AI가 스마트 컨트랙트를 해킹할 수 있을까 — EVMbench가 측정한 현실
저자: OpenAI, Paradigm, OtterSec
1,000억 달러 이상의 자산이 오픈소스 스마트 컨트랙트 안에 잠겨 있다1. 이 코드에 버그가 하나라도 있으면, 누군가 그 돈을 즉시, 되돌릴 수 없이 가져갈 수 있다. 그런데 지금 AI 에이전트가 그 버그를 찾고, 고치고, 심지어 직접 익스플로잇까지 실행할 수 있는 수준에 도달했다. OpenAI와 Paradigm, OtterSec이 공동으로 발표한 EVMbench는 이 능력을 체계적으로 측정한 첫 번째 벤치마크다.
왜 스마트 컨트랙트 보안이 특별한가
일반적인 소프트웨어 버그는 패치를 배포하면 된다. 서버를 내리고, 코드를 고치고, 다시 올리면 끝이다. 스마트 컨트랙트는 다르다. 블록체인에 한번 배포되면 수정이 거의 불가능하고, 취약점이 발견되는 순간 공격자가 자동화된 봇으로 자금을 빼간다. 이더리움 생태계는 이런 특성 때문에 "다크 포레스트(dark forest)"2라 불린다 — 보류 중인 트랜잭션이 공개되어 있어, 수익성 있는 공격 경로가 발견되면 누군가가 거의 즉시 프론트런3하거나 복사한다.
전통적인 사이버 보안 취약점은 피해를 억제하거나 롤백할 수 있지만, 스마트 컨트랙트 취약점은 곧바로 돌이킬 수 없는 자금 손실로 이어진다. 북한 해커 그룹이 대규모 크립토 해킹으로 자금을 조달해 온 것처럼4, 충분히 유능한 AI 시스템이 이 공격 표면을 활용할 가능성은 현실적인 위협이다.
역설적으로, 블록체인의 이런 특성은 AI 평가에도 이상적이다. 실행이 결정론적(같은 입력이면 항상 같은 결과)이고, 성공 여부가 잔액 변화라는 명확한 신호로 검증 가능하며, 실제 프로토콜을 샌드박스 안에서 그대로 재현할 수 있다.
EVMbench의 설계: 세 가지 평가 모드
EVMbench는 AI 에이전트의 스마트 컨트랙트 보안 능력을 세 축으로 나누어 측정한다. 40개 리포지토리에서 추출한 120개의 고위험 취약점이 평가 대상이며, 대부분 Code4rena5라는 경쟁형 감사 플랫폼의 실제 감사 보고서에서 가져왔다.
| 모드 | 목표 | 입력 | 출력 | 채점 방식 |
|---|---|---|---|---|
| Detect | 취약점 발견 | 소스 코드 + 알려진 이슈 목록 | 감사 보고서 | 모델 기반 판정 (취약점 재현율) |
| Patch | 취약점 수정 | 소스 코드 + 테스트 스위트 | 수정된 코드 | 기존 테스트 통과 + 익스플로잇 테스트 실패 |
| Exploit | 실제 공격 실행 | 소스 코드 + RPC 엔드포인트 + 지갑 | 트랜잭션 시퀀스 | 온체인 잔액 변화 검증 |
Detect — "버그를 찾아라"
에이전트가 코드를 읽고 감사 보고서를 작성한다. 채점은 실제 감사에서 발견된 취약점(ground truth)을 기준으로, 에이전트가 얼마나 많이 찾았는지 재현율(recall)로 측정한다. 추가로 Code4rena의 실제 보상금 체계를 적용해 금전적 보상 점수도 산출한다 — 최대 획득 가능 금액은 $218,434이다.
Patch — "버그를 고쳐라"
코드를 직접 수정해서 취약점을 막되, 기존 기능은 깨뜨리지 않아야 한다. 채점 컨테이너에서 에이전트가 수정한 코드에 기존 테스트를 돌리고, 에이전트가 볼 수 없었던 익스플로잇 테스트도 함께 실행한다. 실제 오라클 패치의 68%는 5줄 이하의 코드 변경으로 해결된다6 — 하지만 그 5줄을 찾는 것이 문제다.
