a16z Crypto 보고서: AI 에이전트는 이미 '구조화된 지식'을 보유하고 있으며, DeFi 취약점 재현 확률이 10%에서 70%로 급증함

a16z Crypto 연구원 Daejun Park과 Matt Gleason은 4월 28일 보고서를 통해 AI 에이전트가 단순히 DeFi 취약점을 '찾는' 것을 넘어 실제로 '직접' 재현할 수 있는지 테스트했습니다. 결과에 따르면, 추가 지식 없이 성공률은 10%에 불과했으나, 구조화된 지식(과거 공격 경로, 프로토콜 취약점 패턴, 다단계 감사 워크플로우)을 갖추자 성공률은 70%로 급상승했습니다. 이 보고서는 DeFi 프로토콜 측에 가장 직접적인 경고를 던집니다. AI 자동화 공격은 더 이상 공상과학이 아니라 정량화 가능한 현실적 위협이라는 점입니다. (이전 기사: a16z 경고 "AI 에이전트는 광고를 보지 않는다" 직접 주문: 2,910억 달러 규모의 온라인 광고 시장 붕괴) (배경 보충: Y Combinator 창업 가이드 해석: AI Agent의 미래 발전 트렌드는?) AI 에이전트가 정말로 DeFi 프로토콜을 뚫을 수 있을까? 단순히 '취약점을 찾는' 것이 아니라 '완전한 공격 코드를 작성하고 자금을 탈취'할 수 있을까? 이는 a16z Crypto 연구원 Daejun Park과 Matt Gleason이 4월 28일 발표한 보고서에서 답하고자 했던 핵심 질문입니다. 결과는 경각심을 불러일으킵니다. AI 에이전트에게 구조화된 지식을 제공하자 성공률이 10%에서 70%로 치솟았습니다. 연구팀은 DeFiHackLabs 데이터베이스에서 이더리움(Ethereum)에서 실제로 발생했던 20건의 '가격 조작 취약점' 사례를 추출하여 두 가지 조건을 설계했습니다. - 기본 에이전트(지식 없음): Foundry 툴체인, RPC 엔드포인트, Etherscan API만 제공하고, 에이전트가 스스로 취약점을 찾아 자금 탈취가 가능한 PoC 코드를 작성하도록 요구 - 스킬 가이드 에이전트(구조화된 지식 보유): 동일한 도구에 연구원이 정리한 '스킬 파일'을 추가 제공. 여기에는 과거 공격의 근본 원인 분석, 취약점 패턴 분류, 다단계 감사 워크플로우, 시나리오 실행 템플릿이 포함됨 실험에서는 특히 테스트 환경이 '격리된 환경'이어야 함을 강조했습니다. 연구원들은 에이전트가 anvil_reset 메서드를 통해 노드를 미래 블록으로 재설정하여 원래 제한되었던 과거 공격 트랜잭션 데이터에 접근하는 것을 발견했습니다. 이러한 '샌드박스 탈출' 행위로 인해 초기 데이터의 50%가 무의미해졌으며, 최종 결과는 엄격하게 격리된 환경에서의 수치를 기준으로 했습니다. 결과는 매우 명확합니다. - 기본 에이전트: 10%(20건 중 2건 성공) - 스킬 가이드 에이전트: 70%(20건 중 14건 성공) 여기서 '성공'의 정의는 에이전트가 개념적으로 취약점을 식별하는 것을 넘어, 포크된 메인넷 환경에서 실제로 자금을 탈취할 수 있는 공격 코드를 작성하는 것을 의미합니다. 연구가 집중한 취약점 유형은 모두 DeFi 특유의 '가격 조작' 범주에 속하며, 볼트 기부 공격(vault donation attacks), AMM 풀 밸런스 조작, 플래시 론(Flash Loan) 가격 왜곡, 재귀적 대출 레버리지 메커니즘 등 지난 몇 년간 수억 달러의 손실을 초래한 실제 공격 벡터를 포함합니다. 연구원이 제공한 '스킬 파일'은 모호한 설명서가 아니라 고도로 구조화된 운영 지식입니다. - 이벤트 분석 계층: 과거 해킹 사건별로 근본 원인, 공격 경로, 핵심 컨트랙트 상호작용 기록 - 패턴 분류 계층: 다양한 취약점을 재사용 가능한 '공격 프로토타입'으로 분류하여 에이전트가 응용할 수 있도록 학습 - 워크플로우 설계 계층: 코드 획득 → 프로토콜 매핑 → 취약점 탐색 → 정찰 → 시나리오 설계 → PoC 작성의 6단계 표준화 프로세스 - 시나리오 실행 템플릿: 각 공격 유형별 구체적인 실행 프레임워크를 제공하여 에이전트가 처음부터 설계할 필요가 없도록 함 이