대형 해킹 사고라는 점에서 그 여파가 적지 않을 전망이다.

디파이 해킹, 작년 정점 찍고 진화 중

암호화폐 보안업체 TRM랩스(TRM Labs)에 따르면, 2025년 한 해 동안 디파이와 관련된 해킹 피해는 총 27억 2,000만 달러(약 3조 9,668억 원)에 달했다. 특히, 지난 2월에는 북한 해커들이 중앙화 거래소 바이빗(Bybit)에서 15억 달러(약 2조 1,880억 원) 규모의 암호화폐를 탈취해 역대 최대 해킹 사례로 남았다.

다만, 연말로 갈수록 전체 피해는 감소 추세로 돌아섰고, 12월에는 전월 대비 해킹 피해액이 60% 이상 줄어든 것으로 나타났다. 보안 수준이 상승하고 있는 가운데, 초기에 발생한 사고인 이번 트루빗 사건은 디파이 프로젝트들의 보안 경계심을 다시 한번 자극하는 계기가 될 것으로 보인다.