Key Takeaways

- 최근 바이비트 해킹 사건과 하이퍼리퀴드 HLP 공격은 크립토 사용자가 CEX와 DEX 사이에서 마주하는 딜레마를 여실히 보여주었다: CEX는 사용자가 특정 기관이 담보하는 신뢰에 전적으로 의존해야 한다는 근본적인 한계를 가지며, DEX는 완전한 개방성으로 인해 기관 투자자나 일반 사용자를 포용하기에 구조적인 제한을 갖는다.

- 킨토는 보안 중심 레이어2로서, 체인 레벨에서 KYC를 의무화하고 계정 추상화를 구현한 전용 스마트 월렛만 사용 가능하게 하여 시빌 공격을 방지하고 기관 투자자의 규제 준수 프레임워크를 충족시킨다.

- 나아가 모듈형 DEX 전략을 채택한 킨토는 보안 중심의 아키텍처를 기반으로 하이퍼리퀴드, 에테나 등의 검증된 디파이 프로토콜과 통합하여 풍부한 유동성과 유저 베이스를 확보한다.

- 킨토의 이러한 접근 방식은 사용자 소유 KYC를 통해 프라이버시를 보호하면서도, 스마트 월렛의 편의 기능을 통해 사용자 경험을 향상시키고, 크로스체인 스왑 인프라로 다변화된 시장 기회를 제공함으로써 보안과 개방성의 균형을 맞춘 새로운 형태의 온체인 금융 시스템을 제시한다.

1. 거래소의 현주소: 접근성, 보안, 개방성의 불안한 균형

최근에 일어난 두 개의 큰 사건, 바이빗 해킹 사태와 하이퍼리퀴드 HLP 공격은 현재 크립토 사용자가 CEX와 DEX 사이에서 마주하는 딜레마를 여실히 보여준다. 그 딜레마는 크립토 유저들이 CEX와 DEX 중 어디에서도 안정적인 거래 환경을 보장받지 못한다는 것이다. 두 사건의 진상을 간단히 복기해보며 각 거래소 유형의 장단점과 가능한 대안책에 관해 고찰해본다.

1.1 바이비트 해킹 사건

2025년 2월 21일, 바이비트의 멀티시그 콜드 월렛과 핫 월렛 간에 정기적으로 자금을 이체하는 과정에서 해킹이 발생하였다는 소식이 전해졌다. 해당 해킹은 월렛 서명자들의 서명 인터페이스를 조작하여 정상적인 이체로 보이는 거래를 승인하도록 하는 소셜 엔지니어링 해킹 수법이었다. 피해액은 총합 약 14.6억 달러 규모의 ETH로 바이비트 ETH 보유고의 약 75%에 해당하는 금액이었으며, 이는 곧 크립토 역사상 최대 규모의 자산이 탈취된 해킹 사건으로 기록되었다.

Source: X(@benbybit)

해킹 소식이 알려지자마자 사용자들의 가장 큰 관심사는 무엇보다 바이비트 거래소의 출금 가능 여부였다. 실제로 해킹 발생 시점부터 10시간 이내로 바이비트에는 총 35만 건 이상의 출금 요청이 들어왔다. 바이비트가 서비스를 시작한 이래로 역대 최대 출금 건수에 해당하는 기록이었고, 이는 평소 거래량의 약 100배에 미치는 규모였다.

일순간에 쏟아진 출금 요청이 증명하듯, 사용자들은 자신의 자산을 온전히 돌려받지 못할 수도 있다는 불안감을 떨칠 수 없었다. 특히 바이낸스에 이어 두번째로 큰 점유율을 가진 거래소가 크립토 사상 최대 규모로 자산을 도난당했다는 사실에 전체 크립토 시장은 잠깐 동안의 경색을 피하기 어려웠다.

1.2 하이퍼리퀴드 HLP 공격

바이비트 해킹 사태가 어느 정도 마무리되어 가는 시점인 2025년 3월 12일에는 하이퍼리퀴드에서 비정상적인 거래가 포착되었다. 이어 커뮤니티에 전해진 소식은 하이퍼리퀴드의 공동 자금 풀인 HLP가 약 $400만 달러의 손실을 입었다는 것이었다. 그 원인은 한 트레이더가 하이퍼리퀴드 메커니즘의 허점을 파고든 공격이었다.

사건은 한 트레이더의 계산된 전략적 행동으로 시작되었다. 이 트레이더는 약 50배 레버리지를 활용하여 2억 달러(113,000 ETH)에 달하는 포지션을 구축했다. 큰 규모의 포지션에 비해 예치한 증거금은 상대적으로 매우 적은 $400만-$1,000만 달러 수준의 USDC에 불과했다. 이후 ETH의 가격이 상승하면서 해당 포지션이 수익을 발생시켰지만, 트레이더는 포지션을 완전히 정리하여 미실현 이익을 순이익으로 전환하는 대신 단계적으로 마진 증거금을 인출하였다.

