수이(SUI) 기반 탈중앙화거래소 블루무브 DEX에서 약 50만달러 규모의 SUI 토큰이 빠져나가며 ‘내부자 소행’ 의혹이 불거졌다. 파장이 커지자 블루무브는 해킹 피해라고 반박했지만, 공격 경로를 둘러싼 공방은 오히려 더 확산되는 분위기다.
프로토스와 외신 보도에 따르면 퀀텀 보이드 랩스의 창업자 타일러 심슨은 지난주 토요일 70만개가 넘는 SUI 토큰이 블루무브의 잠긴 유동성 풀에서 유출되는 장면을 담은 화면을 공개했다. 그는 초기에는 블루무브가 스스로 자금을 빼돌린 것 아니냐는 취지로 주장했지만, 이후에는 플랫폼이 공격을 받은 것이라고 입장을 일부 수정했다.
심슨은 다음 날 블루무브가 5월 31일 적용한 패키지가 이번 exploit(취약점 악용)의 발판이 됐다고 주장했다. 그는 해당 패키지에 ‘add_liquidity_returns’ 같은 불변 함수와 ‘double-mint LP inflation’ 구조가 들어갔고, 40일이 훌쩍 지난 뒤 실제 공격이 터졌다고 설명했다. 그러면서 이번 사건을 ‘지연된 러그풀(rug pull)’로 표현했다.
반면 블루무브는 정반대 입장이다. 회사는 웹사이트를 통해 이번 사건이 “블루무브의 레거시 AMM 계약에 존재하던 오래된 산술 오버플로 버그를 악용한 공격” 때문이라고 밝혔다. 이 버그는 적어도 2023년부터 노출돼 있었고, 업그레이드 과정에서 이를 놓친 탓에 추가 패치가 어려워졌다는 설명이다.
블루무브는 특히 “6월 3일 업그레이드 권한(UpgradeCap)이 소각되면서, 현재는 온체인에서 취약한 v1 패키지를 패치하거나 비활성화할 방법이 없다”고 말했다. 이어 독립적인 관리자·동결 기능이 있거나, 검증을 마친 새 패키지로 전면 이전해야 한다고 덧붙였다.
블루무브는 해커로 추정되는 주소에도 메시지를 보내 화이트햇 보상을 제안했다. 회사는 “블루무브 DEX 풀 약 40만달러를 유출했다. 48시간 안에 70%를 수이 주소로 반환하면 30%는 화이트햇 보상으로 주겠다”고 전했다. 반환이 이뤄지면 사안을 종결하겠지만, 응답이 없으면 법적 대응과 자금 회수 조치를 모두 검토하겠다고 강조했다.
회사 측은 해커가 회수에 응하지 않을 경우 피해 사용자 전원을 보상하겠다고도 밝혔다. 다만 이후 운영은 종료하겠다는 방침이다. 현재 블루무브의 서비스는 중단된 상태이며, 사고 원인에 대한 조사가 계속되고 있다.
수이 네트워크 측은 프로토스의 문의에 “노코멘트”라고 답했다. 이번 사건은 단순 해킹인지, 아니면 내부 구조 취약점과 패치 실패가 겹친 사고인지 아직 결론이 나지 않았다. 다만 수이(SUI) 생태계 전반에 대한 신뢰에는 적지 않은 타격이 될 수 있다는 점만은 분명해 보인다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>
많이 본 기사