2026.06.25 | 6월 25일 찰스 : 세컨드파이 상황에 관한 개인적인 보고
https://www.youtube.com/watch?v=4ITUaRL-g8k
웜 써니 콜로라도.
조금 피곤합니다. 아주 늦게까지 깨어 있었거든요. 저는 세컨드파이(SecondFi)의 난독화된 타입스크립트(TypeScript)를 역분석하는 데 시간을 좀 썼습니다. 그리고 독자적인 포렌식과 분석도 진행했습니다. 그리고 무슨 일이 있었는지, 공격이 어떻게 발생했는지를 어느 정도 재현할 수 있었다고 생각합니다.
이 일은 답보다 더 많은 질문을 남겼습니다. 그리고 이전 영상에서 말했듯이, 우리는 이런 사안의 성격을 더 잘 이해하기 위해 독립 감사를 기다릴 것입니다. 블록체인 포렌식을 통해 저는 독자적으로 얼마나 많은 주소가 영향을 받았는지도 파악하려고 했습니다.
제가 이렇게 한 이유는 이것이 세컨드파이에서만 국한된 문제인지, 혹여나 카르다노의 크립토 어딘가에 있는 문제인지 확인하고 싶었기 때문입니다. 제가 생각하기로 카르다노 생태계의 오픈소스 카르다노 암호화 라이브러리들은 어떤 식으로든 손상되지 않았습니다.
물론 이런 일이 발생하면 몇 번이고 확인하고 독립 감사를 받아 검증하는 것이 신중한 태도입니다. 하지만 키, 서명 생성, 근본적인 암호화 라이브러리, 키워드가 생성되는 방식, HD 지갑이 작동하는 방식, UTxO 선택 등, 오픈소스 인프라를 사용하는 카르다노 생태계의 오픈소스 지갑들에서 이러한 요소들은 이번 문제가 발생하기 전후의 차이는 없습니다. 손상되지 않았습니다.
세컨드파이와 관련된 비정상 거래들은 오픈소스 표준에서 변형된 그들의 폐쇄형 소스 코드와 연결되어 있는 것으로 보입니다 그러므로 독립 감사로 그런 일이 어떻게 발생했는지, 누가 책임이 있는지, 이런 일에 대한 구제 방안의 일부가 무엇인지를 설명하게 될 것입니다.
이것은 항상 제 입장이었습니다. 레이스(Lace), 다이달로스(Daedalus), 그리고 우리가 작업해온 다른 제품들에서도 볼 수 있듯이 지갑 코드는 항상 오픈소스여야 하며 정기적으로 독립 감사를 받아야 합니다. 또한 생태계 전체가 관심을 가져야 하는 암호화 코드는 단일 벤더가 만들어서는 안 됩니다. 그것은 그 코드를 사용하는 여러 주체들의 연합에 의해 만들어져야 하며, 정기적으로 유지, 검토되어야 합니다.
이것은 아주 많은 나쁜 일이 일어나는 것을 막아줍니다. 이번의 상황에서는 많은 모범 사례들이 위반된 것으로 보입니다. 지갑이나 금융 인프라를 만들고자 하는 사람들에게는 엄격한 방식으로 검증해야 한다는 교훈의 순간이라고 할 수 있겠습니다.
저는 크립토 미디어에서 불쾌한 것들을 보았습니다. 예측 가능한 일이었습니다. 크립토 미디어는 “카르다노가 해킹당했다.”, “카르다노 생태계가 실패하고 있다.”, “모든 ADA가 위험에 처했다.” 같은 말을 하고 있습니다.
분명히 말하겠습니다. 카르다노 프로토콜, 핵심 노드, 핵심 암호화, 또는 어떤 오픈소스 지갑에도 문제가 없습니다. 이것은 특정 애플리케이션, 특정 회사의 문제입니다. 카르다노의 일상적인 운영과는 전혀 관계가 없습니다. 이 특정 회사와 특정 코드베이스에 관련되거나 연관되어 있지 않은 사람들의 자금은 괜찮습니다. 암호화 문제는 없습니다. 전염처럼 퍼지고 있는 문제도 없습니다. 이것은 프로토콜 수준에서의 문제가 아닙니다.
카르다노는 망가지지 않았습니다. 카르다노 네트워크는 해킹당하지 않았습니다. 그것은 하나의 애플리케이션입니다. 누군가가 버그 있는 소프트웨어를 작성해서 윈도우에 설치했다고 해서, 마이크로소프트가 해킹당했다거나 윈도우가 해킹당했다고 말하지는 않습니다. 프로토콜은 괜찮습니다. 암호화도 괜찮습니다.
