탈중앙화 암호화폐 거래소(DEX) 스시스왑(SushiSwap)에서 스마트 컨트랙트 버그를 악용한 해킹이 발생했다.
블록체인 보안업체 펙쉴드(Peckshield)는 9일(현지시간) 트위터를 통해 "스시스왑의 라우터프로세서2 컨트랙트에 승인 관련 버그가 있었다"면서 "이로 인해 330만 달러(약 1800 ETH, 한화 약 43억원)의 자금 피해가 발생했다"고 밝혔다.
라우터프로세스2는 여러 거래소의 유동성을 집계해 거래에 가장 유리한 가격을 식별하는 스마트 컨트랙트다.
자레드 그레이(Jared Grey) 스시스왑 수석은 해당 트윗을 공유하면서 "사태 여파를 최소화하기 위해 보안팀과 작업 중"이라고 말했다.
스시스왑과 보안업체 측은 최근 4일 이내 스시스왑을 이용한 경우, 해킹 주소에 연결된 월렛이 있는지 확인하고 이를 해제할 것을 촉구했다.
해킹 사실을 공식 발표한 후 약 19시간 만에 스시스왑은 "해킹 주소를 제거했다"고 밝혔으며, 피해자 대응 방안도 공유했다.
또한 화이트햇 보안 프로세스를 통해 손실 자금을 대부분 회수한 상태라고도 밝혔다.
스시스왑은 2020년 8월 유니스왑에서 하드포크를 통해 출범한 DEX다.
코인게코에 따르면 스시스왑 토큰(SUSHI)은 해킹 이후 6% 하락해 1.07 달러까지 내려갔다가 현재 1.12 달러 수준을 회복했다.