슬로우미스트가 밝힌 세투스 DEX의 2억 3000만 달러(약 3조 2,660억 원) 규모 해킹 사고의 원인이 스마트 컨트랙트 코드의 작은 결함이었던 것으로 드러났다.
지난 22일 SUI 블록체인의 세투스 DEX에서 유동성 풀이 급격히 고갈되는 사고가 발생했다. 블록체인 보안업체 슬로우미스트의 분석 결과, 사고의 핵심 원인은 세투스의 스마트 컨트랙트 코드 중 'checked_shlw' 함수에서 'get_delta_a' 함수의 오버플로우를 제대로 감지하지 못한 취약점이었다.
해커는 이 취약점을 이용해 1개의 토큰만으로도 수조 원 규모의 유동성을 추가한 것처럼 시스템을 속일 수 있었다. 해커는 1,000만 개의 haSUI 토큰을 플래시론으로 빌린 뒤 풀 내 토큰 가격을 99.9% 하락시켰다.
이어 매우 좁은 유동성 범위를 설정해 엄청난 규모의 유동성이 추가된 것처럼 보이게 했다. 오버플로우 취약점을 이용해 실제로는 1개의 토큰만 예치하고도 수조 원 규모의 유동성을 확보한 것처럼 속인 것이다.
해커는 이렇게 조작된 유동성을 3단계에 걸쳐 인출한 뒤 플래시론을 상환했다. 결과적으로 거의 아무런 투자 없이 1,000만 개의 haSUI와 570만 개의 SUI 토큰을 탈취하는데 성공했다.
슬로우미스트는 이번 사고가 DeFi 플랫폼에서 작은 코딩 실수가 얼마나 큰 금전적 손실로 이어질 수 있는지 보여주는 사례라고 분석했다. checked_shlw와 같은 핵심 함수가 오버플로우 같은 오류를 제대로 감지하지 못하면 해커가 시스템 로직 전체를 무력화할 수 있다는 것이다.
보안업체는 DeFi 개발자들에게 토큰 계산과 유동성 공식이 적용되는 영역의 수학 함수들을 재점검할 것을 촉구했다. 단 한 줄의 코드 검증 실패가 수천억 원대 해킹으로 이어질 수 있다는 점을 경고했다.