수이(SUI) 네트워크를 기반으로 한 디파이 프로토콜 네모(Nemo)가 감사되지 않은 스마트 계약 코드로 인해 약 259만 달러, 즉 36억 원 상당의 자산을 탈취당한 것으로 밝혀졌다. 네모는 최근 보안 사고 원인에 대한 분석 보고서를 발표하며 해킹 발생 배경과 대응 과정을 상세히 설명했다.
해킹 사건은 9월 7일에 발생했으며, 공격자는 네모의 `get_sy_amount_in_for_exact_py_out` 함수의 취약점을 이용해 프로토콜의 상태를 조작했다. 해당 함수는 보안 감사를 맡은 애심토틱(Asymptotic)으로부터 공식 승인을 받지 않은 상태에서 온체인에 배포되었고, 이 과정은 단일 주소 서명만으로 완료되었다. 이처럼 신뢰할 수 없는 코드를 이용해 해커가 접근할 수 있었던 것은 주요 보안 절차를 무시한 결과로, 네모는 이미 사전 보고서에서 해당 코드의 위험성을 인지하고 있었음에도 불구하고 즉각적인 조치를 취하지 않은 것으로 드러났다.
특히, 감사Hash와 같은 필수 확인 절차가 생략되면서 개발자가 단독으로 감사를 회피한 사실이 문제로 지적된다. 이러한 사실은 불행하게도 지난 7월 NFT 플랫폼 슈퍼레어(SuperRare)가 겪은 유사한 보안 사고를 떠올리게 한다. 슈퍼레어는 기본적인 테스트만으로 방지할 수 있었던 버그로 인해 약 73만 달러의 손실을 입은 바 있다.
네모는 문제가 된 코드가 올 초인 1월에 이미 배포된 점을 밝히며, 사고 후 3개월이 지나서야 보안 강화 조치를 시행한 사실을 논란의 여지로 삼았다. 또한, 애심토틱이 다시 경고한 8월 11일 이후에도 네모 측은 다른 문제에 집중하며 이 취약점을 방치했다고 설명했다.
현재 네모는 사고 확산을 막기 위해 프로토콜의 핵심 기능을 일시 중단한 상태이다. 프로젝트는 여러 보안팀과 협력하여 중앙화 거래소에서 해커가 도난한 자산을 동결하는 작업을 진행하고 있다. 또한, 긴급 패치가 개발 중이며, 애심토틱의 새로운 검토를 기다리고 있으며, 플래시론 기능을 제거하고 수동 초기화 기능까지 추가하여 보완책을 마련하고 있다.
피해 사용자들에 대한 보상안도 현재 검토 중이다. 네모는 토크노믹스 차원의 부채 구조 조정을 포함한 상세한 사용자 보상 계획을 마련하고 있다고 설명하며, 이번 사태를 계기로 보안과 리스크 관리의 중요성을 다시 인식하게 되었다고 전했다. 보다 정교한 내부 통제를 강화하고 지속적인 방어 체계를 구축하는 노력이 필요하다는 점을 다짐하며, 향후 유사한 사건을 방지하기 위해 철저한 검토가 요구된다.