인출을 통해 트레이더는 포지션을 정리하지 않고도 미리 순이익 일부를 실현할 수 있었으며, 동시에 유지 마진 비율을 의도적으로 낮출 수 있었다. 이러한 트레이더의 행동은 유지 증거금의 인출을 통해 순이익을 미리 획득하면서도 포지션이 더 쉽게 청산될 수 있는 상황을 의도적으로 조성한 전략이라고 해석할 수 있다.

Source: Hyperliquid Vault

마침내 ETH 가격이 청산 가격에 도달하자, 트레이더의 대규모 포지션은 강제 청산되었다. 이때 하이퍼리퀴드의 청산 엔진은 포지션을 정리하면서 발생하는 손실을 유동성 풀(HLP)이 흡수하도록 설계되었기 때문에, 트레이더는 시장에서 직접 포지션을 정리하지 않고도 슬리피지 없이 이익을 실현할 수 있었으며, 청산으로 인한 모든 손실을 HLP 공동 자금 풀에 전가할 수 있었다. 결과적으로 트레이더는 약 $180만 달러의 순이익을 얻었지만, HLP 금고는 약 $400만 달러의 손실을 입게 되었다.

1.3 CEX와 DEX 사건이 시사하는 바는?

1.3.1 바이비트 해킹: 당신의 월렛에 없다면 당신의 자산이 아니다(Not Your Keys, Not Your Coins)

적은 시간 간격을 두고 두차례 이어진 사건들을 통해 우리는 어떠한 시사점을 얻을 수 있을까? 먼저 CEX의 높은 접근성은 분명한 가치를 제공한다. 사용자는 CEX를 통해, 비교적 열악한 사용자 경험과 가파른 학습 곡선을 요구하는 온체인을 직접 거치지 않아도 크립토 자산을 쉽게 거래할 수 있다. 그러한 접근성으로부터의 이점은 잦은 대규모 해킹에도 불구하고 CEX가 여전히 높은 마켓 점유율을 유지하는 주요한 이유가 된다. 온체인 사용자가 점차 많아지고 있는 추세라지만, 여전히 CEX 대비 DEX 사용률이 20% 부근에서 더 이상의 진전을 내지 못하고 있는 상황은 CEX의 강력한 해자를 잘 설명해준다.

그럼에도 CEX는 사용자가 자신의 자산을 온전히 통제할 수 없다는 치명적인 한계를 갖는다. 사용자들의 자산을 중앙화된 주체가 관리하므로 자산이 불투명하게 운용되거나 해킹으로 인해 탈취될 위험을 항상 내포하고 있다.

특히, 바이비트 해킹이 소셜 엔지니어링 방식이었던 것처럼, CEX는 휴먼 에러에 취약한 단일 주체가 대규모 자산을 관리하는 구조이기 때문에 해커들의 주요 표적이 되기 쉽다. 실제로 CEX가 고객 자산을 무단으로 유용하거나 보안 취약점으로 인해 자산이 탈취당한 사례는 크립토 역사에서 수없이 발생해왔다.

결과적으로 '당신의 키가 아니면 당신의 코인도 아니다(Not Your Keys, Not Your Coins)'. 바이비트 해킹 사건은 CEX가 가진 신뢰 기반 모델의 불안정성을 다시금 뚜렷하게 보여주었다.

1.3.2 하이퍼리퀴드 HLP 공격: 디파이는 때로 잔혹한 경제적 게임이다.

하이퍼리퀴드 HLP 공격의 원인은 어떻게 해석해야 할까? 보안 기업 Three Sigma은, 해당 사건은 '버그나 탈취가 아닌 청산 메커니즘을 이용한 잔혹한 게임'이라고 설명한다. 디파이는 본질적으로 개방성(무허가성)을 기반으로 경제적 게임이 이루어지는 마켓으로, 누구나 투명하게 공개된 온체인 금융 시스템을 통해 시장 비효율을 포착하고 수익을 극대화할 수 있는 환경이다.

이러한 관점에서 하이퍼리퀴드 사례도 익명의 사용자가 디파이의 특성과 시스템 설계의 허점을 활용해 이익을 극대화한 행위로 볼 수 있다. 비록 공격을 목적으로 한 비정상적 거래를 완전히 옹호하기는 어려울 수 있지만, 이 사건은 디파이만이 제공할 수 있는 고유한 금융 환경의 특성을 명확히 보여주는 사례이기도 하다. 다시 말해, 하이퍼리퀴드 공격자는 디파이가 가진 개방적 특성을 최대한 활용했을 뿐이라고 보는 시각도 존재할 수 있는 것이다.

