수이(SUI) 기반 디파이 프로토콜 네모(Nemo)가 무감사 스마트 계약 코드로 인해 약 259만 달러, 즉 36억 원에 달하는 자금을 해킹당한 사실이 확인됐다. 네모는 최근 대응 및 사고 경과에 대해 담긴 보고서를 통해 사태의 배경을 자세히 설명했다.

해킹 사건은 지난 9월 7일에 발생했다. 공격자는 슬리피지(slippage) 최소화를 위한 `get_sy_amount_in_for_exact_py_out` 함수의 보안 취약점을 활용하여 프로토콜의 내부 상태를 조작하는 데 성공했다. 이 함수는 스마트 계약 감사 기관인 애심토틱(Asymptotic)의 승인 없이 온체인에 배포되었으며, 이는 오직 단일 주소의 서명으로 이루어진 변경이었다.

애심토틱은 사전에 해당 코드가 잠재적으로 위험하다는 경고를 이미 내놓았으나, 네모 측은 이에 대해 즉각적으로 대처하지 않았다고 인정했다. 감사 해시와 같은 필수 확인 절차를 무시하며 개발자가 단독으로 감사 절차를 우회하게 된 셈이다. 이러한 불상사는 최근 몇 달 전에 NFT 플랫폼 슈퍼레어(SuperRare)에서도 비슷한 사건이 발생한 것을 떠올리게 한다. 슈퍼레어 역시 7월 말, 기본 테스트로 방지 가능한 버그로 인해 약 73만 달러가 손실된 바 있다.

네모는 문제가 된 코드가 올해 1월에 이미 배포되었음을 밝혔다. 아이러니하게도, 해당 보안 강화 조치는 사고 발생 3개월 후인 4월부터 시행되었고, 애심토틱이 8월 11일 다시 문제를 경고한 이후에도 네모 측은 다른 사안에 집중하여 취약점을 방치했던 것으로 전해진다.

현재 네모는 사고의 확산을 방지하기 위해 핵심 기능을 일시적으로 중단한 상태이다. 프로젝트 관계자는 여러 보안 팀과 협력하여 해커가 보유한 자산을 중앙화된 거래소에서 동결하는 작업을 시행하고 있다고 밝혔다. 긴급 패치를 통해 애심토틱에게 재검토를 요청했으며, 플래시론 기능을 제거하고 수동 초기화 기능을 배치하는 등 결함 수정을 위한 조치를 취하고 있다.

피해 사용자를 위한 보상안도 현재 마련 중이다. 네모는 토크노믹스 측면에서 부채 구조 조정을 포함한 사용자 보상 계획을 설계하고 있다고 전했다. 프로젝트 측은 이번 사태를 통해 "보안과 리스크 관리는 항상 경계를 유지해야 할 분야다"라며, 향후 더 정교한 내부 통제 및 지속적인 방어 체계를 강화하겠다고 다짐했다.