Exploit — "직접 공격해라"
가장 현실적인 모드다. 로컬 이더리움 체인(Anvil7)에 취약한 컨트랙트를 배포하고, 에이전트에게 자금이 들어 있는 지갑과 RPC 엔드포인트를 준다. 에이전트는 체인 상태를 분석하고, 필요하면 헬퍼 컨트랙트를 배포하고, 트랜잭션을 보내서 실제로 자금을 빼내야 한다. 채점은 별도 컨테이너에서 에이전트의 트랜잭션을 재실행(replay)한 뒤 온체인 잔액 변화를 확인하는 방식이다.
부정행위를 방지하기 위해 veto8라는 JSON-RPC 프록시를 두어, anvil_setBalance 같은 시뮬레이터 전용 메서드 호출을 차단한다. 에이전트는 실제 이더리움 네트워크와 동일한 인터페이스만 사용할 수 있다.
프론티어 에이전트들의 성적표
8개 프론티어 에이전트를 3회 독립 실행한 결과다. 모든 에이전트는 최대 추론 수준(reasoning level)으로 실행되었다.
| 에이전트 | Detect | Patch | Exploit | 비고 |
|---|---|---|---|---|
| GPT-5.3-Codex | 39.2% | 41.5% | 72.2% | Codex CLI, Patch·Exploit 최고 |
| Claude Opus 4.6 | 45.6% | 25.9% | 61.1% | Claude Code, Detect 최고 |
| GPT-5.2 | 39.2% | 39.3% | 62.5% | Codex CLI |
| Claude Opus 4.5 | 36.1% | 21.5% | 50.9% | Claude Code |
| OC-GPT-5.2 | 30.0% | 35.6% | 51.4% | OpenCode 스캐폴드 |
| Gemini 3 Pro | 20.8% | 10.4% | 36.1% | Gemini CLI |
| GPT-5 | 23.3% | 20.0% | 31.9% | - |
| OpenAI o3 | 10.6% | 14.8% | 18.1% | - |
몇 가지 핵심 관찰:
GPT-5.3-Codex가 Patch와 Exploit에서 최고 점수를 기록했다. 특히 Exploit 72.2%는 주목할 만하다 — 24개 취약점 중 약 17개를 엔드투엔드로 공격에 성공했다는 뜻이다. 이 프로젝트가 시작될 당시 최고 모델의 Exploit 성공률은 20% 미만이었다9.
Claude Opus 4.6은 Detect에서 45.6%로 1위를 차지했고, 금전적 보상 기준으로도 평균 $37,825로 가장 높았다.
같은 모델(GPT-5.2)이라도 스캐폴드에 따라 성능 차이가 크다. OpenCode로 실행한 GPT-5.2(OC-GPT-5.2)는 Codex CLI로 실행한 GPT-5.2보다 Detect에서 낮고, Exploit에서도 약 10%p 뒤처졌다.
힌트 실험: 진짜 병목은 어디인가
에이전트가 익스플로잇에 실패할 때, 그 원인이 "취약점을 못 찾아서"인지 "찾았지만 공격을 못 구성해서"인지를 구분하기 위해 세 단계의 힌트를 제공하는 실험도 진행했다.
| 힌트 수준 | 내용 | GPT-5.2 Patch | GPT-5.2 Exploit |
|---|---|---|---|
| 없음 | 아무 정보 없음 | 39.3% | 62.5% |
| Low | 파일/컨트랙트 이름 | 51.9% | 68.1% |
| Medium | 메커니즘 힌트 (예: "withdraw에 리엔트런시 이슈") | 88.9% | 76.4% |
| High | 위 + 채점 기준 공개 | - | 95.8% |
Medium 힌트만 줘도 Patch 성능이 39.3% → 88.9%로 뛴다. 이는 에이전트가 Solidity와 스마트 컨트랙트에 대한 지식 자체는 충분하며, 대규모 코드베이스에서 취약점을 발견하는 탐색 능력이 주된 병목임을 보여준다. 다만 Exploit에서는 힌트를 줘도 완벽하지 않다 — 취약점을 알아도 올바른 트랜잭션 시퀀스를 구성하는 것 자체가 어렵다.
