솔라나 최대 탈중앙화 거래소가 한 주 내내 해명에 나섰다. 자체 발표 기준으로 단 하나의 활성 유저 포지션도 건드리지 않은 손실이었다. 탈취된 자금은 전부 Raydium이 2021년에 폐기한 코드에서 나왔다.
어떤 풀에서 무엇이 빠져나갔나
Raydium은 2026년 6월 10일, 공격자가 은퇴한 AMM V3 프로그램에 연결된 5개의 deprecated 유동성 풀을 탈취하면서 약 134만 달러의 피해를 입은 것으로 알려졌다 . 프로젝트 측이 인용한 초기 검토에 따르면 탈취 금액은 RAY 150,177개, SOL 5,603개, USDC 893,700개에 달한다 . 현재 운영 중인 풀은 아무런 영향을 받지 않았다.
한눈에 보기: 공격자는 Raydium이 2021년에 폐기한 Serum 시대 풀 5개에서 RAY 150,177개, SOL 5,603개, USDC 893,700개 — 합계 약 134만 달러 — 를 탈취한 것으로 알려졌다. 현재 운영 중인 CLMM 및 AMM V4 포지션은 피해가 없었다. 발행 시점 기준으로 이 수치는 크립토 미디어 전반에 광범위하게 보도되었으나, 온체인 1차 데이터베이스에서의 공식 확인은 아직 이루어지지 않았다.
| 탈취 자산 | 보고된 수량 |
|---|---|
| RAY | 150,177 |
| SOL | 5,603 |
| USDC | 893,700 |
| 합산 가치 | ~134만 달러 |
5개 풀 — Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY, RAY-SOL — 은 모두 레거시 AMM V3 프로그램의 Serum 시대 잔재로, 2021년에 단계적으로 폐기되어 현재 인터페이스에서는 접근 자체가 불가능하다 . Raydium 측은 최신 CLMM 및 AMM V4 인프라는 전혀 손상되지 않았다고 밝혔으며, 7억 7,715만 달러의 TVL과 일일 DEX 거래량 1억 4,842만 달러는 피해를 입지 않은 프로그램을 통해 정상 처리되고 있다 .
한 가지 주의할 점이 있다. 발행 시점 기준으로 134만 달러 수치는 크립토 미디어의 2차 보도에 근거한다 . DefiLlama의 해킹 데이터베이스와 Raydium의 공식 변경 이력에는 2026년 6월 익스플로잇이 아직 기록되지 않은 상태다 . 트랜잭션 해시 및 피해 프로그램 ID 등 1차 확인은 아직 이루어지지 않았다.
죽은 코드가 공격자의 출금 우회를 어떻게 허용했나
보고된 근본 원인은 명확하다. Raydium의 퇴역 AMM V3 프로그램 내 유동성 공급자(LP) 민트 검증 로직의 결함이다 . 해당 프로그램은 LP 민트 주소를 올바르게 검증하지 않아, 공격자가 위조 민트를 제공해 기초 자산의 계산 및 출금 방식을 규율하는 비례 제어 장치를 우회할 수 있었다.
Raydium의 인용된 설명에 따르면, "프로그램이 LP 민트 주소를 제대로 검증하지 않아 공격자가 새 민트를 생성하고 이를 LP 토큰으로 사용함으로써 의도된 비례 검사를 우회할 수 있었다" . 위조 민트를 대입함으로써 공격자는 정상적인 포지션에서 허용되는 한도를 훨씬 초과해 출금할 수 있었다.
결정적으로, 이는 죽은 코드에 국한된 취약점으로 보고되었다. Raydium의 내부 검토에서는 관리자 키 탈취, 오라클 조작, 프로그램 권한 문제 등을 원인에서 배제하고, 버그를 라이브 계약이 아닌 deprecated AMM V3 경로로 한정 지었다 . 이 구분이 피해 범위를 최소화한 핵심 요인이다.
이 실패 유형은 이미 문서화된 솔라나 리스크 분류와 일치한다. 2026년 3월에 발표된 심볼릭 실행 연구는 바이트코드 전용 솔라나 계약 8,714개를 분석해 그 중 467개에서 잠재적 버그를 식별했으며, 키·민트 검증 누락, 서명자 확인 누락, 임의 크로스 프로그램 호출이 반복 실패 유형으로 지목되었다 . 민트 검증 누락은 이번에 보고된 취약점과 정확히 일치하는 항목이다.
