5월 15일 Thorchain이 비트코인·이더리움·BNB Chain·Base 4개 체인에서 약 1,080만 달러 규모 익스플로잇을 당했고 RUNE 토큰은 -12% 급락했어요. 프로토콜은 Mimir 거버넌스 모듈을 통해 거래·서명 일시 정지를 활성화했고 노드 일시 정지가 26190429 블록부터 약 12시간 42분 진행됐어요. 블록체인 분석가 ZachXBT와 보안업체 PeckShield가 2개 공격자 지갑을 추적했고 보유 자산은 약 3,443 ETH·36.85 BTC·96.6 BNB로 확인됐어요. 5월 15일 발행한 Convex·Aura 일드 어그리게이터 비교 글이 DeFi 일드 인프라 분석이었다면 이번 글은 크로스체인 브릿지 보안 리스크 정리예요. 5월 9일 발행한 USDC 디페그·USDT 안전성 비교도 같은 DeFi 리스크 맥락이에요.
이 글은 2026년 5월 15일 Thorchain 익스플로잇 사건 정리·크로스체인 브릿지 누적 손실·DeFi 보안 일반 원칙 정보 글이에요. 특정 종목 매수·매도 권유 글이 아니고 사후 분석 글이라 시점 진입·청산 판단 자료도 아니에요.
사건 타임라인 — 5월 15일
5월 15일 사건 타임라인을 시간 순으로 정리하면 다음과 같아요.
5월 15일 타임라인 (UTC 기준)
| 시간 | 이벤트 |
|---|---|
| 약 12:00 UTC | 4개 체인(BTC·ETH·BNB Chain·Base)에서 이상 자금 이동 시작 |
| 약 12:30 UTC | ZachXBT가 X에서 공격자 지갑 2개 식별 보고 |
| 약 12:45 UTC | PeckShield 보안 트래커 알람 발생 |
| 약 13:00 UTC | Thorchain Mimir 거버넌스 모듈로 trading halt·signing halt 활성화 |
| 약 13:15 UTC | RUNE 가격 -11~12% 급락 (24시간 거래량 평소의 3배) |
| 약 13:30 UTC | 블록 26190429에서 노드 일시 정지 시작 |
| 약 26:12 UTC (5/16 02:12 UTC) | 노드 일시 정지 약 12시간 42분 후 종료 |
| 5월 15일 종일 | 공식 사후 분석(post-mortem) 미공개 상태 유지 |
RootData·CoinDesk·The Block·Decrypt·AMBCrypto 다수 매체가 5월 15일 동시 보도했고 5월 16일 기준 공식 사후 분석은 아직 공개되지 않은 상태예요. 손실 규모도 보도에 따라 $7.4M~$10.8M 범위로 갈리는 중이에요.
공격자 지갑 — ZachXBT·PeckShield 추적
ZachXBT와 PeckShield 분석에 따른 공격자 지갑 자산은 다음과 같아요. 단 추적 시점에 따라 자산 이동이 일어났을 수 있어서 5월 16일 시점 잔액은 다를 수 있어요.
공격자 지갑 자산 (5월 15일 기준)
- ETH: 약 3,443 ETH (약 780만 달러)
- BTC: 약 36.85 BTC (약 297만 달러)
- BNB: 약 96.6 BNB (약 5.8만 달러)
- 총 추정 손실: 약 $10.7M~$10.8M
- 공격 대상 체인: BTC·ETH·BNB Chain·Base (4개)
- 공격자 지갑 수: 2개 식별
코인스텔레그램(Coinstelegram) 보도에 따르면 같은 프로토콜이 과거 북한 라자루스 그룹의 $175M 자금 세탁에 활용된 적이 있어요. 이번 공격이 같은 그룹 소행인지는 5월 16일 기준 확인되지 않았어요. 일반적으로 공격자가 Tornado Cash·고래 지갑 분할 같은 방법으로 자금 이동을 시도하면 추적이 어려워져요.
투자 정보 안내
본 글은 미국 주식·ETF에 대한 객관 데이터·시뮬레이션 정보이며, 특정 종목 매수·매도 권유가 아닙니다. 환율·세금·시장 변동 리스크가 있어 본인 판단과 전문가 상담 후 결정하세요.
RUNE 토큰 영향 — -12% 급락
RUNE 토큰은 5월 15일 -11~12% 급락했고 시가총액·거래량·온체인 지표 모두 충격을 받았어요.
