H

하이퍼리퀴드 해킹당한 적 있나? 안전성과 막아낸 방어 사례 (2026)

하이퍼리퀴드가 해킹당한 적 있는지, 어떻게 방어하는지 한국어로 정리. 출금 락업·검증인 실시간 모니터링이라는 방어 구조와 JELLY 조작 사건·북한 Lazarus 프로빙을 실제로 막아낸 과정까지. 한계와 비판도 솔직하게.

최종 업데이트 2026-06-21

하이퍼리퀴드는 지금까지 자금이 탈취당한 '해킹'은 없었습니다.

대신 두 번의 큰 위기 — 메모코인 JELLY 시세 조작(2025년 3월)과 북한 Lazarus로 의심되는 계정의 프로빙(2024년 12월) — 을 겪었고, 둘 다 막아냈습니다.

핵심은 두 가지입니다: 출금을 일부러 늦추는 '락업·딜레이'와, 검증인의 실시간 모니터링·온체인 대응.

이 글은 그 구조와 실제 사례, 그리고 한계까지 정리합니다.

자금 탈취 해킹 0건 위기 2회(JELLY·북한 프로빙) — 전부 방어 락업·딜레이시간 방어막 검증인 감시실시간 모니터링 온체인 대응투표 동결

한눈에 요약 — 해킹·안전성

유저들이 궁금한 것
해킹당한 적 있나?자금 탈취형 해킹은 없었음(작성 시점). 단, 시세 조작·프로빙 위기 2건을 겪고 둘 다 방어.
어떻게 막나?① 출금 락업·딜레이(브리지 ~200초·HLP 4일·스테이킹 7일) ② 검증인 실시간 모니터링 + 온체인 투표.
막아낸 사례는?JELLY 조작(2025-03, 검증인 2분 내 델리스팅·유저 전액 보상) / 북한 Lazarus 프로빙(2024-12, 자금 무손실).
그럼 안전한가?'완전 안전'은 없음. 검증인 수가 적고 개입이 중앙적이라는 비판도 공존. 셀프커스터디 보안은 본인 몫.

아래에서 방어 구조 → 실제 사건 → 한계 순으로 풀어 설명합니다.

방어의 핵심 — 출금을 '일부러' 늦춘다

해킹 방어에서 가장 강력한 무기는 의외로 단순합니다. 탈취한 자금이 빠져나가는 데 시간이 걸리게 만드는 것이죠.

그 사이에 사람(검증인)이 개입할 시간이 생깁니다. 하이퍼리퀴드는 자금이 머무는 단계마다 서로 다른 '락업·딜레이'를 둡니다.

브리지 출금~200초 분쟁기간+ 검증인 2/3 서명 HLP 금고입금 후 4일 락업출금 즉시 불가 스테이킹언스테이킹 7일+ 위임 1일 락업 ⏱ 시간을 벌면 → 사람(검증인)이 의심 자금을 막을 수 있다 검증인 실시간 모니터링 · 온체인 동결/무효화lockers가 브리지 동결, coldValidatorSet이 의심 출금 무효화 가능

특히 브리지(Arbitrum ↔ 하이퍼리퀴드 자금 통로)가 핵심입니다. 출금하려면 검증인 지분의 2/3 이상이 콜드월렛으로 서명해야 하고, 그 전에 약 200초의 '분쟁 기간'이 있습니다.

이 시간 동안 'lockers' 권한이 브리지를 통째로 동결하거나, 'coldValidatorSet'이 의심스러운 출금을 무효화할 수 있습니다. 즉, 키가 일부 뚫려도 자금이 한 번에 빠져나가지 못하게 설계돼 있습니다.

출금 요청L1 잔고 소각 ~200초 분쟁기간lockers → 브리지 동결coldValidatorSet → 무효화 검증인 2/3 서명콜드월렛 co-sign(지분 가중) 출금확정 의심 출금은 분쟁기간 안에서 차단 → 통과한 것만 검증인 서명으로 최종 확정

핵심. 락업·딜레이는 사용자에겐 '불편'이지만, 보안 관점에선 해커가 훔쳐도 곧바로 도망치지 못하게 하는 시간 방어막입니다. HLP 4일·스테이킹 7일도 같은 원리예요.

실제로 막아낸 사례 2가지

2024.12북한 Lazarus 프로빙자금 무손실 2025.03JELLY 시세 조작2분 내 델리스팅·전액 보상

① JELLY 시세 조작 (2025년 3월 26일)

한 트레이더가 메모코인 JELLY로 하이퍼리퀴드의 유동성 금고(HLP)를 노렸습니다.