하지만 잠재적인 위험을 최소화하는데에 중점적인 니즈가 있는 투자자들이라면 과연 이러한 거래 환경을 선호할까? 예를 들어, 초보적인 사용자나 높은 수준의 보안을 필요로 하는 기관 투자자에게 ‘잔혹한 게임’이 이루어질 위험이 있는 디파이 환경은 적합하지 않을 수 있다. 즉, HLP 공격과 같이 프로토콜의 허점을 이용하여 공격하는 상황에서 초심자는 합리적으로 대처하기 어려우며, 더욱이 MEV나 유동성 파편화로 인한 브릿지 사용 혹은 가스비 또한 높은 진입 장벽으로 작용한다. 이러한 이유로 현재 디파이는 제한된 시장 참여자들만 사용하는 전문화된 자본 시장으로 축소되어 있다.

1.3.3 CEX와 DEX의 장단점으로부터 도출한 대안

요컨대 CEX와 DEX는 각각 고유한 장단점을 가지고 있다. CEX는 누구에게나 높은 접근성을 제공하지만 자신의 자산을 온전히 통제할 수 없다는 근본적인 한계를 갖는다. 반면, DEX는 비수탁 구조와 함께 개방적인 금융 환경을 제공하지만, DEX는 종종 온체인에 익숙하지 않은 사용자를 잔혹한 게임에 노출시킨다.

이렇게 CEX와 DEX 간의 명백한 장단점이 존재하는 상황에서, 온체인 금융을 한 단계 확장하기 위해서는 어떠한 접근이 필요할까? CEX 수준의 접근성을 제공하면서도 비수탁 구조로 온전히 자신의 자산을 관리할 수 있는 환경이 이에 대한 대안이 될 수 있다. 또한 완전한 수준의 개방성이나 탈중앙성을 부분적으로 낮추더라도, 보다 안전한 환경에 사용자는 더 큰 효용을 느낄 수 있다. 예를 들면, HLP에 막대한 손해를 입힐 위험이 있는 비정상적인 거래가 포착되었을 때, 프로토콜 레벨에서 임의로 그러한 거래를 제한하거나 거래자의 신원은 확인할 수 있는 정도의 보안 장치가 있는 것처럼 말이다.

거래소가 일반적으로 CEX와 DEX라는 양극단으로 분류되는 현시점에서, 이 두 극단이 만들어내는 패러다임 사이 어딘가에 위치한 절충안은 현재 크립토 시장에서 중요한 주제로 부상하고 있다. 온체인을 기반으로 사용자가 온전히 자산을 보유하면서도 접근성과 보안성, 그리고 개방성의 균형을 적절히 맞춘 설계가 바로 그것이다.

2. 킨토: 안전한 디파이 허브로서 대안적인 포지션

2.1 킨토란 무엇인가?

킨토는 이러한 흐름 속에서 디파이의 핵심 가치인 개방성은 그대로 유지하되 보안과 사용자 경험을 최우선으로 설계된 온체인 금융 인프라로써 새롭게 등장하였다.

킨토는 기본적으로 아비트럼의 니트로(Nitro) 스택을 활용하여 구축된 옵티미스틱 롤업 기반의 이더리움 레이어2이다. 셀레스티아 네트워크와 연동하여 데이터 가용성을 확보하고 이더리움 메인넷을 통해 정산하여 거래의 최종성을 얻는다. 시퀀서는 향후 에스프레소를 통해 탈중앙화 시퀀서로 전환하는 계획을 갖고있다.

여기까지는 전형적으로 모듈형 아키텍처를 갖추고 있는 이더리움 레이어2처럼 보이지만, 킨토의 핵심적인 차별점은 보안 중심 레이어2라는 구조에서 찾아볼 수 있다. 킨토의 핵심에는 체인 레벨에서 KYC·AML 인증 절차를 내장하는 설계가 있다. 후에 자세히 살펴보겠지만, 킨토 레이어2에서 거래하려는 모든 사용자는 KYC·AML 인증을 반드시 완료해야 하며, ERC-4337 표준으로 계정 추상화를 구현한 킨토 전용 월렛으로만 거래가 가능하다. 또한 킨토는 여타 레이어2처럼 자체적으로 유동성을 확보하는 것에 주력하지 않고 기존의 디파이 프로토콜과 긴밀하게 결합한다.

포필러스 텔레그램에서 최신 리서치 자료를 받아보세요!

https://t.me/FourPillarsFP