수이 검증자, 해커 지갑 1,600억원 동결
스마트계약 수학적 오류 악용한 구조적 취약점 노출
화이트리스트 기능 제안에 커뮤니티 강한 반발
수이 네트워크 최대 탈중앙화 거래소 세터스에서 지난 5월 22일 약 2억2,300만달러(약 3,050억원) 규모의 암호화폐가 유출됐다.
이에 따라 수이 생태계에서 발생한 가장 큰 보안 사고로, 검증자 권한과 탈중앙성 원칙에 대한 논의가 이어지고 있다고 24일 블록체인 전문 매체 블록웍스가 보도했다.
해커는 세터스 스마트계약 내 수학적 계산 오류를 이용해 공격을 감행했다. 실제 가치가 거의 없는 토큰을 유동성 풀에 주입하고, 이를 통해 SUI 코인과 USDC 등 실질 자산을 대량 인출하는 방식이었다. 프로토콜이 일시 중단되기 전까지 해커는 약 2억2,300만달러를 탈취했다. 수이 개발사 미스틴 랩스 공동창립자 아데니이 아비오둔은 “수이의 합의 알고리즘이나 무브 언어의 결함은 아니며, 애플리케이션 로직의 문제”라고 밝혔다.
검증자, 해커 지갑 차단해 1,600억 원 자산 동결
사고 직후 수이 재단과 네트워크 검증자들은 협력해, 해커의 지갑에서 발생하는 거래를 막기 위해 네트워크 설정을 바꿨다. 이 조치는 정식 투표나 시스템 업그레이드를 거치지 않은 비공식 방식으로 진행됐으며, 결과적으로 약 1억1,600만달러(약 1,600억원) 규모의 자산이 동결됐다.
이어 수이 개발사인 미스틴 랩스는, 남아 있는 해커 자산을 회수하기 위해 지갑 서명 없이도 특정 거래를 실행할 수 있도록 하는 기능을 추가하자는 제안서를 개발자 포럼인 깃허브에 올렸다. 그러나 이 제안은 블록체인 원칙을 훼손할 수 있다는 커뮤니티의 강한 반발을 불러왔고, 수 시간 만에 철회됐다. 현재까지는 해커 지갑의 거래만 차단된 상태이며, 자산을 강제로 몰수하는 조치는 취해지지 않았다.
수이 재단은 “수이는 탈중앙화 네트워크로, 재단이나 미스틴 랩스가 개별 지갑을 차단하거나 검증자를 통제할 수 없다”고 해명했다. 하지만 수이의 검증자들은 3,000만 SUI를 맡겨야 네트워크 참여가 가능하기 때문에, 재단의 요청이 사실상 강한 압력으로 작용할 수 있다는 지적이 나왔다. 블록웍스 애드바이저리의 데이비드 로드리게스는 “외부 애플리케이션의 보안 문제 때문에 거래를 검열하는 것은 위험한 선례가 될 수 있다”고 경고했다.
다른 프로토콜도 동일한 취약점 노출
보안업체 베리체인스에 따르면, 수이 기반 프로토콜인 크리야, 플로우엑스, 터보파이낸스 역시 세터스와 동일한 수학적 오류에 취약했던 것으로 알려졌다. 크리야와 플로우엑스는 계약을 수정했지만, 터보파이낸스는 여전히 해당 코드가 남아 있는 상태다. 베리체인스는 “사용 중이 아니더라도, 비활성 코드 역시 위험하다”고 밝혔다.
이번 사건은 무브 기반 스마트계약이 강력한 기술적 기반을 제공하더라도, 보안은 라이브러리 공유 구조, 개발자 역량, 도구 성숙도에 크게 의존한다는 점을 보여줬다는 평가다.
수이 생태계 내에서는 검증자 권한과 비상 상황 대응 체계에 대한 공식 정책 마련 요구가 커지고 있다. 에이브 거버넌스 책임자 마르크 젤러는 “수이에서 에이브를 배포하는 일은 없을 것”이라고 밝히며 우려를 드러냈다.
해커는 약 6,000만달러(약 820억원)를 이미 외부로 전송한 것으로 추정되며, 수이는 일부 자산 회수에 성공했지만 장기적으로는 네트워크의 중립성과 권한 제한 체계를 얼마나 명확히 제도화할 수 있을지가 핵심 과제로 부상하고 있다.