타임라인도 이를 뒷받침한다. 침해는 2026년 6월 10일 GMT+1 오후 3시경 온체인 조사자 "Specter"가 처음 포착한 것으로 알려졌으며, 보안 업체 PeckShield가 곧이어 독립적으로 공격자의 자금 흐름을 추적했다 . 독립적인 추적이 중요한 이유는 프로토콜 공식 사후 분석이 나오기 전에 증거 흔적을 확보해 두기 때문이다.
자금 흐름 추적: KuCoin 자금 조달, Solana→Ethereum 브릿지, 그리고 810 ETH의 토네이도 캐시 유입
공격자의 자금은 전형적인 자금 세탁 경로를 따랐다. 분석가들은 해당 지갑의 출처가 공격 전 자금을 조달한 KuCoin 거래소임을 추적했으며, 이후 탈취한 자산이 Solana에서 Ethereum으로 브릿지된 뒤 프라이버시 믹서로 사라지는 과정을 지켜봤다 . PeckShield를 비롯한 온체인 조사 기관들은 사건이 수면 위로 드러난 직후 자금 흐름을 도식화했다.
보고된 경로를 단계별로 정리하면 다음과 같다:
- 자금 조달: 공격에 사용된 지갑은 KuCoin을 통해 초기 자금이 공급됐다 .
- 브릿징: 출금 후 수익금은 Solana에서 Ethereum으로 이동했다 .
- 믹싱: 약 810 ETH가 토네이도 캐시를 통해 세탁됐으며, 소량인 약 7 ETH는 FixedFloat 스왑 서비스로 전송됐다 .
이 KuCoin→토네이도 캐시 경로는 DeFi 익스플로잇에서 반복적으로 나타나는 난독화 패턴으로, 새로운 수법이 아니다. 이 예측 가능성은 양면으로 작용한다. 믹싱은 추적을 어렵게 만들지만, 중앙화된 자금 조달 출처라는 점이 중요하다. 지갑이 탈취 이전에 규제를 받는 거래소를 거쳤기 때문에, KuCoin의 KYC(고객 신원 확인) 기록이 수사관들에게 신원 특정의 근거가 될 수 있다.
피해 사용자 입장에서는 금전적 결과가 더 직접적이다. Raydium은 피해를 입은 유동성 공급자들에게 현재 사용자나 활성 풀 참여자에게 손실을 분산시키는 대신, 재무부 자금으로 전액 환불을 약속한 것으로 전해진다 . 이 방식에 따르면 프로토콜이 약 134만 달러의 손실을 재무부 차원에서 흡수하게 되며, 최신 CLMM 및 신형 AMM 풀의 보유자들은 영향을 받지 않는다 .
주목해야 할 사항: 온체인 확인, 재무부 지급 일정, 레거시 코드 감사 범위
지금 가장 중요한 신호는 공식적인 1차 확인이다. 조사 시점 기준으로 Raydium의 공식 사후 분석 보고서는 피해 프로그램 ID, 풀 계정, 볼트 주소, 트랜잭션 해시 등을 명시하지 않았으며, DefiLlama의 Raydium 페이지도 여전히 과거 해킹 1건만 기재하고 있었다 . 최신 변경 이력 항목 역시 긴급 패치가 아닌 2026-05-18의 CLMM 업데이트로 남아 있었다 . 중대 사고 직후 데이터베이스 반영이 지연되는 것은 흔한 일이므로, 해당 공백은 문서화 지연으로 봐야지 반증으로 해석해선 안 된다. 다만 134만 달러라는 수치는 온체인 증거가 인덱싱될 때까지 '보고된 미확인 수치'로 간주해야 한다.
앞으로 며칠간 주목해야 할 네 가지 지표는 다음과 같다:
- 트랜잭션 경로 명시. Raydium 자체 가이드에 따르면 신뢰할 수 있는 익스플로잇 보고서는 프로그램 ID, 풀 계정, 볼트, 트랜잭션 해시, 근본 원인 유형을 명시해야 한다 . 이들이 공개되기 전까지 주장은 2차 보도에 의존한다.
- 감사 범위 및 일정. Raydium은 AMM V3 취약점처럼 LP 민트 검증 누락 여부를 전체 메인넷 프로그램 대상으로 검토하겠다고 약속한 것으로 전해진다 . 범위도 일정도 공개되지 않은 상태이며, 문서화되지 않은 레거시 코드의 방대함이 핵심 잠재 리스크다.
- Immunefi 버그 바운티. Raydium의 프로그램(PoC 필수, 최대 50만 5천 달러)은 보고된 익스플로잇 당일인 2026년 6월 10일에 마지막으로 업데이트됐다 . 이 수정이 일상적인 작업일 수도 있지만, 새로운 치명적 취약점 제보가 접수됐다면 더욱 주목할 필요가 있다.