IO에서는 생태계 전반에 걸쳐 좋은 표준과 모범 사례를 촉진하기 위해 우리가 할 수 있는 일을 계속할 것입니다. 그리고 독립 감사 결과가 나오면, 실제로 나오겠다고 Emurgo에서 보장과 약속을 받았기 때문에, 저는 그것을 읽고 의견을 내겠습니다. 제가 역분석한 코드에서 재현할 수 있었던 특정 공격의 성격에 대해서는 Emurgo에서 더 많은 공개가 나오기 전까지는 논의하지 않겠습니다.
그러므로 그 부분은 Emurgo가 설명하도록 남겨두겠습니다. 하지만 이 일은 답보다 더 많은 질문을 남겼습니다. 그들이 어떻게 여기까지 오게 되었는지, 무슨 일이 있었는지는 독립 감사만이 답할 수 있습니다.
이동된 자금 중 일부는 공격자가 옮긴 것이 아니라 알려진 바에 따르면 화이트해킹으로 옮긴 것이라고 하고 있습니다. 그래서 저는 그 점에 대해 더 이해하게 되기를 기대하고 있습니다. 그리고 그 자금이 어떻게 사용자들에게 반환될 것인지도 더 알고 싶습니다.
제가 볼 수 있었던 코드에 따르면 저는 이 공격이 24개의 키워드, 즉 복구 단어 문구 자체를 손상시켰다고 보지는 않습니다. 따라서 그 키워드들은 상환 절차의 일부로 BIP-39 스타일 접근법과 유사하게 사용될 수 있을 것입니다. 다만 독립적으로 검증하기는 어렵습니다.
해당 키워드들이 Yoroi에서 생성된 뒤 SecondFi로 가져와진 것인지, 아니면 엄격하게 SecondFi내부에서 생성된 것인지에 따라 달라집니다. 지금 시점에서 이것을 함부로 말하기 어렵습니다. 저는 전체 접근 권한이 없고, 키 파생의 모든 메커니즘을 살펴볼 수 없었습니다. 하지만 현재로서는 달리 입증되기 전까지 SecondFi 애플리케이션 자체가 손상된 것으로 간주해야 합니다. 그리고 감사와 시정을 거쳐야 합니다. 따라서 그 모든 구성 요소는 기본적으로 신뢰해서는 안 됩니다.
Input Output(IO) 측에서는 어떤 구제책도 제공할 수 없습니다. 우리는 이 문제에 개입하거나 어떤 조치를 취할 특별한 권한이나 권위를 가지고 있지 않습니다. 우리는 자금을 동결하거나 되돌릴 수 있도록 해주는 프로토콜상의 감독 권한을 가지고 있지 않습니다. 이것은 의도된 설계입니다. 카르다노는 크립토이고, 비트코인과 마찬가지로 그러한 개입 메커니즘을 가지고 있지 않습니다.
그것은 글로벌 시스템이기 때문이며, 어떤 개인도 그런 권한을 가져서는 안 됩니다. 그러므로 그런 일은 할 수 없고, 하지도 않을 것입니다. 이 문제를 바로잡고 우리가 어떻게 여기까지 오게 되었는지를 설명하는 것은 해당 벤더와 그들의 특정 소프트웨어에 달려 있습니다.
일반적으로 SecondFi에서 발생한 문제는 다른 지갑에서 일어나지 않습니다. 다른 지갑은 모범 사례를 따르고, 제3자 감사를 받으며, 오픈소스를 약속하고, 암호화 코드가 명확합니다. 공개되어 있는 코드는 수년간의 고된 노력 끝에 매우 신중하게 작성되었고, 여러 차례 감사를 받았으며 여러 다른 지갑들이 통용하여 사용해 왔습니다.
저는 지금 라이브에서 그저 입장을 밝히고 여기 있는 모든 사람에게 이 점을 완전히 명확히 하고 싶었습니다. 우리는 앞으로 독립적인 검증과 어떻게 여기까지 오게 되었는지에 대한 설명을 기대하고 있습니다. 그리고 제안되고 발표될 구제 계획이 무엇인지 이해하게 되기를 기대하고 있습니다.
'Cardano' 카테고리의 다른 글
| 2026.07.08 | 7월 8일 찰스 : 이더리움의 C 단어 (그들을 언급하면 안 돼.) (0) | 2026.07.08 |
|---|---|
| 2026.06.30 | 6월 30일 찰스 : 최신 근황 업데이트 라이브 (0) | 2026.06.30 |
| 2026.06.24 | 6월 24일 찰스 : SeconFi 라이브 번역 (0) | 2026.06.24 |
| 2026.06.23 | 6월 22일 찰스 : 블록45와 레이오스 테스트넷, 상업적 이니셔티브(Block 45 and Leios) 라이브 번역 (1) | 2026.06.23 |
| 2026.06.21 | 6월 21일 찰스 : AI Slop, IOG X, and the Future of Marketing 라이브 번역 (0) | 2026.06.21 |
댓글