솔라나 기반 디파이 애그리게이터 스텝 파이낸스가 솔라나플로어·리모라 마켓과 함께 즉시 효력의 전면 운영 중단을 결정했다고 밝혔다.

1월 말 약 3000만달러 유출 이후 복구 대안을 찾지 못했으며, STEP 바이백과 rToken 상환 절차를 준비 중이라고 전했다.

솔라나 디파이 애그리게이터 스텝 파이낸스, 해킹 후 ‘즉시’ 전면 셧다운 / TokenPost.ai

솔라나(SOL) 기반 디파이(DeFi) 애그리게이터 스텝 파이낸스(Step Finance)가 계열 프로젝트 솔라나플로어(SolanaFloor), 리모라 마켓(Remora Markets)과 함께 전면 운영 중단을 결정했다. 올해 초 발생한 대형 보안 사고 여파가 이어지면서, ‘복구 가능한 해법’이 더는 없다는 판단을 내린 것으로 풀이된다.

해킹 이후 1개월, ‘즉시’ 셧다운 결정

스텝 파이낸스 측은 X(옛 트위터)를 통해 즉시 효력의 셧다운 계획을 발표했다. 팀은 해킹 이후 자금 조달, 인수합병(M&A) 등 여러 선택지를 검토했지만, 결과적으로 실행 가능한 대안에 도달하지 못했다고 밝혔다. 이번 조치는 스텝 파이낸스뿐 아니라 미디어 성격의 솔라나플로어, 디파이 상품을 다루던 리모라 마켓까지 포함한 ‘전체 사업 종료’라는 점에서 시장 충격이 컸다.

약 3000만달러 유출…원인은 ‘임원진 기기’

사건은 1월 말 발생했다. 스텝 파이낸스의 솔라나 네트워크 지갑에서 약 3000만달러(약 433억8000만원, 1달러=1446원 기준) 규모 자산이 빠져나간 것으로 추정된다. 이후 공개된 내용에 따르면, 프로젝트 임원진 일부가 사용하던 기기가 침해된 정황이 핵심 원인으로 지목됐다.

해커는 해당 기기 접근을 통해 프라이빗 키를 노출시키거나, 내부 거래 승인 절차를 교란하는 악성코드를 활용했을 가능성이 제기됐다. 이 과정에서 공격자는 온체인에서 악성 트랜잭션을 ‘생성’하고 ‘승인’하는 흐름을 모두 통과시킨 것으로 보인다. 공격자는 약 26만1854솔라나(SOL)를 언스테이킹한 뒤 프로젝트가 통제하던 지갑에서 외부로 이체했고, 직후 스텝 파이낸스의 토큰 스텝(STEP)은 80% 이상 급락했다.

일부 자산 회수…STEP 바이백·rToken 상환 절차 준비

팀은 익스플로잇(취약점 악용)을 확인한 뒤 추가 피해를 막기 위해 플랫폼 일부 기능을 중단했다. 이후 리모라 관련 자산과 기타 보유분을 합쳐 약 470만달러(약 67억9620만원)를 회수했다고 알렸다.

셧다운 절차와 관련해 스텝 파이낸스는 해킹 발생 이전 시점의 스냅샷(특정 시점 보유 현황 기록)을 기준으로 스텝(STEP) 보유자를 위한 ‘바이백 프로그램’을 추진하고 있다고 밝혔다. 리모라 마켓은 rToken 보유자를 대상으로 ‘상환(redemption) 프로세스’를 준비 중이다. 다만 구체적인 일정, 재원 규모, 상환 방식 등은 추가 안내가 필요한 상황이다.

2025년 해킹·사기 피해 40억달러…사회공학 공격이 대세

이번 스텝 파이낸스 해킹은 2026년 1월 디파이(DeFi) 분야에서 손꼽히는 대형 사고로 분류된다. 더 큰 그림에서는 지난 1년간 크립토 보안 리스크가 가파르게 확산한 흐름과 맞물린다.

