수이(Sui) 기반의 리퀴드 스테이킹 플랫폼 볼로 프로토콜(Volo Protocol)은 수요일, 공격자가 세 개의 볼트에서 약 3백50만 달러를 탈취했다고 밝혔습니다. 이번 사건은 이미 9자리수 해킹 사고로 흔들린 이번 달에 발생한 최신 디파이(DeFi) 보안 침해 사례입니다.
볼로는 공격을 탐지한 직후 모든 볼트를 동결했고, 수이 재단에 이를 통보했습니다. 도난당한 자산에는 래핑 비트코인(WBTC), 금 기반 XAUm, 그리고 달러코인(USDC)이 포함되었습니다. 볼로 팀은 다른 볼트에 남아있는 총예치량 2천8백만 달러는 같은 공격 경로를 공유하지 않는다고 밝혔습니다.
볼로 프로토콜 해킹 사건의 내막
볼로는 수요일 오전 X에 게재한 발표문에서 이번 침해를 보안 사고로 설명했습니다. 총 세 개의 볼트만 영향을 받았으며, 팀은 프로토콜의 다른 부분이 동일한 취약점을 공유하지 않는다고 밝혔습니다.
프로젝트 팀은 온체인 조사자 및 생태계 파트너들과 협력하여 도난당한 자금의 추적과 회수를 진행하고 있습니다. 내부 검토가 마무리되면 전체 사후 분석 결과를 공개할 예정입니다.
볼로는 원래 SUI 전용 리퀴드 스테이킹 플랫폼으로 출범해 Volo Staked SUI(vSUI) 토큰을 발행하였으며, 2024년 초 수이 렌딩 프로토콜 NAVI에 인수되었습니다. 이번에 공격받은 볼트 상품들은 해당 스테이킹 계층 위에 구축되어, 수익 전략의 담보로 래핑 자산과 스테이블코인을 수용합니다.
볼로는 또한 사용자를 안심시키기 위해 어떠한 손실도 사용자에게 전가하지 않을 것임을 밝혔습니다.
“볼로는 이번 손실을 흡수할 준비가 되어 있습니다. 우리는 이 손실을 사용자에게 전가하지 않기 위해 최선을 다할 것입니다.” – 볼로 팀, 발언.
프로토콜은 피해 통제 작업이 완료된 후 복구 계획을 마련할 것이라고 밝혔으며, 사용자 신뢰 회복은 약속이 아닌 행동에 달려 있다고 덧붙였습니다.
디파이에 가혹한 이번 달, 또 하나의 피해
볼로의 손실은 탈중앙금융을 강타한 4월 주요 해킹 사고들의 연속선상에 있습니다. 솔라나 기반의 드리프트 프로토콜은 4월 1일에 약 2억8천5백만 달러를 잃었으며, 엘립틱(Elliptic)은 이 사건이 북한의 침투 작업과 연관된 것으로 보고 있습니다.
불과 3주도 안 되어, 리스테이킹 프로토콜 켈프 DAO는 손상된 레이어제로 브릿지를 통해 약 2십9억2천만 달러 상당의 11만6천5백 rsETH(리스테이킹된 이더)를 탈취당했습니다. 이더리움 디파이 총예치량은 이후 17% 이상 감소했습니다.
밸런서 또한 올해 초 1억2천8백만 달러 이상을 해킹으로 잃었습니다. 특정 지갑을 대상으로 한 지갑 탈취로 한 개인 투자자는 이더리움과 아비트럼에서 2억8천만 달러 넘는 손실을 입기도 했습니다.
수이 생태계 역시 과거 비슷한 위기를 겪었습니다. 공격자들은 2025년 5월 세터스(Cetus) 거래소에서 약 2억2천3백만 달러를 탈취했습니다. 집중 유동성 풀의 결함이 공격을 가능하게 했습니다. 수이 검증인과 커뮤니티는 도난당한 자금 대부분을 회수했습니다. 2025년 말 수이의 총예치량은 26억 달러를 돌파했습니다. 이처럼 급성장으로 인해 공격 표면도 넓어졌습니다. 공격자들은 최근 볼트 논리와 오라클 종속성에 더 자주 주목합니다.
볼로는 외부 지원 없이 3백50만 달러의 손실을 보전하겠다고 약속합니다. 예치자는 출금 재개 시점에 예의주시할 것입니다. 사후 보고서에서는 근본 원인이 밝힐 예정입니다. 결함이 개별적 문제인지, 시스템 전반의 문제인지 분석할 것입니다. 결과는 수이 디파이 생태계에 대한 신뢰에 영향을 미칠 수 있습니다.