- 재무부 지갑 이동. 재무부에서 온체인으로 확인된 환불이 이루어진다면, 프로토콜이 손실을 실제로 흡수했음을 증명하게 된다.
이 환불 선례는 충분히 살펴볼 가치가 있다. Raydium이 2022년 12월에 겪은 사고 — 프로그램 버그가 아닌 풀 소유자 키 탈취 — 에 대응해 멀티시그 마이그레이션과 운영 통제 강화로 답한 전례가 있기 때문이다 . Raydium 문서에서 밝히고 있듯, "프로그램 ID 불일치는 Solana에서 자금을 잃는 가장 쉬운 방법 중 하나다" — Raydium, 프로그램 주소 참조 (source: Raydium Docs). 핵심 시사점: 달러 규모는 작고 국지적이지만, 아직 검증되지 않았다. 트레이더들이 주시해야 할 것은 헤드라인 수치가 아니라 공식 확인 여부다.
자주 묻는 질문
2026년 6월 익스플로잇으로 활성 Raydium CLMM 또는 AMM V4 유동성 포지션이 영향을 받았나요?
아니요. Raydium의 초기 검토에 따르면, 폐기된 AMM V3 풀 다섯 개 — Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY, RAY-SOL — 만이 탈취되었으며, 이 풀들은 모두 2021년 이후 은퇴한 Serum 시대의 풀로 현재 인터페이스에서는 더 이상 접근할 수 없습니다 . 현재 운영 중인 집중 유동성 시장 조성자(CLMM) 및 AMM V4 포지션은 피해를 입지 않은 것으로 보고되었으며, 이 때문에 손실이 약 134만 달러 수준에 머물렀습니다 .
LP 민트 검증 결함이란 무엇이며, 솔라나에서 왜 위험한가요?
LP 민트 검증 결함은 프로그램이 유동성 공급자 토큰의 민트 주소가 유효한지 확인하지 못하는 논리 버그입니다. Raydium은 해당 프로그램이 "LP 민트 주소를 제대로 검증하지 않았다"고 밝힌 것으로 알려지며, 이로 인해 공격자는 가짜 민트를 생성해 LP 토큰으로 제시하고 출금을 제어하는 비율 검사를 우회할 수 있었습니다 . 솔라나에서 키 및 민트 검사 누락은 반복적으로 문서화된 취약점 유형으로, 2026년 3월 8,714개 컨트랙트를 대상으로 한 연구에서 467개에서 잠재적 버그가 발견되었습니다 .
피해를 입은 유동성 공급자들은 환불받을 수 있나요?
Raydium은 자체 트레저리에서 전액 환불을 약속한 것으로 알려지며, 이는 손실이 현재 사용자에게 전가되지 않고 프로토콜 수준에서 흡수됨을 의미합니다 . 구체적인 지급 일정은 공개되지 않았습니다. 프로토콜은 또한 유사한 검증 허점이 있는 다른 레거시 코드 경로를 찾기 위해 모든 메인넷 프로그램에 대한 보안 검토를 발표했습니다 .
2022년 12월 Raydium 해킹과 어떻게 다른가요?
이는 완전히 다른 공격 유형입니다. 2022년 12월 사건은 풀 소유자 개인 키 유출로 인한 것으로, 운영상의 키 관리 실패였으며 Raydium은 멀티시그 마이그레이션과 운영 통제 강화로 이를 해결했습니다 . 2026년 6월 익스플로잇은 폐기된 AMM V3 코드의 프로그램 논리 버그로, Raydium의 검토 결과 어드민 키 탈취, 오라클 조작, 프로그램 권한 문제는 모두 배제된 것으로 알려졌습니다 .
Raydium 공식 문서나 DefiLlama가 아직 익스플로잇을 확인하지 않은 이유는 무엇인가요?
DeFi 사건이 터진 직후 몇 시간 동안 데이터베이스와 문서가 업데이트되지 않는 것은 일반적인 현상입니다. 조사 시점 기준으로 최신 체인지로그 항목은 긴급 패치가 아닌 2026-05-18 CLMM 업데이트였으며 , DefiLlama의 Raydium 페이지에는 여전히 과거 해킹 사례 하나만 기재되어 있었습니다 . 1차 확인에는 일반적으로 트랜잭션 해시와 프로그램 ID가 명시된 사후 분석 보고서가 필요하므로, 134만 달러 수치는 해당 출처가 업데이트될 때까지 보고된 미확인 정보로 취급해야 합니다.
