수이(SUI) 기반 탈중앙화거래소 블루무브 DEX에서 약 50만달러 규모의 SUI 토큰이 빠져나가며 ‘내부자 소행’ 의혹이 불거졌다. 파장이 커지자 블루무브는 해킹 피해라고 반박했지만, 공격 경로를 둘러싼 공방은 오히려 더 확산되는 분위기다.
프로토스와 외신 보도에 따르면 퀀텀 보이드 랩스의 창업자 타일러 심슨은 지난주 토요일 70만개가 넘는 SUI 토큰이 블루무브의 잠긴 유동성 풀에서 유출되는 장면을 담은 화면을 공개했다. 그는 초기에는 블루무브가 스스로 자금을 빼돌린 것 아니냐는 취지로 주장했지만, 이후에는 플랫폼이 공격을 받은 것이라고 입장을 일부 수정했다.
심슨 “5월 31일 패키지가 사고의 시작”
심슨은 다음 날 블루무브가 5월 31일 적용한 패키지가 이번 exploit(취약점 악용)의 발판이 됐다고 주장했다. 그는 해당 패키지에 ‘add_liquidity_returns’ 같은 불변 함수와 ‘double-mint LP inflation’ 구조가 들어갔고, 40일이 훌쩍 지난 뒤 실제 공격이 터졌다고 설명했다. 그러면서 이번 사건을 ‘지연된 러그풀(rug pull)’로 표현했다.
반면 블루무브는 정반대 입장이다. 회사는 웹사이트를 통해 이번 사건이 “블루무브의 레거시 AMM 계약에 존재하던 오래된 산술 오버플로 버그를 악용한 공격” 때문이라고 밝혔다. 이 버그는 적어도 2023년부터 노출돼 있었고, 업그레이드 과정에서 이를 놓친 탓에 추가 패치가 어려워졌다는 설명이다.
블루무브는 특히 “6월 3일 업그레이드 권한(UpgradeCap)이 소각되면서, 현재는 온체인에서 취약한 v1 패키지를 패치하거나 비활성화할 방법이 없다”고 말했다. 이어 독립적인 관리자·동결 기능이 있거나, 검증을 마친 새 패키지로 전면 이전해야 한다고 덧붙였다.
“48시간 내 반환하면 해결”… 보상 협상도 제안
블루무브는 해커로 추정되는 주소에도 메시지를 보내 화이트햇 보상을 제안했다. 회사는 “블루무브 DEX 풀 약 40만달러를 유출했다. 48시간 안에 70%를 수이 주소로 반환하면 30%는 화이트햇 보상으로 주겠다”고 전했다. 반환이 이뤄지면 사안을 종결하겠지만, 응답이 없으면 법적 대응과 자금 회수 조치를 모두 검토하겠다고 강조했다.
회사 측은 해커가 회수에 응하지 않을 경우 피해 사용자 전원을 보상하겠다고도 밝혔다. 다만 이후 운영은 종료하겠다는 방침이다. 현재 블루무브의 서비스는 중단된 상태이며, 사고 원인에 대한 조사가 계속되고 있다.
수이 네트워크 측은 프로토스의 문의에 “노코멘트”라고 답했다. 이번 사건은 단순 해킹인지, 아니면 내부 구조 취약점과 패치 실패가 겹친 사고인지 아직 결론이 나지 않았다. 다만 수이(SUI) 생태계 전반에 대한 신뢰에는 적지 않은 타격이 될 수 있다는 점만은 분명해 보인다.
🔎 시장 해석
블루무브 DEX에서 발생한 SUI 유출 사건은 단순 해킹 여부를 넘어, 내부 설계 결함·업그레이드 실패·거버넌스 구조 문제까지 복합적으로 얽힌 사례로 평가된다. 특히 ‘UpgradeCap 소각’으로 인해 사후 대응이 제한된 점은 탈중앙화 설계의 한계를 드러냈다.
💡 전략 포인트
- 디파이 투자 시 코드 감사 여부와 업그레이드 구조를 반드시 확인
- ‘락업 풀’이라도 스마트컨트랙트 취약점 리스크는 상존
- 화이트햇 협상 제안은 피해 축소 전략이지만 성공 불확실성 존재
- 전액 보상 후 서비스 종료는 단기 신뢰 회복, 장기 생태계엔 부담 요인
📘 용어정리
- 러그풀: 프로젝트 운영자가 의도적으로 자금을 빼돌리는 사기 행위
- 오버플로우 버그: 수치 계산 오류로 예상치 못한 값이 발생하는 취약점
- UpgradeCap: 스마트 계약을 수정할 수 있는 권한 키
- 화이트햇: 취약점을 악용하지 않고 보상 조건 하에 반환하는 ‘윤리적 해커’


