볼로 프로토콜, Sui 블록체인 취약점 공격으로 350만 달러 손실… WBTC 브리지 공격 시도 차단

• 볼로 프로토콜은 2026년 4월 21일, 관리자 개인 키가 유출된 후 수이(Sui) 기반 금고 3곳에서 350만 달러의 손실을 입었습니다.
• GoPlus Security와 ExVul은 이번 사건이 Volo의 감사받은 스마트 계약상의 결함이 아닌, 특권 운영자 키의 유출로 인한 것임을 확인했습니다.
• 볼로는 공격자의 19.6 WBTC 브리지 시도를 차단했으며, 사후 분석이 완료될 때까지 금고를 동결한 상태에서 모든 손실을 자체 부담하고 있습니다.

볼로 프로토콜 350만 달러 보안 침해: Sui 블록체인에서 발생한 사건

이번 공격으로 랩드 비트코인(WBTC), Matrixdock의 토큰화된 금 자산 XAUm, 그리고 USDC를 보유한 3개의 금고가 털렸습니다. 독립적인 분석에 따르면 손실 규모는 WBTC 약 210만 달러, XAUm 약 90만 달러, USDC 약 50만 달러로 집계되었습니다. 총 잠금 가치(TVL) 약 2,800만 달러에 달하는 나머지 금고들은 영향을 받지 않았으며, 동일한 취약점을 보이지 않았습니다.

볼로(Volo) 팀은 이번 침해 사고를 신속하게 감지했다. 팀은 모든 금고를 동결하고, 수이 재단(Sui Foundation)에 통보했으며, 온체인 조사관 및 생태계 파트너들과 협력하여 도난 자금을 추적하고 회수하기 시작했다.

X(구 트위터)에 게시된 글에서 볼로는 예치자들에게 비용을 전가하지 않고 손실 전액을 자체적으로 부담하겠다고 밝혔습니다. 팀은 "볼로는 이번 손실을 감당할 준비가 되어 있습니다. 사용자에게 이 부담을 전가하지 않도록 최선을 다하겠습니다"라고 적었습니다. 또한 조사가 마무리되는 대로 상세한 사후 분석 보고서를 공개하겠다고 약속했습니다.

"현재는 피해 최소화 단계에 있지만, 이 작업이 완료되면 시정 계획을 수립할 것이며, 곧 상세한 내역을 공유할 예정입니다,"라고 팀은 덧붙였습니다. 초기 발표 후 30분 이내에, 볼로는 생태계 파트너들과의 협력을 통해 약 50만 달러 상당의 도난 자산을 동결했다고 보고했습니다. 다음 날인 4월 22일, 팀은 약 210만 달러 상당의 19.6 WBTC를 브리지로 빼내려는 공격자의 시도를 차단했다고 확인했습니다. 해당 자금은 더 이상 공격자의 통제하에 있지 않습니다. 보안 업체인 Goplus Security, Exvul Security, Bitslab은 각각 예비 온체인 분석 결과를 발표하며, 권한이 높은 운영자 키의 유출이 근본 원인이라고 지적했습니다. 연구진은 공격자의 주소를 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75로 확인했으며, 이 주소는 withdraw_with_account_cap_v2 등의 기능을 사용하여 금고를 탈취했습니다.

Goplus는 이번 침해 사고의 원인을 금고 관리자 계정을 노린 사회공학 및 관련 사기 기법으로 지목했습니다. 핵심 스마트 계약 코드에는 결함이 발견되지 않았습니다. 따라서 이번 침해는 프로토콜 수준의 취약점보다는 키 관리 실패에 속하는 것으로 분류됩니다.

Volo는 이전에 Ottersec, Movebit, Hacken과 함께 감사를 완료했으며, 공격 발생 당시에도 버그 바운티 프로그램을 운영 중이었습니다. 모든 금고는 현재 동결된 상태입니다. Volo와 파트너사들은 동결된 WBTC를 프로토콜로 반환하기 위해 적극적으로 노력하고 있습니다. 향후 발표될 사후 분석 보고서에는 상세한 대응 계획이 포함될 예정입니다.

2026년 4월 Volo에 대한 공격은 2026년 4월 18일 발생한 KelpDAO 침해 사건에 이어 발생했습니다. 일부 추산에 따르면 2026년 4월 한 달 동안 프로토콜 전반에 걸친 DeFi 누적 손실액은 6억 달러를 넘어섰으며, 이는 온체인 코드보다는 접근 제어 및 키 관리를 노리는 공격 패턴을 반영합니다.

영향을 받지 않은 금고의 예치자들은 손실을 보고하지 않았습니다. Volo 팀은 전체 사후 분석 보고서가 공개되기 전까지 실시간 업데이트를 위해 사용자들이 X(구 트위터)의 공식 @volo_sui 계정을 확인하도록 안내했습니다.

이번 사건은 공식 감사를 통과했음에도 불구하고 키 관리 위험에 직면한 디파이(DeFi) 플랫폼의 사례가 늘어나고 있음을 보여줍니다. 이는 2025년과 2026년에 걸쳐 여러 블록체인 생태계에서 보안 연구원들이 반복적으로 지적해 온 패턴입니다.