3. 취약점의 핵심:
지갑 생성 소프트웨어 문제
세컨드파이가 공개한 사고 원인은 자사가 자체 개발한 웹 지갑 생성 소프트웨어의 취약점입니다. 이 소프트웨어는 사용자가 새 지갑을 만들 때 개인키와 복구 시드 구문(Seed Phrase)을 생성하는 핵심 모듈입니다.
이 부분은 기술적으로 매우 중요한 의미를 갖습니다. 블록체인 지갑에서 개인키 생성 단계는 보안의 근간입니다. 올바르게 구현됐다면, 생성된 개인키는 해당 사용자 기기에만 존재하며 외부로 노출될 경로가 없어야 합니다. 그런데 이 과정에 결함이 있었다는 것은, 지갑을 만드는 순간부터 공격자가 해당 개인키를 예측하거나 탈취할 수 있는 가능성이 열려 있었다는 의미입니다. 사용자가 시드 구문을 안전하게 보관했는지 여부와 무관하게 피해가 발생할 수 있는 구조입니다.
여기서 반드시 짚어야 할 점이 있습니다. 이번 사고는 카르다노 블록체인 프로토콜 자체의 문제가 아닙니다. 카르다노 네트워크, 합의 알고리즘인 우로보로스(Ouroboros), 확장형 UTXO(eUTXO) 모델은 이번 사고와 전혀 무관하게 정상 작동 중입니다. 취약점은 블록체인 위에서 사용자와 체인 사이를 연결하는 애플리케이션 레이어, 즉 지갑 소프트웨어에 존재했습니다. 이 구분은 카르다노의 기술적 신뢰성을 평가할 때 중요하게 고려해야 합니다.
4. 피해 규모:
1,600만 ADA인가, 1억 2,900만 ADA인가
현재 이번 사고에서 가장 불확실한 요소 중 하나는 실제 피해 규모입니다. 세컨드파이는 공식 발표에서 피해 규모를 약 1,600만 ADA로 추산했습니다. 이는 6월 23일 시세 기준 약 240만 달러에 해당하며, 피해 지갑 수는 178개로 밝혔습니다.
그러나 블록체인 보안 전문 기업 슬로우미스트(SlowMist)의 창업자 코스(Cos, 위안 시안)는 독자적인 온체인 분석 결과를 내놓으며 이와 상이한 수치를 제시했습니다. 그의 분석에 따르면, 해커의 자금 흐름과 지갑 활동을 추적한 결과 실제 피해 규모는 에이다와 기타 토큰을 합산해 최대 1억 2,900만 ADA에 달할 수 있으며, 달러 환산 기준으로는 2,000만 달러를 상회할 가능성이 있다고 밝혔습니다.
이처럼 공식 발표치와 외부 분석치 사이에 큰 간극이 존재하는 이유는 온체인 자금 추적의 복잡성 때문입니다. 공격자가 다수의 중간 주소를 거쳐 자금을 이동시켰을 경우, 어느 지갑까지를 피해 범위로 볼 것인지에 따라 수치가 크게 달라질 수 있습니다. 세컨드파이는 독립 기술 감사 완료 이후 정확한 피해 규모를 공개하겠다고 밝힌 상태입니다. 현재로서는 세컨드파이 공식 수치(1,600만 ADA)와 슬로우미스트 추산치(최대 1억 2,900만 ADA) 모두 확정된 수치가 아니며, 조사 결과를 기다려야 합니다.
작성일: 2026년 6월 24일
본 글의 수치 및 현황은 작성 시점 기준이며, 조사 진행에 따라 변경될 수 있습니다.