투자 유치 3일 만에 터진 악재: 스퀴드 연관 모듈 해킹으로 86개 금고에서 300만 달러 탈취

사고 직후 스퀴드 측은 즉각 진화에 나섰습니다. 회사는 피해를 입은 스퀴드라우터모듈이 자사가 개발하거나 배포, 운영하는 핵심 라우팅 프로토콜과는 무관한 서드파티(제3자) 기반의 노시스 세이프 모듈이라고 해명했습니다 . 해커는 이미 **토네이도 캐시(Tornado Cash)**를 통해 익명으로 자금을 세탁했으며, 탈취된 약 307만 개의 DAI(스테이블코인)는 현재까지 동결되지 않고 공격자의 지갑에 그대로 남아 있습니다 .

노시스 세이프의 보호 장치를 우회한 공격 방식

이번 공격의 핵심은 스퀴드라우터모듈의 executeSameChainActions() 함수에 존재하는 치명적인 취약점이었습니다. 이 함수는 검증 과정에서 공격자가 쉽게 재사용할 수 있는 고정된 문자열을 사용하고 있었습니다 . 이미 2023년 한 보안 감사에서도 해당 인터페이스의 위험성이 경고된 바 있습니다 .

공격은 다음과 같은 4단계로 빠르게 진행되었습니다.

1. 가짜 유니스왑 V3 풀 생성: 공격자는 겉보기에는 멀쩡하지만 실제로는 자신이 완전히 통제하는 유니스왑(Uniswap) V3 유동성 풀을 만들었습니다 .
2. 승인 절차 우회: 취약한 모듈을 악용해 공격자가 마치 권한을 위임받은 사용자인 것처럼 가장했습니다. 덕분에 노시스 세이프 고유의 다중 서명(multisig) 기반 승인 절차를 완전히 무력화할 수 있었습니다 .
3. 초고속 자금 탈취: 불과 2시간 동안 이더리움과 베이스 네트워크에서 총 86개의 세이프를 연쇄적으로 털었습니다 .
4. 자금 통합 및 세탁: 탈취한 모든 토큰을 DAI로 교환한 후, 공격자가 통제하는 단일 지갑으로 전송했습니다. 이 지갑에는 약 307만 DAI가 보관 중입니다 .

이 특정 공격 경로는 ‘제3자 모듈의 취약한 검증 로직을 악용해 지갑 자체의 보안을 무력화’했다는 점에서, 2026년에 성행했던 다른 주요 해킹들(주로 위조된 크로스체인 메시지를 악용)과는 차별화됩니다 .

묘한 3일의 간극: 투자 유치 기쁨도 잠시

스퀴드라우터모듈 해킹은 스퀴드 브랜드에 있어 더할 나위 없이 민감한 시점에 발생했습니다.

• 2026년 5월 22일: 스퀴드는 총 누적 투자금 1,350만 달러를 달성하는 600만 달러 규모의 전략적 투자 유치를 발표하며, 소비자 대상 크로스체인 제품 확장 계획을 밝혔습니다 .
• 2026년 5월 25일: 블록에이드가 스퀴드라우터모듈 해킹을 경고하며, 암호화폐 커뮤니티에 즉각적인 브랜드 혼란을 야기했습니다 .

스퀴드는 사고 발생 수 시간 안에 여러 채널을 통해 해당 모듈이 “스퀴드와 무관”하며, 자사의 핵심 크로스체인 라우팅 컨트랙트와 구조적으로 전혀 다르다고 해명했습니다 . 또한, 스퀴드 사용자의 자금이나 핵심 프로토콜은 이번 사고의 영향을 전혀 받지 않았다고 못 박았습니다 . 모듈 이름 때문에 공식 보도에서 직접적인 연관성이 있는 것처럼 비춰질 위험이 컸기에, 이 같은 신속한 브랜드 방어가 필수적이었습니다 .

기록적인 한 해, 2026년 크로스체인 브리지 해킹의 현주소

스퀴드라우터모듈 사건은 2026년을 브리지 보안 역사상 최악의 해로 만들고 있는 일련의 파괴적인 크로스체인 공격 중 가장 최근에 발생한 사례입니다.

블록체인 보안 전문 기업 펙쉴드(PeckShield)에 따르면, 2026년 5월 중순까지 단 8건의 주요 브리지 해킹만으로 총 3억 2,860만 달러가 탈취당했습니다 . 5월 말 기준으로 모든 카테고리를 통틀어 암호화폐 해킹 총 피해액은 7억 5,000만 달러를 넘어섰으며, 브리지 공격은 단일 공격 벡터로는 최대 규모를 기록했습니다 .

공격 패턴은 다양하지만, 몇 가지 반복되는 취약점이 드러납니다. 가장 큰 피해를 입힌 사건들은 위조된 크로스체인 메시지를 악용했습니다. 켈프다오 사건에서는 가짜 rsETH 토큰 116,500개가 발행되어 대출 프로토콜 아베(AAVE) V3를 오염시켰고 , 베루스 사건에서는 다리 역할을 하는 브리지 자체를 속여 준비금을 공격자에게 송금하게 만들었습니다 . 아이오텍스 ioTube 브리지 해킹과 같은 개인 키 탈취 사례 , 크로스커브 사건과 같은 스마트 컨트랙트 로직 결함 또한 지속적인 위협으로 남아 있습니다. 여기에 더해 스퀴드라우터모듈은 ‘서드파티 지갑 모듈 권한 남용’이라는 새로운 공격 패턴을 추가했습니다 .

탈취된 자금의 현재 상태: 감감무소식

2026년 5월 25일~26일 기준으로, 탈취된 약 307만 DAI는 여전히 공격자의 지갑에 머물러 있으며, 동결이나 회수, 반환과 관련된 어떤 보고도 접수되지 않았습니다 . 공격자 주소는 DeFi 해킹에서 자금 출처를 감추기 위해 자주 사용되는 프라이버시 믹서인 **토네이도 캐시(Tornado Cash)**를 통해 자금을 조달받은 것으로 확인되었습니다 . 현재까지 체포나 자금 이동에 관한 공식 발표는 없습니다.

이번 사건은 탈중앙화 금융(DeFi) 보안의 고질적인 난제를 다시 한번 일깨워줍니다. 아무리 검증된 지갑 인프라라도, 사용자가 보안 속성을 제대로 검증하지 않은 제3자 모듈과 결합되는 순간 치명적인 공격 표면이 될 수 있다는 점입니다. 노시스 세이프 사용자들에게 이번 사건은 명확한 교훈을 남깁니다. 세이프에 추가하는 모든 모듈은 잠재적 공격 통로를 확장하며, 단 하나의 모듈 취약점만으로도 그토록 믿었던 다중 서명 보호 장치가 무력화될 수 있다는 사실 말입니다.