리플 참여 투자 직후 해킹…스퀴드 크립토, 디파이 보안 논란 재점화

리플 참여로 주목받은 스퀴드 크립토가 투자 직후 해킹을 당하며 시장에 충격을 줬다. 600만 달러(약 90억 원) 유치 발표 하루도 채 지나지 않아 300만 달러(약 45억 원)가 유출되면서 ‘디파이 보안’ 논란이 다시 불거졌다.

5월 25일 스퀴드 크립토는 노스 아일랜드 벤처스가 주도하고 리플이 참여한 전략적 투자 유치를 공개했다. 해당 투자는 크로스체인 유동성 인프라 확장을 위한 핵심 자금으로 소개됐지만, 발표 직후 공격이 발생하며 분위기가 급변했다.

제3자 모듈 취약점이 원인…핵심 계약은 ‘무사’

이번 침해는 스퀴드 크립토의 핵심 스마트컨트랙트가 아닌, 외부에서 통합된 ‘유동성 집계 모듈’에서 발생했다. 공격자는 해당 모듈의 가격 피드 또는 접근 권한 설정 허점을 이용해 자산을 빼돌린 것으로 분석된다.

이 모듈은 크로스체인 스왑을 효율적으로 라우팅하기 위해 추가된 구성 요소로, 정식 감사 범위에 포함되지 않았던 것으로 알려졌다. 결과적으로 핵심 계약에 적용된 보안 장치를 우회하는 형태가 됐다.

반복되는 구조적 문제…“감사는 전체를 보장하지 않는다”

이번 사건은 디파이 업계에서 반복적으로 나타난 ‘의존성 리스크’를 다시 드러냈다. 감사는 제출된 코드 단위로 진행되기 때문에, 외부 모듈이나 통합 레이어까지 완전하게 검증되지 않는 경우가 많다.

문제가 된 모듈은 제3자가 개발한 Gnosis Safe 기반 ‘SquidRouterModule’로, 신뢰 구조와 권한 체계, 오라클 의존성 등이 스퀴드 자체 코드와 동일한 수준의 검증을 받지 않았다.

스퀴드 “우리와 무관”…사용자 피해는 제한적

스퀴드 팀은 즉각 공식 입장을 통해 이번 해킹과 거리를 뒀다. 유출된 자금은 해당 제3자 모듈에서 발생한 것으로, 스퀴드가 직접 개발하거나 배포·운영한 것이 아니라고 설명했다.

또한 핵심 라우터 계약은 영향을 받지 않았으며, 일반 사용자와 기존 통합 서비스는 안전한 상태라고 강조했다. 커뮤니티에는 유사한 이름으로 혼동하지 말 것을 당부하며 별도의 사용자 조치는 필요 없다고 밝혔다.

리플 참여에도 타격…신뢰 회복이 관건

리플이 참여한 이번 투자 라운드는 크로스체인 결제 및 확장 전략과 맞물려 시장의 기대를 모았지만, 단기간 내 사고가 발생하면서 신뢰도에 타격이 불가피해졌다.

이번 사례는 디파이 생태계에서 ‘확장성’과 ‘보안’이 여전히 충돌하고 있음을 보여준다. 외부 통합이 늘어날수록 취약 지점도 함께 확대되는 구조 속에서, 투자와 기술 발전만큼 검증 범위 확대가 핵심 과제로 떠오르고 있다.

---

기사요약 by TokenPost.ai 🔎 시장 해석 투자 직후 해킹이 발생하면서 ‘디파이 보안’에 대한 구조적 불신이 재점화됨. 핵심 계약이 아닌 외부 모듈에서 사고가 발생해, 전체 생태계의 신뢰 리스크로 확산. 리플 참여 투자라는 호재에도 불구하고, 단기적으로는 신뢰 훼손이 더 크게 반영되는 모습. 💡 전략 포인트 디파이 투자 시 ‘코어 계약’뿐 아니라 연결된 외부 모듈과 의존성 구조까지 확인 필요. 감사(Audit) 여부보다 ‘감사 범위’가 어디까지인지 점검하는 것이 핵심. 크로스체인 및 집계형 프로토콜일수록 리스크 분산이 아닌 ‘리스크 확산’ 가능성 존재. 📘 용어정리 익스플로잇: 스마트 계약의 허점을 이용해 자금을 탈취하는 공격 방식. 크로스체인: 서로 다른 블록체인 간 자산 이동 또는 교환 기술. 유동성 집계 모듈: 여러 거래 경로를 조합해 최적의 거래를 수행하는 보조 시스템. 오라클: 외부 데이터를 블록체인에 전달하는 시스템으로, 가격 조작 시 공격 벡터가 될 수 있음.

💡 자주 묻는 질문 (FAQ)

Q. 이번 해킹에서 스퀴드 본체는 정말 안전한가요? 현재까지 분석에 따르면 스퀴드의 핵심 스마트컨트랙트는 직접적인 피해를 입지 않았고, 문제가 된 것은 외부 제3자 모듈입니다. 다만 사용자 입장에서는 이런 주변 모듈도 실제 자금 흐름에 관여하기 때문에 완전히 분리된 리스크로 보기 어렵습니다. Q. 감사(Audit)를 받았는데도 왜 사고가 발생하나요? 감사는 특정 범위 내 코드만 검증하는 경우가 많습니다. 이번 사례처럼 외부 모듈이나 통합 레이어가 감사 대상에서 제외되면, 그 부분이 취약점으로 작용할 수 있습니다. 즉, ‘감사 완료 = 전체 안전’은 아니라는 점이 핵심입니다. Q. 크로스체인 프로젝트가 더 위험한 이유는 무엇인가요? 크로스체인 프로젝트는 여러 체인과 모듈, 브릿지, 오라클 등 다양한 요소가 결합된 구조입니다. 이로 인해 한 부분의 취약점이 전체 시스템으로 전이될 가능성이 높고, 공격 표면이 넓어지는 구조적인 위험이 존재합니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.