블록체인 보안업체 펙실드(PeckShield)에 따르면 2025년 한 해 동안 사기와 해킹으로 유출된 금액은 40억400만달러(약 5조7929억원)에 달했다. 이는 2024년 대비 약 34% 증가한 수준이다. 이 중 해킹 피해가 26억7000만달러(약 3조8598억원), 사기 피해가 13억7000만달러(약 1조9813억원)로 집계됐는데, 특히 사기 피해는 전년 대비 약 64% 늘었다.

펙실드는 공격 양상이 ‘순수 기술적 취약점 공략’에서 ‘사회공학 기반 표적 공격’으로 이동하고 있다고 분석했다. 중앙화 조직이나 고액 자산 보유자를 노리는 방식이 늘며, 건당 손실 규모가 커졌다는 의미다. 2025년에는 사기를 제외하고도 200건이 넘는 해킹 사례가 기록됐고, 2월에는 바이비트(Bybit)에서 발생한 15억1000만달러(약 2조1835억원) 규모 침해가 겹치며 피해가 집중된 달로 지목됐다.

스텝 파이낸스 셧다운은 솔라나(SOL) 생태계 디파이(DeFi)가 ‘성장 속도’만큼 ‘운영·보안 체계’가 중요하다는 점을 다시 확인시킨 사례로 남을 전망이다. 특히 개인 키 관리와 내부 승인 프로세스가 무너질 경우, 기술 스택이 견고해도 프로젝트 존속 자체가 위태로워질 수 있다는 경고로 읽힌다.

◆ “취약점이 아니라 ‘사람’이 뚫렸다… 디파이 리스크는 키 관리에서 시작된다”

스텝 파이낸스 사태가 던지는 핵심은 명확합니다. 코드 한 줄의 버그보다 더 치명적인 건, 임원진 기기 침해 같은 사회공학 기반 표적 공격이며, 이 경우 ‘프라이빗 키’와 ‘승인(Approval) 프로세스’가 무너지면 프로젝트 존속 자체가 끝날 수 있다는 사실입니다.

수익률만 보고 디파이를 쓰는 시대는 끝났습니다. 이제는 내 자산이 어떤 경로로 이동하고, 어떤 조건에서 청산·유출될 수 있는지 구조를 이해하는 사람이 시장에서 살아남습니다.

◆ “디파이, 제대로 배워야 지킨다” — 토큰포스트 아카데미 주목

대한민국 1등 블록체인 미디어 토큰포스트가 론칭한 토큰포스트 아카데미는, 해킹·사기 피해가 급증하는 환경에서 ‘감으로 쓰는 디파이’가 아니라 원리로 검증하고 리스크를 관리하는 디파이를 목표로 합니다.

특히 이번 사건처럼 키 유출·승인 절차 교란이 치명타가 되는 시장에서, 아카데미는 기초 보안부터 디파이 실전 운용까지 단계적으로 학습하도록 설계됐습니다.

• Phase 1: The Foundation (기초와 진입) — 디파이 이전에 반드시 필요한 지갑 보안을 먼저 다룹니다.

  Wallet security (IMPORTANT) ⚠️: 해킹당하지 않는 법(가장 중요)

  Hot wallets vs cold wallets: 핫월렛/콜드월렛 구분과 운용 원칙

  Using MetaMask: 지갑 실전 사용과 기본 점검

• Phase 5: The DeFi User (탈중앙화 금융) — “수익이 어디서 나오고, 어디서 터지는가”를 구조로 학습합니다.

  Lending & Borrowing (LTV, Liquidation): 담보비율(LTV)과 청산 리스크 관리

  Liquidity pools & Yield Farming: 유동성 공급 구조와 수익/손실 요인

  Divergence (Impermanent) Loss: 비영구적 손실 계산과 위험 통제(필수)

지금 시장은 “높은 APY”가 아니라, 내 키 관리·승인 구조·리스크 관리가 검증된 운용을 요구합니다. 사건이 터진 뒤 대응하는 투자자가 아니라, 사고가 나도 내 자산을 지킬 수 있는 투자자가 되세요.

토큰포스트 아카데미 수강 신청하기

커리큘럼: 기초부터 디파이, 선물옵션까지 7단계 마스터클래스

첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership

기사요약 by TokenPost.ai