새 계정 여러 개로 JELLY 무기한 선물에 양방향 포지션을 깐 뒤, 본인 숏이 청산되도록 유도해 HLP가 강제로 큰 숏 포지션을 떠안게 만들었죠.

그리고 현물 시장에서 JELLY를 마구 사들여 가격을 끌어올렸습니다. 그 결과 HLP의 미실현 손실이 한때 약 1,350만 달러까지 불어났습니다.

① 양방향 포지션새 계정 여러 개 ② 본인 숏 청산HLP가 숏 떠안음 ③ 현물 펌핑JELLY 가격 끌어올림 HLP 미실현 손실≈ $13.5M 검증인 대응2분 내 온체인델리스팅·정산 차단

대응은 빨랐습니다. 검증인들이 모여 온체인 투표로 약 2분 만에 JELLY 무기한 선물을 델리스팅하고, 모든 포지션을 개시가($0.0095)에 정산했습니다.

이후 하이퍼 재단이 JELLY 롱 보유자들을 유리한 종가($0.037555)로 전액 보상(악성으로 표시된 주소 제외)했습니다.

HLP의 큰 손실은 막았지만, 사건 중 HYPE 가격이 약 20% 급락했고 "운영진의 일방적 델리스팅"이라는 비판도 함께 받았습니다.

이 사건 후 하이퍼리퀴드는 재발 방지책을 도입했습니다: 검증인용 실시간 리스크 대시보드(포지션 위험을 보고 델리스팅 합의), 시가총액 연동 동적 미결제약정(OI) 한도, HLP 청산 전용 금고 상한, 그리고 포지션 크기에 따라 레버리지를 자동 조정하는 마진 티어(2025-05-22)입니다.

② 북한 Lazarus 프로빙 (2024년 12월)

2024년 12월, 보안 연구자 Tay Monahan이 "북한(DPRK) 연계 주소들이 하이퍼리퀴드를 테스트(프로빙)하고 있다"고 경고했습니다. "그들은 거래하러 오는 게 아니라 취약점을 찾으러 온다"는 취지였죠.

시장은 즉각 반응해 하루 출금이 한때 5억 달러를 넘었고, HYPE는 약 20% 빠졌습니다. 당시 검증인이 4곳 안팎에 불과하다는 점도 도마에 올랐습니다.

하지만 결과적으로 탈취된 자금은 없었습니다. 하이퍼리퀴드는 익스플로잇이나 자금 유출이 없었다고 공지했고, 정작 그 DPRK 연계 주소는 ETH 롱 베팅에서 오히려 약 45만 달러를 잃었습니다.

이 일을 계기로 하이퍼리퀴드는 검증인 수를 꾸준히 늘려(출범 초기 4곳 안팎 → 2026년 20곳 이상, 최근 27곳) 탈중앙화·분산을 강화했습니다.

~4출범 초기 16메인넷 212026.3 272026.5

검증인 실시간 모니터링이 왜 중요한가

락업·딜레이가 '시간'을 벌어준다면, 그 시간을 실제로 쓰는 주체가 검증인입니다.

하이퍼리퀴드의 검증인은 단순히 블록만 만드는 게 아니라, 위험 상황에서 온체인 투표로 자산을 델리스팅하거나 출금을 무효화할 수 있습니다. JELLY 사건의 '2분 델리스팅'이 가능했던 이유죠.

  • 온체인 델리스팅 투표 — 자산이 위험 임계치 아래로 떨어지면 검증인이 투표로 상장 폐지. JELLY 이후 완전 온체인화.
  • 리스크 메트릭 대시보드 — 포지션의 실시간 위험을 모두가 보고 합의에 활용.
  • 브리지 동결·출금 무효화 — lockers·coldValidatorSet 권한으로 의심 자금을 막을 수 있음.

한계와 비판도 알아두세요

방어가 통했다고 해서 위험이 사라진 건 아닙니다. 같은 구조가 비판의 대상이기도 합니다.

균형 있게 보기.
검증인 수가 여전히 적습니다 — 출범 초기 4곳 안팎에서 늘었지만 이더리움(수십만)과는 비교 불가. 소수 검증인의 담합·키 탈취 위험은 남아 있습니다.
'개입'이 양날의 검 — JELLY 델리스팅처럼 운영진/검증인이 시장에 개입하면 손실은 막지만, "탈중앙 거래소가 일방적으로 거래를 멈췄다"는 신뢰 문제가 생깁니다.
브리지는 늘 표적 — 분쟁기간 ~200초는 빠른 출금엔 장점이지만, 옵티미스틱 롤업(약 1주)보다 짧아 방어 시간이 촉박하다는 지적도 있습니다.