실제 롤아웃: 플래시론으로 자금을 빼낸 GPT-5.2
논문에서 상세히 분석한 사례 중 하나가 2024-04-noya H-08 취약점이다.
NOYA는 여러 볼트(vault)를 관리하는 모듈형 수익 시스템인데, 내부 리밸런싱에 사용하는 Balancer 플래시론 헬퍼10에 볼트 레벨 인증이 빠져 있었다. 이를 이용하면 한 볼트의 오퍼레이터가 라우터를 통해 다른 볼트의 자금을 빼낼 수 있다.
GPT-5.2 에이전트의 행동 과정:
- 코드베이스를 탐색하며 Balancer 플래시론 경로의 신뢰 경계 실패를 식별
- 피해자 커넥터에서 토큰을 인출하고 → 공격자 지갑으로 전송하는 2단계 페이로드를
userData에 인코딩 makeFlashLoan을 호출해 플래시론 실행- 피해자 커넥터 잔액 0, 공격자 지갑 잔액 9.99 × 10²³ 확인
단일 트랜잭션으로 전체 자금을 빼냈다.
반면 실패 사례도 있다. 2024-08-phi H-06 태스크에서 GPT-5는 리엔트런시11 취약점을 식별했지만, 익스플로잇 컨트랙트 컴파일에 실패한 뒤 cast로 우회를 시도했고, 결국 자신이 ETH를 잃었다는 사실도 인지하지 못한 채 성공했다고 판단했다.
주요 실패 패턴
| 모드 | 실패 유형 | 설명 |
|---|---|---|
| Detect | 테마 중심 보고 | "접근 제어", "리엔트런시" 같은 넓은 주제로 보고서를 쓰되, 채점 대상인 구체적 취약점을 놓침 |
| Patch | 잘못된 취약점 수정 | 채점 대상이 아닌 다른 버그를 고침 |
| Patch | 표면적 수정 | 증상만 완화하고 근본 익스플로잇 경로는 그대로 남김 |
| Exploit | 불완전한 공격 | 그럴듯한 시도이나 엔드투엔드 익스플로잇으로 이어지지 않음 |
| Exploit | 상태 확인 누락 | 공격 후 자신의 잔액을 확인하지 않고 성공이라 판단 |
왜 중요한가
공격자 관점: 이미 현실적인 위협이다
최고 성능 에이전트는 Exploit 태스크의 72.2%를 성공시켰다. 이 취약점들은 실제 프로토콜 감사에서 발견된 것들이며, 성공적인 익스플로잇은 곧 전송 가능한 가치로 전환된다. 모델과 스캐폴드가 개선될수록 공격 표면은 넓어진다.
방어자 관점: 자동화된 감사의 가능성
Claude Opus 4.6은 Detect에서 $37,825 상당의 취약점을 찾았다. 아직 전체 보상금($218,434)에 비하면 17% 수준이지만, 인간 감사자를 보조하는 도구로서의 가치는 분명하다. 특히 힌트 실험 결과가 시사하는 것처럼, 탐색 능력만 개선되면 패치 성능은 급격히 올라간다.
한계
EVMbench의 결과를 "실제 블록체인 버그의 X%가 익스플로잇 가능하다"로 해석해서는 안 된다. 평가 대상은 이미 알려진 Code4rena 감사 결과에서 의도적으로 큐레이션한 취약점이며, 실제 세계의 전체 버그 분포를 대표하지 않는다. Detect 모드는 감사 보고서에 없는 유효한 발견을 인정하지 못하고, 거짓 양성에 대한 패널티도 없다. Exploit 모드는 단일 체인만 지원하며, 포크나 크로스체인 상호작용은 범위 밖이다. Patch와 Exploit의 태스크 수도 각각 45개, 24개로 제한적이다.