RUNE 토큰 영향 (5월 15일~16일 기준)
| 지표 | 5월 14일 | 5월 15일 | 변화 |
|---|---|---|---|
| RUNE 가격 (USD) | 약 $1.85 | 약 $1.63 | -12% |
| 시가총액 | 약 6.2억 달러 | 약 5.5억 달러 | -11% |
| 24시간 거래량 | 약 7,200만 달러 | 약 2.1억 달러 | +192% (패닉 매도) |
| 스왑 거래량 | 평소 수준 | 거래 중단 | 일시 0 |
RUNE 가격은 -12% 급락 후 약 $1.63 수준에서 안정화됐고 단기 추가 하락은 제한적이었어요. 단 시가총액·온체인 활동량 측면에서 회복까지는 시간이 걸릴 전망이에요. 5월 16일 기준 공식 사후 분석·보상 계획·취약점 패치 발표 여부에 따라 단기 가격 흐름이 결정될 거예요.
크로스체인 브릿지 — 누적 손실 28억 달러
이번 Thorchain 사건은 단일 사례가 아니에요. 크로스체인 브릿지·유동성 프로토콜은 DeFi에서 가장 자주 익스플로잇 당하는 카테고리예요.
주요 크로스체인 브릿지 익스플로잇 (2021년 이후)
- 2021년 8월: Poly Network — $611M (일부 회수)
- 2022년 2월: Wormhole — $325M (Jump Crypto 보상)
- 2022년 3월: Ronin Bridge (Axie) — $625M (북한 라자루스)
- 2022년 6월: Harmony Horizon — $100M
- 2022년 8월: Nomad — $190M
- 2023년 7월: Multichain — $126M
- 2024년: 다수 소규모 사건 누적
- 2026년 5월 15일: Thorchain — $10.7M
2021년 이후 크로스체인 브릿지 익스플로잇 누적 손실은 약 28억 달러를 넘어요. DeFi 전체 익스플로잇 카테고리 중 가장 큰 비중이고 단일 체인 프로토콜보다 공격 표면적이 크다는 게 일반적 진단이에요.
브릿지가 자주 공격받는 이유
브릿지·크로스체인 프로토콜이 자주 공격받는 구조적 원인은 5가지로 정리돼요.
브릿지 취약 5대 원인
- 다중 체인 신뢰 가정: 각 체인의 검증 메커니즘이 다르고 합의 모델 차이에서 취약점 발생
- 락업 자산 집중: 브릿지 스마트 컨트랙트에 대량 자산 락업 → 단일 취약점 발견 시 대규모 손실
- 검증인 다중 서명 모델: 서명자 수가 적으면 키 탈취·내부자 공격 위험 (Ronin 사고)
- 고난도 코드: 다체인 동기화·증명 검증 로직이 복잡 → 감사에서 누락될 가능성 높음
- 느린 패치 대응: 익스플로잇 발견 시 다체인 동시 정지·롤백이 어려움
Thorchain은 합의 노드 다중 서명 + 자산 비축(THORNodes Bond) 구조를 쓰고 있어서 Ronin보다는 분산된 구조지만 여전히 다체인 동기화 복잡도라는 근본적 취약점은 남아 있어요. 5월 16일 공개 예정인 사후 분석에서 정확한 공격 벡터가 확인될 거예요.
일반 사용자 대응 — 5대 안전 수칙
크로스체인 브릿지 사용 시 일반 사용자가 적용할 수 있는 안전 수칙 5가지를 정리하면 다음과 같아요.
5대 안전 수칙
- 소액 분할: 한 번에 큰 금액 브릿지 사용 X. 소액 분할 + 시간 간격
- 공인 브릿지만: 공식 사이트·검증된 멀티시그·외부 감사 이력 확인
- 자산 분리 보관: 모든 자산을 한 체인·한 지갑에 두지 말고 분산
- 익스플로잇 알람 구독: PeckShield·ZachXBT·SlowMist 같은 보안 트래커 팔로우
- 장기 브릿지 회피: 단기 자금 이동만 브릿지 사용. 장기 보유 자산은 단일 체인 지갑·콜드월렛
특히 첫 번째와 다섯 번째 수칙이 핵심이에요. 5월 8일 발행한 Aave 스테이킹·Umbrella Safety Module 글에서 본 것처럼 DeFi 사용 시 위험 분산·소액 진입이 가장 기본적인 안전 원칙이에요.
