알레피움 교차체인 다리, 7분 만에 81만 5천 달러 증발…백엔드 결함이 원인

2026년 5월 31일(현지시각) 알레피움의 교차체인 다리가 백엔드 오프체인 인증로직 결함으로 7분 만에 81만 5천 달러 상당 암호화폐가 탈취됐고, ALPH 토큰 시장도 급락하는 혼란이 이어졌다. 온체인 스마트컨트랙트가 아닌 오프체인 인증 예외처리 오류가 핵심 원인으로 드러나면서, 교차체인 다리 아키텍처의 구조적 취약성이 재확인됐다.

31일(현지시각) The Block에 따르면, 알레피움의 이더리움 및 BNB 교차체인 다리에서 오프체인 백엔드 인증로직 취약점이 발생해 피싱과 위조 트랜잭션 발행이 감지됐다. Cryptopolitan은 해커가 7분 만에 위조된 ‘Verified Action Approvals(VAA)’를 기반으로 13,760,000 WRAPPED ALPH를 신규 발행했고, USDT, USDC, WETH, WBTC 등 81만 5천 달러 상당 자산을 탈취했다고 보도했다. Blockaid 공식 X 계정에 따르면 탈취 자금 일부는 이더리움, BNB 체인을 통해 토네이도캐시로 즉각 세탁됐다.

초기 분석은 보안업체 Blockaid가 교차체인 다리의 다중서명 가디언키 중 3개가 해킹돼 위조 트랜잭션이 통과됐다고 밝혔으나, 알레피움 공식 발표에서는 오프체인 로직의 예외처리 오류가 결정적 원인임을 확인했다. 온체인 스마트컨트랙트에는 결함이 없었고, 오프체인 인증과 예외 상황 처리 미비가 해커의 진입 포인트가 됐다. 즉, 인증되지 않은 위조 트랜잭션이 정상 검증 없이 다리를 통과하는 구조적 약점이 드러났다.

알레피움은 즉각 체인 다리를 셧다운하고 모든 유동성 공급자에게 "즉시 유동성 인출"을 공지했다. Blockaid 공식 X 계정과 온체인 데이터 분석가 Specter의 분석에 따르면 빼돌린 자금 상당 부분이 이더리움 메인넷을 통해 토네이도캐시로 세탁된 것으로 확인됐다.

DefiLlama 데이터에 따르면 알레피움 프로토콜 총예치자산(TVL)은 75만 6천 달러, 브릿지 TVL은 30만 8천 달러로 집계되어 ALPH 유동성이 급격히 위축됐다. 사건 전보다 많은 위조 WRAPPED ALPH가 발행됨에 따라 다리 관련 자산은 극심한 신뢰 저하와 가격 급락세를 보이고 있다.

2026년 들어 Verus-Ethereum(5월 18일), Gravity Bridge(5월 30일), THORChain(5월 15일) 등 연속적으로 교차체인 다리 해킹이 발생했다. 1~5월 누적 피해액은 3억 2,600만 달러에 달한다. 교차체인 다리류는 DeFi 전체 해킹 피해의 19%를 차지하는 구조적 약점으로, 오프체인 인증 및 예외처리 미비와 권한 관리 오류가 반복적으로 노출되고 있다. 알레피움 해킹 역시 온체인 검증만으로 원천적 보안 확보가 어렵고, 오프체인 신뢰구간 집중이 시스템적 한계로 다시 부각됐다.

알레피움은 6월 첫주 내 추가 해킹 원인 분석과 피해 보상, 다리 재설계 방안 등을 공식 채널을 통해 안내할 예정임을 밝혔다.

사건 직후 시장에서는 교차체인 다리의 신뢰 하락과 ALPH 토큰 가격 급락, 유동성 위축이 즉각적으로 나타나며, DeFi 업계 전체에 백엔드 구조적 위험 경계령이 강화되고 있다.