수이 기반 디파이 네모, 감사 없는 코드로 36억 원 해킹 피해

수이(SUI) 기반 수익 거래 프로토콜인 네모(Nemo)가 스마트 계약 미감사 코드로 인해 약 259만 달러(약 36억 원)의 자산을 탈취당한 것으로 드러났다. 네모는 최근 보안 사고 원인을 분석한 보고서를 통해 해킹이 발생한 배경과 대응 과정을 상세히 공개했다.

사고는 지난 9월 7일 발생했다. 공격자는 슬리피지(slippage) 최소화를 위한 `get_sy_amount_in_for_exact_py_out` 함수의 취약점을 이용해 프로토콜 상태를 조작하는 데 성공했다. 해당 함수는 스마트 계약 보안 감사를 맡은 애심토틱(Asymptotic)의 공식 승인을 받지 않은 상태에서 온체인에 배포됐으며, 이 코드 변경은 단일 주소 서명만으로 이뤄졌다.

애심토틱은 이미 사전 보고서에서 해당 코드를 잠재적 위험 요소로 지적했지만, 네모 측은 이에 대해 즉각적인 대응을 하지 않았다고 인정했다. 배포 시 필수 확인 절차인 감사 해시도 사용되지 않아 개발자 단독으로 감사를 우회한 셈이다.

한편, 이런 사건은 몇 달 전 NFT 플랫폼 슈퍼레어(SuperRare)가 겪은 유사한 보안 사고를 떠올리게 한다. 슈퍼레어는 7월 말 기본적인 테스트만으로도 방지할 수 있었던 버그로 인해 약 73만 달러(약 10억 1,470만 원)의 손실을 입은 바 있다.

네모는 문제의 코드가 올 초인 1월 이미 배포됐다고 밝혔다. 아이러니하게도, 해당 배포 절차의 보안 강화 조치는 사고 3개월 뒤인 4월부터 시행된 것으로 확인됐다. 심지어 애심토틱이 이 문제를 다시 경고한 8월 11일 이후에도, 네모는 다른 이슈에 집중하느라 해당 취약점을 방치했다고 설명했다.

현재 네모는 사고 확산을 막기 위해 프로토콜 핵심 기능을 일시 중단한 상태다. 프로젝트 측은 여러 보안팀과 협력해 중앙화 거래소에서 해커 자산을 동결하는 작업을 병행 중이라 밝혔다. 또한 긴급 패치를 개발해 애심토틱이 새롭게 검토 중이며, 플래시론 기능을 제거하고 수동 초기화 기능을 추가하는 등 결함 수정에 나섰다.

피해 사용자들을 위한 보상안도 마련 중이다. 네모는 현재 토크노믹스 차원의 부채 구조 조정을 포함한 상세한 사용자 컴펜세이션 계획을 설계하고 있다고 설명했다. 프로젝트 측은 이번 사태를 계기로 "보안과 리스크 관리는 항상 경계를 유지해야 하는 영역임을 배웠다"며, 보다 정교한 내부 통제 강화와 지속적인 방어 체계를 구축할 것을 다짐했다.