투자 정보 안내
본 글은 미국 주식·ETF에 대한 객관 데이터·시뮬레이션 정보이며, 특정 종목 매수·매도 권유가 아닙니다. 환율·세금·시장 변동 리스크가 있어 본인 판단과 전문가 상담 후 결정하세요.
5월 16일 시점 추가 모니터링 포인트
5월 16일 시점에서 Thorchain 후속 상황을 모니터링할 포인트는 다음과 같아요.
모니터링 포인트
- 공식 사후 분석 (post-mortem): 공격 벡터·취약점·패치 일정 발표 시점
- 거래 재개 시점: 노드 일시 정지 해제 후 정상 운영 복귀 일정
- 보상 계획: 손실 사용자에 대한 보상 정책 여부 (Wormhole·Jump 사례 같은 백업 보상 가능성)
- 공격자 자금 추적: ZachXBT·PeckShield 후속 분석. Tornado Cash·믹서 사용 여부
- RUNE 토큰 회복: 단기 -12% 급락 후 회복 패턴 (Wormhole 사고 후 회복 사례 참고)
- 타 브릿지 영향: 같은 멀티체인 인프라 사용 프로토콜의 사전 점검 발표
크로스체인 브릿지 사고는 단일 사고로 끝나지 않고 비슷한 구조 프로토콜에 연쇄 우려를 만드는 경우가 많아요. Stargate·Wormhole·Across·LayerZero 같은 다른 크로스체인 인프라 프로토콜의 5월 16일~22일 사전 점검·외부 감사 발표가 함께 진행될 가능성이 있어요.
Thorchain — 다른 브릿지와의 구조 차이
Thorchain은 일반적 멀티시그 브릿지(Ronin·Wormhole)와 달리 노드 합의 + 자산 비축(Bond) + AMM 풀 모델을 결합한 독특한 구조예요. 5월 15일 사건은 이 구조의 어떤 부분에 취약점이 있었는지 사후 분석이 필요해요.
Thorchain 구조 핵심 4가지
- THORNodes: 99~120개 노드가 합의 검증. 각 노드는 자체 자본(Bond) 대비 1.5배까지 자산 보관 가능
- AMM 풀: 일반 멀티시그 브릿지와 달리 자산을 풀에 락업 → 양방향 스왑 처리
- RUNE 토큰: 모든 풀에 RUNE이 페어 자산으로 들어가서 가치 안정 메커니즘
- Mimir 거버넌스: 노드 합의로 즉시 거래·서명 중단 가능 (5/15 사고 시 발동)
Thorchain은 Ronin 사고 같은 "9명 중 5명 키 탈취" 식 공격에는 강하지만 노드 합의 알고리즘·스마트 컨트랙트 자체 취약점에는 노출될 수 있어요. 5월 15일 공격이 어느 영역의 취약점이었는지는 공식 사후 분석을 기다려야 해요.
DeFi·CeFi 안전 비교 — 어느 게 더 안전한가
DeFi 사고가 자주 발생한다고 해서 CeFi가 항상 더 안전한 건 아니에요. 두 환경 모두 다른 형태의 위험이 있어요.
DeFi vs CeFi 위험 비교
- DeFi 위험: 스마트 컨트랙트 익스플로잇·브릿지 해킹·러그풀·디페그
- CeFi 위험: 거래소 해킹·내부자 사기·자금 운용 실패·정책 동결·파산 (FTX·Mt.Gox)
- 연간 손실 비교 (2024 기준): DeFi 약 19억 달러·CeFi 약 11억 달러 (Chainalysis 추정)
- 회복 가능성: DeFi는 즉시 거래 중단 + 보상 정책 가능 / CeFi는 파산 시 회복까지 수년
- 사용자 통제: DeFi는 본인 키 통제 / CeFi는 거래소 보관
5월 8일 발행한 한국 거래소 보안 사고 글에서 본 것처럼 CEX 사고도 빈도가 적지 않아요. 위험 회피보다는 위험 분산이 핵심이고 자산을 한 환경(DeFi만, CEX만, 콜드월렛만)에 집중하지 않는 게 일반적 안전 원칙이에요.
