스시스왑 거래소, 스마트 컨트랙트 해킹 피해액 330만 달러

Last updated:
Author
Author
Hyunsoo Kim
About Author

경영학을 전공한 김현수 작가는 암호화폐 및 블록체인 업계에서 콘텐츠 에디터로 총 5년 이상의 풍부한 커리어를 쌓아온 전문가입니다. 흥미롭고...

Last updated:
크립토뉴스를 신뢰할 수 있는 이유
10년 이상 암호화폐 소식을 전해온 크립토뉴스는 업계에서 오랜 기간 쌓아온 입지와 양질의 저널리즘을 위한 노력 덕분에 급변하는 디지털 금융 세계에서 신뢰할 수 있는 매체로 자리매김했습니다. 베테랑 저널리스트와 애널리스트로 구성된 크립토뉴스 보도팀은 심도 있는 업계 지식과 블록체인 기술에 대한 실무 경험을 접목합니다. 또한, 엄격한 편집 기준을 유지하여 기존의 암호화폐뿐만 아니라 새롭게 떠오르는 프로젝트에 대해서도 사실에 입각한 정확성과 공정한 보도를 약속합니다. 크립토뉴스에 대해 자세히 알아보기
광고 공개 정책크립토뉴스는 소중한 독자에게 완전한 투명성을 약속합니다. 일부 콘텐츠에는 제휴 링크가 포함되어 있으며, 크립토뉴스는 이러한 파트너십을 통해 수수료를 받을 수 있습니다.
면책조항: 이 기사를 투자 조언으로 받아들여서는 안됩니다. 암호화폐는 변동성이 큰 투자상품이기 때문에 투자 전 자체적인 조사를 수행하시기 바랍니다.
출처: AdobeStock / Sergey Nivens

인기 탈중앙화 거래소(DEX) 플랫폼 스시스왑(SushiSwap)이 스마트 컨트랙트의 버그를 악용한 해커에 의해 330만 달러의 피해를 입었다.

스시스왑의 ‘다수의 출처에서 매매 유동성을 취합하여 암호화폐 스왑(교환) 시 최적의 가격을 식별하는 스마트 컨트랙트’인 RouteProcess02 컨트랙트가 취약점 공격(exploit)을 당했고 여러 블록체인 네트워크에 배포되었다.

“근본적인 문제는 내장 함수 swap()이다. swap()은 swapUniV3()를 불러 0x00 슬롯에 저장되는 “lastCalledPool”이라는 변수를 설정한다. 추후에 swap3callback 함수에서 승인 체크가 우회되었다,” 라고 암호화폐 보안 업체 앤실리아(Ancilia)는 트윗을 통해 설명했다.

디파이 라마(Defi Llama) 개발자 0xngmi는 지난 4일 동안 스시스왑에서 암호화폐 스왑을 한 사용자만이 영향을 받았을 것이라고 추측한다.

0xngmi는 트윗을 통해 “지난 4일 동안 스시스왑에서 암호화폐 스왑을 한 사용자만이 영향을 받았을 것이다. 만약 그랬다면 해당 승인을 최대한 빨리 철회하거나 사용한 지갑에 있는 자금을 새로운 지갑으로 옮겨야 한다,”라고 전했다.

현재까지 밝혀진 피해 사용자는 한 명이다. 암호화폐 시푸(Sifu)의 열성가로 유명한 이 피해자는 1,800 ETH(약 330만 달러)의 피해를 입은 것으로 보고됐다.

스시스왑의 수석 개발자 제러드 그레이(Jared Grey)는 “스시스왑의 RouteProcessor2 컨트랙트는 승인 관련 버그가 있다; 최대한 빨리 모든 승인을 취소하기를 권장한다”라고 트윗을 통해 밝혔다.

그는 또한 문제 해결을 위해 깃허브에 해지가 요구되는 블록체인들의 컨트랙트 리스트를 업로드했다.

스시스왑, 갈취된 자금의 “대부분” 회수

스시스왑 팀은 와이트 햇(white hat, 윤리적 해킹) 보안 절차를 통해 갈취된 자금의 대부분을 회수했다.

스시스왑 수석 개발자 그레이는 “우리는 와이트 햇 보안 절차를 통해 갈취된 자금의 대부분을 회수했습니다. 만약 와이트 햇 회수 절차에 참여했다면 [email protected] 에 연락하여 다음 단계를 안내받으세요,”라고 동부 표준시 9:42 a.m.에 발표했다.  

“우리는 시푸의 Coffeebabe에서 갈취된 300 ETH 이상을 회수했으며 리도 팀과 700 ETH의 회수와 관련하여 협력 중입니다.”

스시스왑의 최고 기술 책임자 매튜 릴리(Matthew Lilley)는 현재 스시스왑 플랫폼 사용에 문제가 없다고 밝혔다. 릴리는 “모든 RouterProcessor2 관련 서비스는 제거되었으며 LPing / 스왑 서비스는 안전하다,”라고 덧붙였다.

이번 해킹 사건은 스시 DAO와 그레이가 미 증권거래위원회(SEC)에 의해 소환장을 받은 이후 발생했다.

3월 21일. 스시 DAO는 법률 자문 비용을 청구하는 제안서에서 SEC의 소환장을 공개했다.

지난 주말, 그레이는 소환장 관련 공개 성명을 발표했다. “SEC의 조사는 비공개적으로 이루어지며 연방 증권법을 위법했는지에 대한 사실 관계 조사다.”

“제가 알고 있는 바로는 SEC는 아직(작성 시점 기준) 스시스왑과 관련된 어떠한 업체나 사용자에 대해서 미국 연방 증권법을 위법한 행위를 찾지 못했다.”

함께 읽을 만한 기사

관련 기사 보기

News
트럼프가 공약을 지키고 ‘이 예측’이 맞는다면 XRP 가격 $8.5까지 간다?
Robert Jang
Robert Jang
2025-01-08 09:50:52
News
위메이드 임직원, ‘지급되지 않은 알트코인 보너스’를 이유로 제소
Jaeyoon Lee
Jaeyoon Lee
2025-01-08 09:24:40
Crypto News in numbers
editors
Authors List + 66 More
1백만+
월간 활성 이용자 수
250개+
가이드, 리뷰 및 기사
8주년
크립토뉴스 출시
70명+
전 세계의 콘텐츠 에디터