[팟캐스트] Cetus 해킹과 SUI의 반격, 위기를 기회로 만든 블록체인 운영 방식

토큰포스트
안녕하세요. 토큰포스트 팟캐스트입니다. 여러분께서 보내주신 자료를 깊이 있게 분석해 드리는 시간입니다. 오늘 살펴볼 내용은 토큰포스트 6월 3일자 Klein Labs 리서치인데요. 제목이 위기 속 확신 수이(SUI)가 지속 가능한 성장을 이어가는 이유입니다. 최근에 수이(SUI) 생태계에서 좀 큰일이 있었죠. 주요 DeFi 프로토콜인 Cetus에서 2억 달러 규모의 해킹 사건이 터졌는데 오늘은 이 사건과 수이(SUI)의 대응 그리고 그 의미를 한번 파헤쳐 보겠습니다. 자 그럼 바로 들어가 보죠. 지난 5월 22일이었죠. Cetus 해킹 사건 규모가 상당했어요. 거의 뭐 DeFi 역사상 손꼽힐 만한 그런 사건이었죠.

진행자
네 맞습니다. 정말 큰 규모였고 올해 DeFi 분야에서 가장 큰 보안 사고 중 하나였습니다. 근데 여기서 진짜 흥미로운 점은요, 이게 SUI 블록체인 자체나 아니면 그 핵심 기술인 Move 언어 여기에 어떤 결함이 있어서 발생한 문제가 아니었다는 거예요.

토큰포스트
아 그게 아니었어요. 전 당연히 체인이나 언어 문제일 수도 있겠다. 싶었는데,

진행자
네 그게 아니라 해커가 Cetus 프로토콜이 특정 계산 그 산술 연산을 처리하는 방식에서 논리적인 허점을 찾아낸 거죠. 뭐랄까 아주 큰 숫자를 다룰 때 데이터 일부가 누락될 수 있는 그런 경계 검증 부재 문제를 파고든 겁니다. 이걸 또 플래시론이랑 결합해서 거의 비용 없이 그냥 막대한 유동성을 빼내 간 거죠. 심지어 이 문제가 된 부분 그 수학 라이브러리는 감사 범위에도 포함이 안 됐었다고 하더라구요.

토큰포스트
그니까 SUI나 Move 언어 그 자체의 설계 결함이라기보다는 Cetus라는 특정 앱 개발팀에 뭐랄까 구연상의 실수나 놓친 부분이었다. 이런 거군요. 근데 여러 번 감사를 받았다면서요 그런데도 발견이 안 됐다니 참 교묘한 허점이었네요.

진행자
막을 수 있었던 문제거든요. 근데 워낙 극단적인 값을 이용한 시나리오라서 일반적인 테스트나 감사 과정에서는 이걸 놓치기가 쉬웠던 거죠.

토큰포스트
그렇군요. 근데 여기서 진짜 놀라운 점은 SUI 측의 대응이었어요. 정말 빨랐잖아요. 해커 주소를 거의 뭐 즉각적으로 동결시켜서 1억 6천만 달러 거의 대부분의 자금을 지켜냈다고요. 이게 어떻게 가능했던 건가요? 보통 블록체인에서는 이런 조치 어렵지 않나요?

진행자
네 그게 SUI 만의 좀 독특한 특징인데요. SUI 는 위임 지분 증명 DPoS 방식을 쓰거든요. 여기에 내장된 거부 목록 영어로는 deny list 기능이 있어요. 이걸 활주한 겁니다. 그러니까 소수의 검증인들이 합의를 해서 어 이 해커 주소 관련된 거래는 승인 안 한다. 블록에 포함 안 시킨다. 이렇게 딱 결정하고 막아버린 거죠. 리서치에서는 이걸 되게 재미있게 온체인 케인즈주의라고 표현했더라구요. 마치 위기 상황에서 중앙은행이 개입해서 거시 조절하듯이 온체인에서 그런 조치를 취했다는 거죠.

토큰포스트
온체인 케인즈주의 비유가 확 와닿네요. 효율적인 위기 대응이었다. 뭐 이렇게 볼 수도 있겠고요. 근데 또 한편으로는 검증인들이 합의해서 특정 거래를 막는다 이거 결국 좀 중앙화된 통제 아니냐 이런 비판도 당연히 나올 수밖에 없을 것 같은데요. 블록체인의 핵심 가치 중 하나가 검열 저항성인데 좀 배치되는 느낌도 있구요.

