NFT 거래 플랫폼 슈퍼레어(SuperRare)가 약 10억 1,609만 원(730,000달러) 상당의 해킹 피해를 입은 사실이 알려졌다. 내부 스마트계약의 치명적인 코드 오류가 원인이었으며, 업계 전문가들은 이같은 실수가 기본적인 테스트 절차만 거쳤더라면 충분히 방지 가능했다고 지적하고 있다.
사건은 슈퍼레어의 네이티브 토큰 RARE를 스테이킹하기 위한 스마트계약에서 발생했다. 블록체인 보안 기업 사이버스(Cyvers)에 따르면, 해당 계약을 노린 공격자는 약 10억 1,989만 원(731,000달러) 어치의 RARE 토큰을 탈취했다. 핵심 문제는 특정 사용자만 머클 루트(Merkle root)를 수정할 수 있도록 해야 할 함수가 잘못된 조건문으로 인해 누구나 접근할 수 있도록 허용된 점이었다. 머클 루트는 사용자들의 스테이킹 잔액을 판별하는 데 사용되는 핵심 데이터 구조다.
이번 사례에서는 보안 취약성이 비교적 쉽게 식별 가능한 수준이었다. 디파이(DeFi) 플랫폼 에일리언 베이스(Alien Base)의 수석 개발자 0xAw는 “이정도 실수는 ChatGPT조차도 바로 찾아낼 수 있는 문제”라고 평가했으며, 실제로 코인텔레그래프는 OpenAI의 o3 모델이 해당 오류를 제대로 탐지했음을 별도로 확인했다.
스마트계약 오류는 단일 실수라도 수억 원대 피해로 이어질 수 있기 때문에, 엄격한 사전 검증과 코드 리뷰가 필수로 여겨진다. 전문가들은 이번 사건이 단순한 개발자 실수를 넘어, 업계 전반의 보안 시스템과 프로토콜 개발 관행에 근본적인 점검이 필요함을 보여준다고 강조하고 있다.