스캘럽 프로토콜이 일요일에 플래시론 공격을 받았습니다. 공격자는 고도로 표적화된 오라클 조작 공격을 통해 약 14만 2천 달러(15만 SUI)를 빼돌린 것으로 알려졌습니다. 이번 공격은 프로토콜의 핵심trac에는 영향을 미치지 않았지만, 더 근본적인 설계 결함을 드러냈습니다.
공격자가 Scallop의 sSUI 보상 풀과 관련된, 더 이상 사용되지 않는 부가trac을 악용한 것으로 알려졌습니다. Scallop 팀은 핵심 프로토콜은 그대로 유지되고 모든 사용자 예치금은 안전하다고 강조했습니다. 그러나 손실은 해당 부분에만 국한된 것으로 보입니다.
오래된 코드일까, 아니면 오라클의 결함일까?
분석가들은 핵심 문제가 스캘럽의 맞춤형 오라클 가격 피드 조작에 있다고 지적합니다. 공격자는 이를 통해 SUI/USDC 환율을 인위적으로 낮추고 왜곡된 가격으로 자산을 빌린 후, 동일한 거래 내에서 즉시 상환했습니다 . 결국 용의자는 차익을 챙겨 달아났습니다.
이는 흔히 볼 수 있는 DeFi 공격 패턴을 따르지만, 이번 공격은 매우 정교하게 실행되었습니다. 공격자는 활성 코드나 표준 SDK 경로를 표적으로 삼지 않았습니다. 대신 2023년 11월에 배포된 오래된 V2trac패키지를 공격 대상으로 삼았습니다. 이 버전은 배포는 완료되었지만 온체인에서 호출 가능한 상태로 남아 있었습니다. Sui는 배포된 모든trac패키지를 변경 불가능하고 접근 가능한 상태로 유지합니다. 바로 이러한 이유로 오래된 패키지가 숨겨진 공격 표면이 된 것입니다.
Sui 주가는 해킹 사건 이후에도 하락세를 보이지 않았습니다. 오히려 지난 24시간 동안 거의 2% 상승했습니다. 현재 Sui는 0.94달러에 거래되고 있으며, 24시간 거래량은 약 1억 8,700만 달러 수준입니다.
한 전문가가 게시글에서 해당 결함이 미묘하지만 심각하다고 언급했습니다. 더 이상 사용되지 않는 계약에서 trac 변수인 "last_index"가 새 계정 생성 시 초기화되지 않았습니다. 이로 인해 공격자는 마치 풀 출시 초기부터 스테이킹을 해온 것처럼 보상을 획득할 수 있었습니다.
시간이 지남에 따라 보상 지수가 증가하자 공격자는 단일 거래로 전체 보상 풀을 자신에게 귀속시켰습니다. 그는 스풀 지수가 20개월 동안 11억 9천만 달러까지 증가했다고 언급했습니다.
공격자는 136,000 sSUI를 스테이킹하고 162조 포인트를 획득했습니다. 하지만 보상 풀은 1:1 환율(분자와 분모 모두 1)로 운영되었기 때문에 162조 포인트는 162,000 SUI 상당의 보상으로 직접 전환되었습니다. 보상 풀에는 150,000 SUI밖에 없었고, 그마저도 모두 소진되었습니다.
온체인 데이터에 따르면 도난당한 자금은 Sui의 Tornado Cash 와 유사한 믹싱 서비스를 통해 신속하게 이동되었습니다. 이로 인해 자금 복구가 더욱 어려워졌습니다.
해킹 이후 다시 온라인 접속 가능한 스캘럽 사이트
스캘럽 팀은 이에 대응하여 일시적으로 운영을 중단했습니다. 이후 핵심trac을 재개하고 모든 운영을 정상화했다고 발표했습니다. X 포럼의 게시물에 따르면 해당 문제는 핵심 프로토콜과는 관련이 없으며, 사용이 중단된 보상trac에 국한된 문제였습니다. 결과적으로 사용자 예치금은 영향을 받지 않았으며 모든 자금은 안전하게 보존되었습니다. 현재 입출금은 정상적으로 운영되고 있습니다.
🚨 Sui에서 플래시론 취약점 공격으로 Scallop이 피해를 입어 오라클 조작 공격으로 142,000달러 손실 발생
자세한 내용은 아래를 참조하세요 👇
무슨 일이에요?
2026년 4월 26일, 스캘럽 대출 프로토콜에서 sSUI 스풀 보상 풀과 관련된 사용되지 않는 사이드trac을 표적으로 하는 플래시론 공격이 발생했습니다
— 소피아 호들버그 (@sophiaHodlberg) 2026년 4월 26일
공격자는 팀에 연락하여 화이트햇 바운티를 받는 조건으로 자금의 80%를 반환하겠다고 제안한 것으로 알려졌습니다. 현재 해당dent 대한 조사가 진행 중입니다. 팀은 이 취약점이 OtterSec 및 MoveBit과 같은 회사의 사전 감사를 어떻게 통과했는지 확인할 예정입니다.
Cryptopolitan 2026년 4월에 발생한 주요 사건들 중 상당수가 dent 프로토콜 로직에서 비롯된 것이 아니라, 접근은 가능하지만 간과되었던 기존 계약, 어댑터 또는 인프라 계층에서 발생했다고 trac 되었습니다 dent 으로 6억 달러 이상의 자금이 도난당했습니다 .
Kelp DAO와 Drift Protocol은 4월 손실액의 약 95%를 차지했습니다. Kelp에 대한 공격으로 인해 Aave에 1억 7,700만 달러의 부실 채권이 발생했습니다. 한편, Arbitrum의 보안위원회는 도난당한 자금 중 30,766 ETH(약 7,100만 달러 상당)를 성공적으로 동결했습니다.
하이퍼리퀴드(HYPE)는 여전히 DeFi 카테고리에서 가장 큰 토큰입니다. HYPE 가격은 지난 30일 동안 10% 상승했으며, 현재(보도 시점) 41.95달러에 거래되고 있습니다. Chainlink LINK)는 두 번째로 큰 토큰이며, 약 9.4달러에 거래되고 있습니다.
