Cetus, 도난당한 1.6억 달러의 자금을 정말로 '회수'했을까?

2025.05.23

Cetus, 도난당한 1.6억 달러의 자금을 정말로 '회수'했을까?

이 자금이 손해를 입은 사용자들에게 보상으로 반환될 수 있을지는 여전히 미지수이다.

2025.05.23 - 10:03:54

CetusSui

Web3 심층 보도에 집중하고 흐름을 통찰

이 자금이 손해를 입은 사용자들에게 보상으로 반환될 수 있을지는 여전히 미지수이다.

글: Alex Liu, Foresight News

어제 Sui 생태계에서 가장 큰 탈중앙화 AMM 거래소인 Cetus가 수치 정밀도 관련 코드 문제로 인해 공격자에게 유동성이 조작당하며 2억 달러 이상을 도난당했다.

도난 발생 2시간 후, Cetus는 "현재까지 공격자가 Cetus 프로토콜에서 약 2.23억 달러를 유출한 것으로 확인되었으며, 팀은 추가적인 자금 유출을 막기 위해 계약을 잠그는 조치를 취했고, 도난된 자금 중 1.62억 달러를 동결했다"고 밝혔다. 또한 "현재 Sui 재단 및 기타 생태계 구성원들과 협력하여 다음 단계의 해결책을 마련 중이며, 남은 도난 자금 회수를 목표로 하고 있다. 대부분의 영향을 받은 자금은 이미 사용이 일시 중지되었으며, 나머지 자금 복구 방안을 적극적으로 모색하고 있다. 사건에 대한 전체 보고서는 추후 공개될 예정이다"라고 전했다.

여기서 주목할 점은 사용된 표현이 '회수'가 아니라 '동결'이라는 점이다. 즉, 이 자금이 피해를 입은 사용자들에게 실제로 환원될 수 있을지는 여전히 미지수라는 의미다. 그리고 Sui 공식 측은 이 과정에 대해 더 자세히 설명했다.

해커가 크로스체인을 통해 이더리움 메인넷으로 옮겨 약 2만 개 이상의 ETH(약 6000만 달러)로 교환한 자금을 제외하면, 대부분의 도난 자금은 여전히 해커의 Sui 체인 주소에 남아 있다. 그리고 해당 자산의 「동결」은 실질적으로 Sui 검증자들이 공동으로 관련 주소를 「검열(censor)」한 것—즉 모두가 그 주소를 무시하기로 합의한 것에 해당한다.

객관적으로 볼 때, 이는 탈중앙화 세계의 「검열 저항(Censorship Resistant)」 원칙을 위반하는 중심화된 조치이며, 커뮤니티 내에서 큰 논란을 불러일으키고 있다.

그렇다면 이렇게 동결된 자금을 이후 어떻게 되찾아올 수 있을까? Sui 공동창립자는 회수된 자금을 Cetus 유동성 풀로 다시 돌려놓는 것을 언급하며, 이를 전제로 회수 가능성을 이야기했다.

간단히 말해, 「동결」은 해커의 Sui 체인 상 서명을 무효화시켜 거래가 체인에 기록되지 못하게 하고, 자금을 주소 안에 가둬두는 것이다. 그렇다면 「회수」란 해커의 서명 없이도 그의 주소에 있는 자산을 옮길 수 있어야 하는데, 이것이 가능한가?

사실 Solayer의 엔지니어 Chaofan은 Sui 팀이 모든 Sui 검증자들에게 수정 코드 배포를 요청하고 있으며, 이를 통해 공격자의 서명 없이도 자금을 「회수」할 수 있도록 하려 한다고 밝혔다. 이는 명백히 중심화된 조치이며, 커뮤니티의 더 큰 논쟁을 불러일으키고 있다—서명이 없음에도 자산이 주소에서 옮겨질 수 있다는 점에서 말이다.

(참고: 일부 Sui 검증자들은 그러한 「요청」을 받지 않았다고 반응했으며, Chaofan 역시 후속으로 현재 Sui 검증자들이 관련 코드를 아직 배포하지 않았다고 밝혔다.)

하지만 이는 어쩔 수 없는 특별한 사례로서, 현재 Sui의 탈중앙화에는 비상 상황 시 작동 가능한 「스위치」가 존재함을 보여준다. Sui가 이를 가능하게 하는 이유는 검증자 수가 100명 초반에 불과하며, 대부분의 검증자들이 Sui 재단과 좋은 관계를 유지하는 기관들이기 때문에 조율이 용이하기 때문이다. (Sui 검증자가 되기 위해서는 자체 보유하거나 천만 개 이상의 SUI 토큰 스테이킹을 유치해야 하며, 일반적으로 기관만이 이러한 자금력을 갖출 수 있다.)

본 필자는 이러한 조치를 지지한다. Cetus는 Sui 생태계 최대의 탈중앙화 AMM 거래소로서, 유동성 풀에는 수많은 사람들의 저축과 생계 자금이 담겨 있다. 동시에 많은 Sui 프로젝트 토큰의 주요 유동성 풀이 Cetus에 배치되어 있어, 유동성 철수가 해당 생태계 프로젝트들에게 치명적인 손실이 될 수 있다. 따라서 이 자금을 되찾는 것은 아직 성숙하지는 않지만 활발히 발전하던 Sui DeFi 생태계를 보호하기 위한 필수적인 조치라 할 수 있다.

만약 「탈중앙화」라는 교조를 고집하기 위해 이런 모든 것을 파괴하는 것을 선택한다면, 이는 이더리움 The DAO 하드포크 이후 ETC(이더리움 클래식)를 고집하는 원교주의와 마찬가지라 할 수 있다. 본 필자는 아래의 견해에 동의한다: 탈중앙화는 시작점이 아니라 목표다. 현재 단계에서 극도의 탈중앙화를 추구하고 싶다면 나는 이더리움을 선택할 것이다. 그러나 지금 나는 Cetus에서 피해를 입은 사용자들을 위해 Sui가 자금 회수에 나선 것을 긍정적으로 본다.