요컨대 하이퍼리퀴드는 "해킹을 원천 봉쇄하는" 시스템이 아니라, "터져도 자금이 빠지기 전에 막는" 시스템에 가깝습니다. 일반적인 투자·거래 위험(레버리지·규제·유동성)은 별도이니 단점과 위험 5가지를 함께 보세요.

그래서 내 자산은 안전한가? — 내가 할 일

플랫폼 방어와 별개로, 하이퍼리퀴드는 셀프 커스터디(자금이 내 지갑에 있음)라서 내 지갑 보안은 100% 내 책임입니다.

실제 개인 피해의 대부분은 플랫폼 해킹이 아니라 피싱·시드문구 유출에서 나옵니다.

  • 시드문구는 누구에게도 입력 금지 — 요구하는 화면은 전부 사기.
  • 공식 주소만 — app.hyperliquid.xyz 외 광고·DM 링크 의심.
  • 서명 내용 확인 — 예상 못 한 approve·출금 서명은 거부.

구체적인 7가지 수칙은 보안 가이드에서 확인하세요.

자주 묻는 질문

하이퍼리퀴드가 해킹당한 적 있나요?

작성 시점까지 자금이 탈취된 '해킹'은 없었습니다. 다만 2024년 12월 북한 Lazarus 의심 계정의 프로빙, 2025년 3월 JELLY 메모코인 시세 조작이라는 두 번의 큰 위기가 있었고 둘 다 방어했습니다. 자세한 경과는 본문을 참고하세요.

JELLY 사건이 뭔가요?

2025년 3월 26일, 한 트레이더가 JELLY 무기한 선물과 현물을 동시에 이용해 유동성 금고(HLP)에 손실을 떠넘기려 했습니다. HLP 미실현 손실이 한때 약 1,350만 달러까지 갔지만, 검증인이 약 2분 만에 온체인 투표로 델리스팅·정산했고 재단이 롱 보유자를 전액 보상했습니다.

북한 해커가 하이퍼리퀴드를 노렸다는데 돈이 빠져나갔나요?

아니요. 2024년 12월 출금이 급증하며 우려가 컸지만, 익스플로잇이나 자금 유출은 없었습니다. 해당 북한 연계 주소는 오히려 ETH 롱에서 약 45만 달러를 잃었습니다. 이 일을 계기로 검증인 수를 늘렸습니다.

출금이 왜 바로 안 되나요(락업)?

보안 설계입니다. 브리지 출금엔 약 200초 분쟁기간과 검증인 2/3 서명, HLP 금고는 입금 후 4일, 스테이킹은 언스테이킹 7일이 걸립니다. 이 '딜레이'가 해커가 자금을 곧바로 빼가지 못하게 막는 시간 방어막 역할을 합니다.

그래서 안전한 건가요, 위험한 건가요?

'완전히 안전한' 플랫폼은 없습니다. 하이퍼리퀴드는 위기를 막아낸 실적이 있지만, 검증인 수가 적고 개입이 중앙적이라는 비판도 공존합니다. 무엇보다 셀프커스터디라 내 지갑 보안은 본인 몫입니다. 소액·저배율로 시작하고 피싱을 경계하세요.

안전성을 이해했다면

소액·저배율로 직접 확인해 보세요

방어 구조와 위험을 이해한 상태에서, 사이트에서 거래 환경을 먼저 살펴보세요.

거래하기 →
외부에서 바로 가입하려면
제휴 링크로 가입 시 수수료 4% 영구 할인 →

※ 이 글은 정보 제공 목적이며 투자 권유가 아닙니다. 사건 경과·수치(손실액·검증인 수·락업 기간 등)는 공개된 자료를 바탕으로 작성 시점(2026-06-21) 기준으로 정리한 것이며, 정책·네트워크 상황에 따라 변동될 수 있습니다. 정확한 현재 조건은 공식 문서에서 확인하세요. 암호화폐는 원금 손실 위험이 있습니다.

아직 가입 전이라면?

제휴 링크로 가입 시 수수료 4% 영구 할인.

Hyperliquid 가입하고 수수료 4% 할인받기