- 스캘럽 프로토콜(Scallop Protocol)은 Sui 네트워크의 폐기된 보상 컨트랙트를 겨냥한 공격으로 15만 SUI 토큰을 분실했습니다.
- 핵심 프로토콜과 사용자 예치금은 안전하게 유지되고 있으며, 스캘럽 측은 재무고를 통해 전액 보상을 약속했습니다.
- 이번 사건은 DeFi 분야에서 레거시 코드의 위험성이 커지고 있음을 보여주며, 4월 한 달간 업계 전체 손실액은 6억 달러를 넘어섰습니다.
뒤로
뒤로
스캘럽 프로토콜(Scallop Protocol), 보안 취약점 공격으로 인한 15만 SUI 손실 전액 보상 예정
Sui 네트워크의 대출 프로토콜인 스캘럽(Scallop)은 4월 26일 폐기된 보상 컨트랙트에서 약 14만 2,000달러 상당의 15만 SUI 토큰이 유출된 후 사용자들에게 전액 보상할 것을 약속했습니다.
이 머니 마켓은 X에 올린 성명에서 "스캘럽이 손실의 100%를 전액 보전할 것"이라고 밝혔으며, 핵심 운영은 2시간 이내에 재개되었다고 덧붙였습니다.
해당 취약점은 2023년 11월에 배포된 17개월 된 V2 spool 패키지로 거슬러 올라가며, 여기에는 초기화되지 않은 last_index 카운터가 포함되어 있었습니다. 공격자는 약 13만 6,000 sSUI를 스테이킹하여 해당 포지션이 2023년 8월부터 존재했던 것처럼 컨트랙트를 조작해 보상을 청구함으로써 보상 풀 전체를 고갈시켰습니다. 핵심 대출 및 차입 풀은 영향을 받지 않았습니다.
이번 공격은 불변의 오래된 스마트 컨트랙트가 잊혀진 공격 표면이 될 수 있는 DeFi 분야의 고질적인 취약성을 여실히 보여줍니다. 이 사건은 Sui의 볼로 프로토콜(Volo Protocol)에서 발생한 유사한 350만 달러 규모의 공격에 뒤이어 발생했으며, 4월 한 달간 DeFi 해킹 피해액이 이미 6억 달러를 넘어서게 하면서 업계 전반의 블록체인 코드 감사 및 생애주기 관리에 대한 의문을 제기하고 있습니다.
레거시 코드의 재습격
트랜잭션 해시 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL에서 포착된 이번 공격은 스캘럽의 주요 대출 인프라나 사용자 예치금을 손상시키지 않았습니다. 팀은 UTC 12:50에 해당 컨트랙트를 동결했으며 14:42까지 모든 서비스를 복구했습니다.
독립적인 분석 결과, 버그는 폐기된 컨트랙트가 공격자의 새로운 스테이킹을 마치 20개월 동안 보상을 받아온 것처럼 처리한 것에 집중되어 있었습니다. 이를 통해 공격자는 불균형한 양의 보상을 청구하여 풀에 보유된 15만 SUI를 인출할 수 있었습니다. 이번 사건은 온체인에 활성화된 채 남아 있는 오래되고 사용되지 않지만 여전히 호출 가능한 컨트랙트의 위험성에 대한 주의를 환기시켰으며, 이는 Sui와 같은 불변의 블록체인에 있어 특별한 과제입니다.
업계 전반의 문제
스캘럽 사건은 주변 컨트랙트와 관련된 최근 볼로 프로토콜의 350만 달러 손실을 포함하여 Sui 네트워크에서 발생한 일련의 공격 중 가장 최근의 사례입니다. 2026년 4월은 DeFi 보안에 있어 가혹한 한 달이었으며, 13건의 사고로 인한 총 해킹 손실액은 6억 600만 달러를 넘어섰습니다. 이는 Aave의 2억 9,200만 달러 Kelp DAO 디페깅 사건과 같은 주요 사건을 연상시키며, 4월을 DeFi 보안 역사상 최악의 달 중 하나로 기록하게 할 전망입니다.
공격 이후, 공격자는 스캘럽 팀에 연락하여 화이트햇 현상금을 대가로 도난 자금의 80%를 반환하겠다고 제안한 것으로 알려졌습니다. 팀은 또한 OtterSec 및 MoveBit과 같은 업체의 이전 보안 감사에도 불구하고 취약점이 어떻게 누락되었는지 검토하고 있습니다. Sui 재단이나 Mysten Labs는 이 문제에 대해 공식 성명을 발표하지 않았습니다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.