맨위로 가기
  • 공유 공유
  • 댓글 댓글
  • 추천 추천
  • 스크랩 스크랩
  • 인쇄 인쇄
  • 글자크기 글자크기
링크 복사 완료 링크가 복사되었습니다.

블루무브 DEX서 SUI 70만개 유출… 백도어 논란까지 번졌다

프로필
김미래 기자
댓글 1
좋아요 비화설화 2

수이 기반 블루무브 DEX에서 SUI 70만개가 유출되며 내부자 소행과 사전 내장 백도어 의혹이 제기됐다고 전했다.

블루무브는 오래된 오버플로 버그를 악용한 해킹이라고 반박하며 피해 보상과 서비스 종료 방침을 밝혔다.

 블루무브 DEX서 SUI 70만개 유출… 백도어 논란까지 번졌다 / TokenPost.ai

블루무브 DEX서 SUI 70만개 유출… 백도어 논란까지 번졌다 / TokenPost.ai

수이(SUI) 기반 탈중앙화거래소 블루무브 DEX에서 약 50만달러 규모의 SUI 토큰이 빠져나가며 ‘내부자 소행’ 의혹이 불거졌다. 파장이 커지자 블루무브는 해킹 피해라고 반박했지만, 공격 경로를 둘러싼 공방은 오히려 더 확산되는 분위기다.

프로토스와 외신 보도에 따르면 퀀텀 보이드 랩스의 창업자 타일러 심슨은 지난주 토요일 70만개가 넘는 SUI 토큰이 블루무브의 잠긴 유동성 풀에서 유출되는 장면을 담은 화면을 공개했다. 그는 초기에는 블루무브가 스스로 자금을 빼돌린 것 아니냐는 취지로 주장했지만, 이후에는 플랫폼이 공격을 받은 것이라고 입장을 일부 수정했다.

심슨 “5월 31일 패키지가 사고의 시작”

심슨은 다음 날 블루무브가 5월 31일 적용한 패키지가 이번 exploit(취약점 악용)의 발판이 됐다고 주장했다. 그는 해당 패키지에 ‘add_liquidity_returns’ 같은 불변 함수와 ‘double-mint LP inflation’ 구조가 들어갔고, 40일이 훌쩍 지난 뒤 실제 공격이 터졌다고 설명했다. 그러면서 이번 사건을 ‘지연된 러그풀(rug pull)’로 표현했다.

반면 블루무브는 정반대 입장이다. 회사는 웹사이트를 통해 이번 사건이 “블루무브의 레거시 AMM 계약에 존재하던 오래된 산술 오버플로 버그를 악용한 공격” 때문이라고 밝혔다. 이 버그는 적어도 2023년부터 노출돼 있었고, 업그레이드 과정에서 이를 놓친 탓에 추가 패치가 어려워졌다는 설명이다.

블루무브는 특히 “6월 3일 업그레이드 권한(UpgradeCap)이 소각되면서, 현재는 온체인에서 취약한 v1 패키지를 패치하거나 비활성화할 방법이 없다”고 말했다. 이어 독립적인 관리자·동결 기능이 있거나, 검증을 마친 새 패키지로 전면 이전해야 한다고 덧붙였다.

“48시간 내 반환하면 해결”… 보상 협상도 제안

블루무브는 해커로 추정되는 주소에도 메시지를 보내 화이트햇 보상을 제안했다. 회사는 “블루무브 DEX 풀 약 40만달러를 유출했다. 48시간 안에 70%를 수이 주소로 반환하면 30%는 화이트햇 보상으로 주겠다”고 전했다. 반환이 이뤄지면 사안을 종결하겠지만, 응답이 없으면 법적 대응과 자금 회수 조치를 모두 검토하겠다고 강조했다.

회사 측은 해커가 회수에 응하지 않을 경우 피해 사용자 전원을 보상하겠다고도 밝혔다. 다만 이후 운영은 종료하겠다는 방침이다. 현재 블루무브의 서비스는 중단된 상태이며, 사고 원인에 대한 조사가 계속되고 있다.

