알레피움 브릿지 81만5000달러 해킹… 3억2000만달러 피해, 디파이 브릿지 연쇄 위기

- 해커, 알레피움 브릿지 서버(오프체인 검증) 취약점 악용… 1376만 WRAP ALPH 신규 발행 및 81만5000달러 탈취 - 올 들어 디파이 브릿지 해킹 누적 피해 3억2000만달러… 검증 서버 단일 실패 지점 위험 부각 지난 5월31일(현지시각) 크립토폴리탄(Cryptopolitan) 등 외신과 알레피움(Alephium) 공식 X(트위터) 채널에 따르면, 알레피움 이더리움·BNB체인 기반 브릿지에서 약 81만5000달러 가치 주요 암호자산이 탈취되는 해킹이 발생했다. 해커는 브릿지 서버(가디언 키라 불리는 검증자 서명 시스템, Guardian Key)를 노렸다. 서버 백엔드(오프체인 검증 로직) 취약점을 파악해 거래 승인(Verified Action Approval, VAA) 서명을 위조했다. 이후 1376만개에 달하는 랩드알프(WRAP ALPH, 알레피움 브릿지 전용 랩 토큰)를 대량으로 신규 발행했다. 이 과정에서 테더(USDT), USDC, WETH, WBTC 등 주요 스테이블코인과 디지털 자산까지 함께 빼돌렸다. 알레피움 측은 공식 입장문을 통해 "이번 사고의 원인은 검증자 키 유출이 아니라, 서버단에서 특정 예외(ege case) 처리 미비로 인해 검증 로직 자체를 무력화할 수 있었던 구조적 결함"이라고 설명했다. 도난 자산은 믹싱 서비스 토네이도 캐시(Tornado Cash) 등을 거쳐 신속히 세탁됐다. 곧이어 2차 시장 유니스왑(Uniswap)·팬케이크스왑(PancakeSwap) 등에서도 랩드알프 등 연계 자산의 유동성 급변과 매도 압력이 터졌다. 연초부터 브릿지 연쇄 해킹이 집중되는 와중, 이번 알레피움 사건은 오프체인 검증 구조의 근본 결함을 또렷하게 드러냈다. 즉 단일 서버(단일 실패지점)만이라도 뚫리면 전체 승인 시스템이 한 번에 붕괴되는 디파이(DeFi, 탈중앙 금융) 시장의 근본적 신뢰 위기가 부각됐다. 지난 5월 한 달 동안 이미 베러스(Verus)-이더리움 브릿지(5월18일 1150만달러 피해), 그래비티 브릿지(Gravity Bridge)(5월30일 540만달러), 토르체인(ThorChain)(5월15일 1000만달러) 등 브릿지 대상 해킹이 잇따랐다. 디파이라마(DefiLlama) 공식 집계에 따르면, 2026년 브릿지 해킹 누적 피해액이 3억2000만달러를 넘어섰다. 디파이 전 역사 전체 해킹 피해 총액 166억달러 중 브릿지 구조 관련 손실도 19%(32억달러 상당) 비중을 차지한다. 알레피움은 즉시 브릿지 및 디파이 서비스 운영을 일시 중단했다. 전 자산의 인출에 돌입하는 등 비상 대응에 착수했다. 그러나 유니스왑·팬케이크스왑 등 2차 유동성 시장에서의 즉각적 대손·청산 대응엔 한계가 확연히 드러났다. 디파이라마 기준 사건 당일 5월31일 알레피움 디파이 예치총액(TVL)은 75만달러로 급락했다. 같은 시각 5월31일 02시08분(현지시각, UTC 기준), 주요 자산별 가격 변동도 두드러졌다. 테더는 24시간 거래량 513억2407만달러(-32.47%)에 0.998달러를 기록했다. BNB는 36억9301만달러(178%↑), 727.525달러였다. 유니스왑은 8912만달러(-53.17%), 3.052달러로 하락했다. USDC는 1달러선을 유지했으나 거래량은 5억2443만달러(-48.19%)로 급감했다. 팬케이크스왑은 1.497달러로 8.39% 상승했다. 이 같은 변동성 역시 대형 브릿지 해킹 여파와 연동돼, 단일 자산·브릿지 인프라의 신뢰 리스크가 실물 시장(2차 유동성, 예치총액, 거래량)에 직접적 영향력을 행사했음을 보여준다.