스퀴드 명칭 붙은 외부 모듈서 320만달러 유출…"본체 프로토콜 피해 아냐"

스퀴드(Squid) 이름이 붙은 외부 모듈에서 약 320만달러 규모의 해킹 피해가 발생했다. 다만 스퀴드 측은 해당 모듈이 자사가 만든 계약이 아니며, 핵심 프로토콜에는 피해가 없다고 선을 그었다.

25일 가상자산(암호화폐) 전문 미디어 더블록에 따르면 보안업체 블록에이드(Blockaid)와 펙실드(PeckShield)는 이더리움과 베이스(Base) 네트워크에서 제3자 노시스 세이프(Gnosis Safe) 모듈이 공격을 받았다고 밝혔다. 이번 공격으로 약 2시간 동안 86개 세이프에서 약 320만달러가 빠져나갔다.

문제가 된 계약은 베이스스캔에서 'SquidRouterModule'이라는 이름으로 등록돼 있었다. 이 때문에 초기에는 스퀴드 관련 해킹으로 보일 수 있었지만, 스퀴드 측은 해당 계약이 자사와 직접 관련이 없다고 설명했다.

스퀴드 공동창업자 피그(Fig)는 엑스(X·옛 트위터)를 통해 "SquidRouterModule이라는 계약은 스퀴드와 관련이 없다"며 "누가 작성하거나 배포했는지는 아직 알지 못한다"고 말했다. 스퀴드 공식 계정도 핵심 라우터는 별도로 분리돼 있어 영향을 받지 않았다고 밝혔다.

공격자는 해당 외부 모듈의 취약점을 이용해 피해 지갑의 승인 절차를 우회한 것으로 전해졌다. 이를 통해 피해 세이프에 보관된 토큰을 서명 없이 이동시키고, 유니스왑 V3 풀을 거쳐 자금을 빼낸 것으로 분석됐다.

펙실드에 따르면 공격자는 피해 자산을 자신이 만든 무가치 토큰으로 바꾼 뒤 유동성을 제거하는 방식으로 약 307만DAI를 확보했다. 공격자의 초기 자금 2.1ETH는 토네이도캐시에서 나온 것으로 파악됐다.

스퀴드는 초기 보도에서 'SquidRouter'라는 표현이 쓰인 것은 기술적으로 부정확하다고 지적했다. 해당 계약은 스퀴드 이름을 포함하고 있지만, 여러 프로토콜 중 스퀴드를 연동한 외부 제품일 뿐 스퀴드 팀과 접촉한 적도 없다는 설명이다.

더블록은 2026년 들어 디파이(DeFi)에서 7억7000만달러 이상의 피해가 발생했다고 전했다. 지난 4월에만 약 30건의 사고가 발생했으며, 피해 규모는 6억3000만달러를 넘었다.

스퀴드는 최근 노스아일랜드벤처스가 주도한 전략적 투자 라운드에서 600만달러를 조달했다. 회사 측은 현재까지 9차례 독립 보안 감사를 완료했으며, 자체 프로토콜에서는 익스플로잇이 발생하지 않았다고 밝혔다.