진행자
예 바로 그 지점이 이 사건을 둘러싼 핵심 딜레마입니다. 정확히 짚어주셨어요. 실제로 수익 검증인 수가 다른 체인들에 비해 상대적으로 좀 적은 편이구요. 평균 106명 정도 또 재단이 이 거부 목록 관리에 영향력을 행사할 수 있다는 점에서 중앙화 우려는 충분히 타당한 지적입니다. 그래서 뭐 Cyber Capital 창립자 같은 비판론자들은 이 점을 굉장히 강하게 지적하기도 했고요. 하지만 또 SUI 측이나 커뮤니티 일부에서는 이걸 뭐랄까 불가항력이 아니라 커뮤니티의 공동 대응이다. 또는 위기 상황에서의 현실적인 선택이다. 이렇게 보기도 하거든요. 그리고 Move 언어 자체가 자산 소유권은 사용자 주소에 명확히 귀속되도록 설계되었다는 점도 생각을 해봐야 하구요.

토큰포스트
결국 이게 완벽한 탈중앙화라는 그 이상하고 또 실질적인 자산 보호나 위기 관리라는 현실 사이에서 아 정말 어려운 균형 문제네요.

진행자
네 맞습니다. 뭐 Move 언어 자체는 사실 좋아요. 그 자원 중심 설계나 타입 시스템 이런 것 덕분에 기존 솔리디티 같은 언어에 비해서 재진입 공격 같은 특정 유형의 보안 문제는 확실히 강점이 있거든요. 하지만 뭐 아무리 좋은 언어를 써도 개발자가 구현 실수를 할 수 있다는 거 그리고 철저한 감사가 정말 중요하다는 거 이걸 다시 한번 깨닫게 된 거죠. 그래서 이번 사건 이후에 SUI재단도 천만 달러 규모의 추가 감사기금을 만들었고 세트 수칙도 피해액 100% 배상을 약속하면서 신뢰 회복이랑 보안 강화에 힘쓰고 있습니다.

토큰포스트
아 그런 후속 조치들이 있었군요. 다행입니다. 이런 노력 덕분인지 그렇게 큰 해킹 사건이 있었음에도 불구하고, SUI 생태계 저체는 오히려 꾸준히 성장세를 보이고 있다면서요.

진행자
네 그 점도 주목할 만한 부분입니다. 현재 SUI가 전체 블록체인 중에서 TVL 그러니까 총 예치 자산 기준으로 보면 8위예요. 그리고 이더리움 가상머신 비EVM 기반이 아닌 체인들 중에서는 솔라나 비트코인 다음으로, 3위구요. 꽤 높은 순위죠 스테이블 코인 규모도 벌써 10억 달러를 넘어서면서 DeFi 생태계의 어떤 기초 체력을 다지고 있고 Navi 같은 대출 프로토콜이나 Bucket 같은 스테이블 코인 블루핀 파생상품 또 해달 같은 유동화 스테이킹 파생상품 LSD 프로젝트들 이런 다양한 분야에서 계속 성장이 나타나고 있어요.

토큰포스트
와 해킹 충격이 분명히 있었을텐데도 생태계는 계속 확장을 하고 있군요. 대단하네요. 자 그럼 이 모든 것을 좀 종합해 볼 때 이번 Cetus 해킹 사건과 SUI의 대응 이게 우리에게 시사하는 바는 뭐라고 정리할 수 있을까요?

진행자
역시 블록체인 기술의 그 이론적인 우수성도 중요하지만 그걸 실제로 어떻게 구현하고 또 지속적으로 어떻게 감사하고 관리하느냐 그리고 예상치 못한 위기가 닥쳤을 때 어떻게 대응할 것이냐 하는 그런 운영상의 문제가 정말 중요하다는 점을 다시 한번 보여준 것 같습니다. 특히 SUI의 대응 방식은 참 여러 생각을 하게 만들죠 그 탈중앙화라는 이상과 현실적인 위기 관리 능력 사이에서 우리가 어떤 가치를 더 중요하게 생각해야 할까 하는 아주 흥미롭고 또 중요한 질문을 던졌다고 봅니다.

토큰포스트
네 여러분께서는 이 SUI의 온체인 케인즈주의라고 불리는 접근 방식 이게 장기적으로 생태계에 대한 신뢰를 더 높일 거라고 보시나요? 아니면 오히려 중앙화에 대한 우려를 더 키우게 될 거라고 생각하시나요? 한번 깊이 생각해 볼 만한 지점인 것 같습니다. 이상으로 토큰포스트 팟캐스트였습니다.