- 총 330만 달러 피해…블랙햇 피해분은 온체인 분석 후 순차 지급 예정
분산형 거래소 스시스왑(SushiSwap)이 최근 발생한 해킹 사건과 관련해, 영향을 받은 모든 사용자에게 자산을 반환할 계획이라고 밝혔다.
지난 주말, 스시스왑의 스마트 계약 중 하나인 RouterProcessor2에서 발생한 승인 관련 취약점이 악용돼, 약 330만 달러 상당의 암호화폐가 탈취되는 사건이 발생했다. 스시스왑 측은 특히 지난 10일 이내 프로토콜과 상호작용한 사용자들 중 일부가 해킹에 노출됐을 가능성이 있다고 밝혔다.
반환 방식: 화이트햇·블랙햇 구분
스시스왑은 사용자 자금이 화이트햇 보안팀에 의해 회수된 경우, 해당 자금을 Merkle Claim 계약을 통해 사용자에게 직접 반환할 예정이다. 이미 자산이 확보된 지갑에 대해서는, 사용자가 자금 청구를 진행하면 빠른 처리가 가능하다는 설명이다.
반면, 블랙햇 해커에게 탈취된 자산에 대해서는 반환까지 더 오랜 시간이 소요될 전망이다. 스시스왑 팀은 온체인 데이터 분석을 통해 각 사용자의 클레임 정당성을 수동으로 검증해야 하며, 이에 따라 순차적 환불이 이루어질 예정이다.
회수된 일부 자산…90 ETH 자발적 반환도
현재까지 보안 기업 BlockSec이 약 100 ETH를 회수한 것으로 알려졌으며, 공격자 중 한 명이 90 ETH를 자발적으로 반환한 사례도 보고됐다.
스시스왑은 사용자들에게 “자산을 안전하게 보호하기 위해 지갑 보안 조치를 재확인할 것”을 권고하며, 향후 모든 사용자가 가능한 한 신속하게 자산을 회수할 수 있도록 시스템을 준비하고 있다고 밝혔다.
이번 사건은 탈중앙화 거래소의 스마트 계약 보안 문제를 다시 한번 부각시키는 사례로, 향후 유사한 피해를 줄이기 위한 계약 구조 개선 및 사전 감사 절차 강화가 필요하다는 지적도 나온다.