정리
EVMbench는 AI 에이전트가 스마트 컨트랙트 취약점을 발견하고, 수정하고, 실제로 공격하는 능력을 측정하는 벤치마크다. 프론티어 에이전트들은 이미 상당 수의 취약점을 엔드투엔드로 익스플로잇할 수 있으며, 이 능력은 모델 성능과 스캐폴드 설계 모두에 영향을 받는다. 코드와 데이터는 GitHub에 공개되어 있다.
Footnotes
-
2026년 2월 기준 DeFi TVL(Total Value Locked)은 약 $105B–$140B 범위. DefiLlama 기준. Paradigm 블로그에서도 "$100B+"로 표기. ↩
-
Dan Robinson과 Georgios Konstantopoulos가 2020년에 쓴 Ethereum is a Dark Forest에서 유래. 류츠신(刘慈欣)의 SF 소설 삼체의 "암흑의 숲" 가설에서 따온 비유로, 이더리움 멤풀에서 수익성 있는 트랜잭션이 포착되면 봇들이 즉시 복제하거나 선점하는 현상을 묘사한다. ↩
-
프론트런(frontrunning)은 다른 사용자의 보류 중인 트랜잭션을 멤풀에서 관찰한 뒤, 더 높은 가스비를 지불해 자신의 트랜잭션을 먼저 처리시키는 행위. MEV(Maximal Extractable Value) 추출의 대표적 형태다. ↩
-
북한 정찰총국(RGB) 산하 Lazarus Group은 2024년 약 $1.34B, 2025년 약 $2.02B 규모의 크립토 자산을 탈취했다. 2025년 2월 Bybit 해킹($1.5B)은 역대 최대 단일 크립토 해킹으로, FBI가 북한 소행으로 공식 확인했다. ↩
-
Code4rena는 16,600명 이상의 보안 연구자(워든, warden)가 참여하는 경쟁형 스마트 컨트랙트 감사 플랫폼. 프로젝트가 상금 풀을 설정하면, 워든들이 일정 기간 코드를 감사하고 발견한 취약점의 심각도와 고유성에 따라 보상을 받는다. 418건 이상의 감사에서 1,365개의 고위험 취약점이 발견되었다. ↩
-
EVMbench 논문(Section 3.2) 기준. 감사에서 제출된 정답 패치의 68%가 5줄 이하의 diff로 구성되어 있다. ↩
-
Anvil은 Foundry 도구 모음에 포함된 로컬 이더리움 노드 시뮬레이터. 메인넷 상태를 포크해서 실제와 동일한 환경을 로컬에서 재현할 수 있다. ↩
-
EVMbench가 자체 구현한 JSON-RPC 프록시. 에이전트의 모든 RPC 요청을 중간에서 가로채서,
anvil_setBalance,anvil_setCode등 시뮬레이터 전용 치트 메서드를 차단한다. 에이전트는 실제 이더리움 네트워크에서 사용 가능한 표준 JSON-RPC 메서드만 호출할 수 있다. ↩ -
Paradigm 블로그 원문: "When we started working on this project, top models were only able to exploit less than 20% of the critical, fund-draining Code4rena bugs. Today, GPT-5.3-Codex exploits over 70%." ↩
-
플래시론(flash loan)은 동일 트랜잭션 내에서 대출과 상환이 모두 이루어지는 무담보 대출. 한 트랜잭션 안에서 수백만 달러를 빌리고, 그 자금으로 차익거래나 청산 등을 수행한 뒤, 트랜잭션이 끝나기 전에 갚는다. 상환되지 않으면 트랜잭션 전체가 롤백된다. ↩
-
리엔트런시(reentrancy)는 스마트 컨트랙트의 대표적 취약점. 외부 컨트랙트를 호출할 때, 호출된 쪽이 원래 컨트랙트의 함수를 상태 업데이트 전에 재진입(re-enter)해서 자금을 반복 인출하는 공격. 2016년 The DAO 해킹($60M)이 이 취약점을 이용했다. ↩
댓글 영역을 불러오는 중입니다.