수이 네트워크 측은 프로토스의 문의에 “노코멘트”라고 답했다. 이번 사건은 단순 해킹인지, 아니면 내부 구조 취약점과 패치 실패가 겹친 사고인지 아직 결론이 나지 않았다. 다만 수이(SUI) 생태계 전반에 대한 신뢰에는 적지 않은 타격이 될 수 있다는 점만은 분명해 보인다.


기사요약 by TokenPost.ai
🔎 시장 해석
블루무브 DEX에서 발생한 SUI 유출 사건은 단순 해킹 여부를 넘어, 내부 설계 결함·업그레이드 실패·거버넌스 구조 문제까지 복합적으로 얽힌 사례로 평가된다. 특히 ‘UpgradeCap 소각’으로 인해 사후 대응이 제한된 점은 탈중앙화 설계의 한계를 드러냈다.

💡 전략 포인트
- 디파이 투자 시 코드 감사 여부와 업그레이드 구조를 반드시 확인
- ‘락업 풀’이라도 스마트컨트랙트 취약점 리스크는 상존
- 화이트햇 협상 제안은 피해 축소 전략이지만 성공 불확실성 존재
- 전액 보상 후 서비스 종료는 단기 신뢰 회복, 장기 생태계엔 부담 요인

📘 용어정리
- 러그풀: 프로젝트 운영자가 의도적으로 자금을 빼돌리는 사기 행위
- 오버플로우 버그: 수치 계산 오류로 예상치 못한 값이 발생하는 취약점
- UpgradeCap: 스마트 계약을 수정할 수 있는 권한 키
- 화이트햇: 취약점을 악용하지 않고 보상 조건 하에 반환하는 ‘윤리적 해커’

💡 자주 묻는 질문 (FAQ)

Q. 이번 블루무브 사건은 해킹인가요, 아니면 내부 문제인가요?
현재까지는 결론이 확정되지 않았습니다. 외부 공격자가 오래된 오버플로우 버그를 악용했다는 주장과, 사전에 설계된 구조적 문제라는 의혹이 동시에 제기된 상태입니다. 즉, 해킹과 내부 설계 문제 가능성이 모두 열려 있습니다.
Q. UpgradeCap을 소각한 것이 왜 문제가 되었나요?
UpgradeCap은 스마트 계약을 수정하거나 중단할 수 있는 권한입니다. 이를 소각하면 탈중앙성은 높아지지만, 치명적인 버그가 발견돼도 즉시 패치나 차단이 불가능해집니다. 이번 사건에서는 이 구조가 피해 확산을 막지 못한 원인으로 지적됩니다.
Q. 사용자들은 피해를 보상받을 수 있나요?
블루무브는 피해 사용자 전액 보상을 약속한 상태입니다. 다만 해커가 자금을 반환하는지 여부, 그리고 프로젝트 종료 과정에서 실제 보상이 어떻게 집행되는지는 추후 진행 상황에 따라 달라질 수 있습니다.
TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.
본 기사는 시장 데이터 및 차트 분석을 바탕으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다.
광고문의 기사제보 보도자료

많이 본 기사

alpha icon

지금 꼭 알아야 할 리포트

관련된 다른 기사

댓글

댓글

1

추천

2

스크랩

스크랩

데일리 스탬프

1

말풍선 꼬리

매일 스탬프를 찍을 수 있어요!

등급

Jacobs

08:56

댓글 1

댓글 문구 추천

좋은기사 감사해요 후속기사 원해요 탁월한 분석이에요

0/1000

댓글 문구 추천

좋은기사 감사해요 후속기사 원해요 탁월한 분석이에요

Jacobs

2026.07.14 08:56:15

좋은기사 감사해요

답글달기

0

0
0

이전 답글 더보기

1