2억 달러 탈취당한 Cetus 해킹 사태…Klein Labs, SUI의 '온체인 케인즈주의' 조명

2025년 5월, SUI 생태계의 핵심 탈중앙화 거래소인 Cetus에서 발생한 대규모 해킹 사고가 DeFi 시장의 근본적 보안 체계와 중앙화 대응 메커니즘에 대한 새로운 논의를 촉발하고 있다. 글로벌 블록체인 리서치 기업 Klein Labs에 따르면, 이번 사건은 단순한 취약점이 아닌, 신생 퍼블릭 체인의 제도적 회복력과 프로토콜 안전성에 대한 중대한 시험대가 됐다고 평가된다.

2025년 5월 22일, SUI 체인에서 운영 중인 Automated Market Maker(AMM) 프로토콜인 Cetus가 정수 연산의 오버플로우 취약점을 노린 정교한 공격을 받았다. 해커는 플래시론을 활용해 가격 조작, 유동성 오인을 통한 한정된 토큰 추가 등 복합 기법을 활용함으로써 총 2억 달러 이상에 달하는 디지털 자산을 탈취했다. Klein Labs는 이 공격이 수학적 경계 오류와 마스킹 설정 과도 같은 단순 구조적 문제에서 비롯된 점에 주목하며, 이는 기술적으로 약 두 줄의 코드 수정으로도 방지 가능했다고 지적한다.

이 사고는 단발성 해킹을 넘어 DeFi 생태계의 유동성과 사용자 신뢰를 빠르게 위협했다. 실제로 DefiLlama 집계에 따르면 SUI 네트워크 전체 TVL은 공격 당일 기준 약 3억 3,000만 달러 급감했고, Cetus 자체 유동성도 84%가 증발했다. 이에 따라 Lofi, Sudeng, Squirtle 등 관련 토큰은 최대 97%까지 폭락하며 연쇄적인 유동성 위축을 초래했다.

그럼에도 불구하고 SUI는 강력한 긴급 대응 시스템을 가동해 사태 확산을 조기에 억제했다. DPoS 기반의 합의 메커니즘을 활용해 113명의 검증자가 신속히 협의함으로써 해커 주소를 블랙리스트에 올리고, 1억 6,000만 달러 상당의 자산을 즉시 동결했다. 해당 거부 리스트는 검증자 노드가 로컬 설정을 통해 수용할 수 있도록 설계되었지만, 사실상 SUI 재단의 주도 아래 신속한 합의가 이뤄져 운영되었다. 이는 DeFi에서 흔히 논란이 되는 '중앙화'의 문제와 맞닿아 있으나, Klein Labs는 이를 ‘온체인 케인즈주의’라고 정의하며, 위기 대응 단계에서 제한적 중앙화가 오히려 생태계 안정성에 기여할 수 있다고 분석했다.

이번 사건은 단지 프로토콜의 보안성만이 아닌, Move 언어에 대한 산업적 재평가도 촉진했다. Move는 리소스 기반의 타입 시스템과 선형 소유권 추적를 내장하고 있어, 일반적인 재진입 공격이나 메모리 해제 취약점에서 상대적으로 안전하다. 하지만 본 건처럼 곱셈 연산 내 시프트 오버플로우와 같은 비정형 수치 오류는 여전히 잠재적 공격 벡터가 될 수 있음을 보여준 사례다. 이에 따라 연구진은 수치 함수에 대한 극한값 fuzzing, 형식 검증, 교차 타입 변환에 대한 단언문 적용 등을 보안적 우선 과제로 제안했다.

단기적으로는 SUI가 CETUS와 협력해 피해 사용자에 대한 100% 보상안을 마련하고, 재단 차원에서 감사 기금 1,000만 달러를 추가로 조성한 점도 중요한 회복 시그널이 됐다. Klein Labs는 이와 같은 하향식 대응뿐 아니라, 커뮤니티 기반 온체인 추적 시스템, 디지털 자산 보험 서비스 등 상향식 보안 인프라가 병행 확대돼야 한다고 강조한다.

무엇보다 이번 사태 이후에도 SUI의 네트워크 지표는 빠르게 회복세를 보이고 있다. DefiLlama 통계에 따르면 SUI는 현재 전 세계 퍼블릭 체인 중 TVL 기준 8위, 비EVM 체인 중에서는 솔라나와 비트코인에 이어 3위를 유지하고 있으며, 매일 약 3억 달러의 DEX 거래량을 기록하고 있다.

SUI 기반의 핵심 DeFi 플랫폼으로는 4억 달러 규모의 TVL을 보유한 Navi Protocol을 비롯해, 스테이블코인 발행 플랫폼 Bucket Protocol과 탈중앙 데리버티브 거래소 Bluefin 등이 주목받고 있다. 이외에도 하에달(LSD), Artinals(RWA), Walrus(탈중앙 저장) 등 다양한 분야에서 확장성을 보이며, Move 생태계 전반의 기술 기반 강화에 기여하고 있다.

궁극적으로 이번 사례는 DeFi 생태계가 마주한 기술·거버넌스 이슈를 한층 입체적으로 드러낸 사건이었다. Klein Labs는 이를 통해 음영 시스템의 필요성과 커뮤니티 기반의 자율 조정 능력을 동시에 조명하며, 블록체인 생태계의 성숙을 위한 분수령이 될 수 있다고 평가했다.