스칼롭(Scallop)은 Sui 네트워크의 머니마켓으로, 일요일에 공격자가 프로토콜의 sSUI 스풀(spool)과 연결된 사용 중지된 보상 계약을 탈취해 약 15만 SUI를 잃었습니다.
팀은 몇 분 만에 해당 계약을 동결했으며, 자체 금고에서 전액 보상하겠다고 약속했습니다. 핵심 운영은 두 시간 이내에 재개되었습니다.
또 한 번 Sui에서 발생한 해킹, 이번엔 보조 코드가 대상입니다
스칼롭은 4월 26일 12시 50분(UTC)에 X에 공지를 통해 사건을 공개했습니다. 공격자는 sSUI 스풀의 보상을 관리하는 보조 계약을 노렸습니다. 해당 스풀은 SUI 예치자를 위한 프로토콜 인센티브 레이어입니다.
영향을 받은 계약은 즉시 동결되었다고 팀은 밝혔습니다. 핵심 대출 및 차입 풀은 영향받지 않았습니다. 타 스칼롭 마켓의 모든 이용자 예치금은 안전하게 유지되었습니다.
두 시간 후, 스칼롭은 핵심 계약에 대한 동결이 해제되었다고 확인했습니다. 14시 42분(UTC)에 출금 및 예치가 재개되었습니다.
Sui 네트워크 대부분의 이용자들은 이번 사태의 영향을 받지 않았습니다.
“스칼롭은 손실액 100%를 전액 보상할 예정입니다.”라고 머니마켓이 밝혔습니다.
2023년의 낡은 패키지 코드가 해킹의 원인이었습니다
독립 온체인 분석 결과 사용이 중단된 V2 스풀 패키지가 진입점으로 지목되었습니다. 스칼롭은 이 코드를 2023년 11월에 공개했습니다. 공격 발생 시점보다 17개월 가까이 전의 일입니다. Sui에서는 배포된 패키지가 불변입니다. 명시적으로 버전을 제한하지 않는 한, 이전 버전도 언제든 호출될 수 있습니다.
버그는 마지막 인덱스 카운터가 초기화되지 않은 점에 있었습니다. 해당 카운터는 스테이커의 누적 보상을 추적합니다. 공격자는 약 13만 6천 sSUI를 예치하여 이를 활용했습니다.
이 수식은 포지션이 마치 2023년 8월 스풀 출시 때부터 존재한 것처럼 처리했습니다.
20개월 동안 스풀 인덱스는 약 11억 9천만까지 증가했습니다. 이를 통해 공격자는 약 162조 리워드 포인트를 수확할 수 있었습니다. 해당 포인트는 1:1로 보상 풀에서 15만 SUI로 교환되었습니다.
트랜잭션 해시 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL이 탈취의 온체인 증거를 보여줍니다.
Sui 디파이에서 반복되는 익숙한 패턴입니다
이 사건은 최근 몇 주간 발생한 연속적인 Sui 해킹의 연장선입니다. 이번 달 초 볼로 프로토콜(Volo Protocol)은 유사한 보조 계약에서 약 350만 달러를 잃었습니다. 각각의 사건들은 핵심 프로토콜 로직이 아닌, 보조 계약을 집중적으로 노렸습니다.
이 사건은 한편, 이더리움에서 발생한 대형 브릿지 사고가 있은 지 한 주 뒤에 발생했습니다. 해당 사고로 2억 9천 2백만 달러 상당의 담보 없는 리스테이킹 토큰이 나타났습니다. 두 공격 모두 유동성이 얇은 주말에 이루어졌고, 대응 시간도 지연되었습니다.
Sui 파운데이션과 미스텐랩스(Mysten Labs) 모두 사건에 대한 공식 성명을 내지 않았습니다.
하지만 스칼롭의 경우 재정 피해는 제한된 것으로 보입니다. 프로토콜은 이용자 이익 희석 없이 전체 손실을 흡수할 것임을 확인했습니다.
팀은 아직 전체 사고 조사 보고서를 내놓지 않았습니다. 나머지 레거시 패키지에 대한 완전한 감사를 곧 공개할 계획이며, 이는 Sui 디파이 전체의 대응에 영향을 미칠 전망입니다.
더 깊은 질문은 Sui 개발자들이 불변 코드와 방치된 공격 지점을 어떻게 관리해야 하는가입니다.
