디파이 프로토콜 스시스왑, 승인 버그로 330만달러 손실

이더리움 기반 탈중앙화 금융(DeFi) 프로토콜인 스시스왑( SushiSwap)의 스마트 컨트랙트 버그로 인해 4월 9일 새벽 300만 달러 이상의 손실이 발생했다고 코인텔레그래프가 9일(현지시간) 트위터의 여러 보안 보고서를 인용 보도했다.

블록체인 보안 회사인 서틱 얼랏(Certik Alert)과 팩실드(Peckshield)는 여러 출처에서 거래 유동성을 집계하고 코인 스왑에 가장 유리한 가격을 식별하는 스마트 컨트랙트인 스시의 라우터 프로세서 2 컨트랙트(Router Processor 2 Contract: 여러 소스에서 거래 유동성을 집계하고 코인 교환에 가장 유리한 가격을 식별하는 스마트 계약)에서 승인 기능과 관련된 비정상적인 활동에 대해 게시했다. 몇 시간 만에 이 버그로 인해 330만 달러(약 43억 5600만 원)의 손실이 발생했다.
탈중앙화 금융 TVL 집계 사이트 디파이라마(DefiLlama) 익명의 개발자 0xngmi에 따르면, 이번 해킹은 지난 4일 동안 프로토콜을 교체한 사용자에게만 영향을 미친다고 한다.


스시의 수석 개발자인 자레드 그레이는 사용자들에게 프로토콜의 모든 컨트랙트에 대한 권한을 취소할 것을 촉구했다. 그는 "스시의 루트프로세서2 컨트랙트에 승인 버그가 있으니 최대한 빨리 승인을 취소하시기 바랍니다. 보안팀과 협력하여 문제를 완화하기 위해 노력하고 있습니다"고 말했다. 이 문제를 해결하기 위해 취소가 필요한 다른 블록체인의 컨트랙트 목록이 깃허브(GitHub)에 생성됐다.
사건 발생 몇 시간 후, 그레이는 트위터를 통해 화이트햇 보안 프로세스를 통해 "피해 자금의 상당 부분이 복구되었다"고 발표했다. 그는 "시푸(Sifu)가 도난당한 자금 중 커피베이비에서 300ETH 이상을 회수한 것을 확인했습니다. 700개 이상의 이더리움에 대해서는 리도 팀과 연락을 취하고 있습니다"라고 밝혔다.


한편, 스시 커뮤니티는 330만달러 악용 이외에도 미국 증권거래위원회(SEC)와의 논쟁으로 격렬한 주말을 보냈다. 지난 8일, 그레이와 그의 변호인은 최근 미국 증권거래위원회(SEC)로부터 소환장을 받았다고 밝혔다.

그레이는 "SEC의 조사는 연방 증권법 위반 여부를 확인하기 위한 비공개 사실 확인 조사입니다. 저희가 아는 한, SEC는 (이 글을 쓰는 시점까지) 스시와 관련된 그 누구도 미국 연방 증권법을 위반했다는 결론을 내리지 않았습니다"라고 말했다.

그레이는 조사에 협조하고 있다고 주장하고 있다. 소환장에 대응하기 위한 법적 방어 기금 마련이 지난 3월 21일 스시의 거버넌스 포럼에서 제안됐다.


김성은 글로벌이코노믹 기자 jade.kim@g-enews.com

[알림] 본 기사는 투자판단의 참고용이며, 이를 근거로 한 투자손실에 대한 책임은 없습니다.