핵심 요약:
- SecondFi의 지갑 생성 소프트웨어 결함으로 개인키가 노출되어 6월 23일 침해 사고 발생
- 확인된 손실 규모는 1,600만 ADA(240만 달러)이며, SlowMist는 2,000만 달러 이상으로 추정
- SecondFi는 운영을 중단하고 100만 명 이상의 사용자에게 즉시 자금 이체를 권고
뒤로
SecondFi, 지갑 결함으로 Cardano 자금 2천만 달러 노출
이전에 Yoroi로 알려졌던 Cardano 지갑 SecondFi가 6월 23일 공격자들이 지갑 생성 소프트웨어의 결함을 악용해 최소 1,600만 ADA를 손실했다.
SecondFi는 성명을 통해 "근본 원인은 자체 개발한 Cardano 지갑 생성 소프트웨어의 문제로 추적되었다"며 계정 잔액을 동결하고 유지보수 모드에 돌입했다고 밝혔다.
블록체인 보안 업체 SlowMist의 창립자 위시안(일명 Cos)에 따르면 총 피해액은 2,000만 달러를 초과할 수 있으며, 최대 1억 2,900만 ADA 토큰에 영향을 미칠 수 있는 것으로 추정된다. 초기 추정치인 1,600만 ADA와 SlowMist의 전망치 간의 차이는 공격자가 개인키 자료에 대한 접근 권한을 계속 보유할 수 있는 지갑 관련 익스플로잇의 피해 규모를 평가하는 어려움을 반영한다. SecondFi는 약 178개의 지갑이 직접적으로 손상된 것으로 파악했다.
이번 침해 사고는 Cardano 생태계의 신뢰성에 직접적인 타격을 입혔다. Cardano의 3개 창립 주체 중 하나인 Emurgo는 원래 Yoroi를 구축했으며, 2026년 4월 SecondFi로 리브랜딩되었다. 현재 100만 명 이상의 사용자들이 자신의 지갑을 취약한 상태로 간주해야 하는 상황에서, 이번 사건은 Emurgo가 보상 책임을 질 것인지에 대한 의문을 제기하고 있다. 이 조직은 아직 이 문제에 대해 언급하지 않았다.
SecondFi는 취약점이 웹 기반 지갑 생성 시스템에서 비롯되었다고 설명했다. 이 시스템은 새 지갑과 개인키 생성을 담당하며, 해당 프로세스의 결함으로 공격자가 특정 지갑과 연결된 개인키를 생성하거나 접근할 수 있었다고 관계자는 전했다. 해당 생성 과정과 연결되지 않은 하드웨어 지갑 및 시드 문구는 영향을 받지 않았다.
SecondFi 팀은 잔액 전체에 대한 스냅샷을 확보했으며, IOG, Cardano 재단, IntersectMBO 및 SundaeSwap과 협력하여 대응을 조율하고 있다. 또한 외부 블록체인 보안 업체와의 기술 검토를 최종 마무리하여 피해 범위를 확인 중이다.
보안 분석가들에 따르면 침해 발생 후 몇 시간 만에 사기범들이 공식 SecondFi 커뮤니케이션 채널을 모방하여, 우려하는 사용자들의 자격 증명을 탈취하기 위한 가짜 복구 유틸리티를 유포하기 시작했다.
이번 사건은 더 넓은 Cardano 생태계에 대해 체인 수준의 보안만으로는 충분하지 않으며, 애플리케이션 계층 도구가 사용자를 운영 위험에 노출시킬 경우 한계가 있음을 상기시킨다. SecondFi는 정상 운영 재개 시점이나 피해 사용자에 대한 보상 여부를 아직 공개하지 않았다.
본 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