자주 묻는 질문
Q: Thorchain은 사용해도 안전한가요?
A: 단정 답변은 어려워요. Thorchain은 5월 15일 익스플로잇 후 거래·서명 일시 정지 상태이며 5월 16일 시점 공식 사후 분석·취약점 패치는 미공개예요. 일반 사용자는 사후 분석·패치·외부 감사 결과 발표 이후 안전성을 자체 평가하는 게 권장돼요. 동시에 한 번 사고가 난 프로토콜은 보안 패치·거버넌스 개선이 진행돼도 신뢰 회복까지 시간이 걸리는 게 일반적 패턴이에요.
Q: RUNE 토큰을 보유 중인데 어떻게 해야 하나요?
A: 매매 결정은 본인 판단이에요. 일반적으로 익스플로잇 발생 시 시장 패닉 매도가 단기 과매도를 만들기도 하고 또는 추가 하락이 이어지기도 해요. 과거 Wormhole 사고 시 단기 -10~15% 급락 후 회복한 사례가 있지만 Ronin 사고 후에는 회복이 느렸어요. 단일 사례로 일반화하기 어렵고 본인 리스크 감내도·진입 단가·전체 포트폴리오 비중 기반 판단이 필요해요.
Q: 크로스체인 브릿지를 아예 안 쓰는 게 낫나요?
A: 단정하기 어려워요. 브릿지를 안 쓰면 단일 체인 안에서만 자산 이동이 가능해서 멀티체인 DeFi 활용·차익 거래·생태계 분산 같은 장점이 제한돼요. 단 위험 측면에서 누적 손실 28억 달러는 무시할 수 없는 규모예요. 일반 사용자는 소액 분할·공인 브릿지·짧은 시간 보유·즉시 이동 같은 안전 수칙으로 위험을 줄이는 게 일반적 접근이에요.
Q: 북한 라자루스 그룹이 이번 공격도 한 건가요?
A: 5월 16일 기준 확인되지 않았어요. Coinstelegram 보도에 따르면 Thorchain은 과거 라자루스 그룹의 $175M 자금 세탁에 활용된 적이 있지만 이번 공격이 같은 그룹 소행인지는 ZachXBT·SlowMist·외부 보안 업체 후속 분석이 필요해요. 일반적으로 공격자 지갑 자금 흐름·세탁 패턴·이전 사건과의 연관성으로 추정하지만 단정은 어려워요.
Q: DeFi에서 자산을 안전하게 운용하려면 어떻게 해야 하나요?
A: 다층 분산이 핵심이에요. 첫째, 한 프로토콜에 자산 집중 X. 둘째, CEX·DeFi·콜드월렛 3분할. 셋째, 새로 출시된 프로토콜은 소액 + 짧은 기간 테스트 후 비중 확대. 넷째, 외부 감사·버그 바운티·보안 이력 확인. 다섯째, PeckShield·SlowMist·ZachXBT 알람 구독. 5월 8일 발행한 Aave Umbrella·5월 9일 USDC 디페그 글 같은 DeFi 보안 시리즈도 같이 참고하세요.
참고 자료
- CoinDesk "Thorchain halts trading after $10 million cross-chain exploit" (2026-05-15)
- The Block "THORChain pauses trading as security researchers flag suspected $10M multi-chain exploit"
- Decrypt "THORChain's RUNE Token Plunges Double Digits After $10M Exploit"
- AMBCrypto "THORChain exploit hits Bitcoin, Ethereum, and BSC"
- Coinstelegram "THORChain Exploited for $10.7 Million Across Four Chains"
- ZachXBT X 분석·PeckShield Alert 트래커
면책
본 콘텐츠는 정보 제공 목적이며 특정 종목·프로토콜 매수·매도·이용 권유 글이 아니에요. Thorchain 사건은 5월 15일 발생 직후이며 공식 사후 분석·취약점 패치는 5월 16일 기준 미공개예요. 손실 규모·공격자 자금·후속 보상 정책은 추가 보도로 확인이 필요해요. 자본시장법·가상자산이용자보호법·금융소비자보호법에 따라 매매 결정과 손익은 본인 책임이에요. DeFi 사용 시 소액 분할·외부 감사 확인·콜드월렛 분산을 권장해요.
DeFi·NFT 카테고리 | Convex·Aura 일드 어그리게이터 비교 | USDC 디페그·USDT 안전성