수이 디파이 볼로, 350만달러 해킹…생태계 구조적 리스크 드러났나

수이(SUI) 기반 디파이 프로젝트 볼로 프로토콜이 약 350만달러 규모 해킹을 당했다. 사건은 단일 프로토콜 문제에 그치지 않고, 급성장 중인 수이 생태계의 ‘구조적 리스크’를 드러냈다는 분석이 나온다.

22일 볼로 프로토콜에 따르면 WBTC, XAUm, USDC 금고에서 총 350만달러(약 51억8,000만원) 규모 자금이 유출됐다. 이는 출시 18개월 만에 발생한 첫 주요 보안 사고다. 프로젝트 측은 피해액 전액을 보전하겠다고 밝혔으며, 긴급 금고 동결 조치로 나머지 약 2,800만달러(약 414억6,000만원) 규모 자산은 안전하게 유지됐다.

‘부분적 실패’인가, 구조적 위험 신호인가

이번 사건의 핵심은 볼로 프로토콜 자체의 실패 여부가 아니라, 수이(SUI) 디파이 구조 전반에 대한 ‘경고 신호’인지 여부다. 사건 직전 수이 체인의 총 예치금(TVL)은 12억달러를 돌파하며 빠르게 성장하고 있었다.

볼로 측은 이번 해킹 원인을 ‘특정 금고의 취약점’으로 규정했다. 프로토콜 전체 구조가 아닌 특정 구현 문제라는 설명이다. 실제로 인접 금고 자산이 피해를 입지 않은 점은 이를 뒷받침한다.

공격 방식은 미공개…온체인 추적 진행

이번 공격으로 피해를 입은 금고는 WBTC, XAUm, USDC 세 곳이다. 공격 방식은 아직 공개되지 않았으며, 스마트컨트랙트 결함인지, 오라클 조작인지 여부도 확인되지 않았다.

온체인 분석가 잭엑스비티(ZachXBT)는 약 50만달러(약 7억4,000만원) 규모 자금이 공격자 지갑으로 이동한 것을 확인했다. 수이 재단 역시 자금 회수 및 대응을 위해 협력에 나선 상태다.

볼로는 향후 보고서를 통해 이번 사고가 수이 네트워크 보안 취약점과 연관됐다고 밝힐 예정이지만, 구체적인 내용은 아직 검증되지 않았다.

빠른 대응은 ‘긍정적’, 그러나 구조적 취약성은 여전

사건 대응 속도는 비교적 신속했다는 평가다. 해킹 인지 이후 수 시간 내 금고를 동결하고, 생태계 파트너들에게 즉시 알리며 피해 확산을 막았다.

다만 이번 사건은 디파이에서 반복적으로 나타나는 ‘금고 단위 구조’의 한계를 다시 보여준다. 개별 금고는 리스크를 분리하는 장점이 있지만, 동시에 특정 취약점이 집중되는 ‘단일 실패 지점’이 될 수 있다.

결과적으로 이번 사고는 약 350만달러 피해에 그쳤지만, 전체 TVL 약 3,150만달러(약 466억4,000만원) 규모로 확대될 가능성도 있었다는 점에서 구조적 리스크는 여전히 남아 있다. 수이(SUI) 생태계의 빠른 확장 속에서 보안 성숙도가 이를 따라잡을 수 있을지가 향후 관건으로 보인다.