구 Yoroi였던 SecondFi에 무슨 일이 있었나요?

2026년 6월 23일, EMURGO가 개발한 Yoroi 지갑에서 리브랜딩된 Cardano 자체 수탁 플랫폼 SecondFi는 지갑 생성 소프트웨어의 결함으로 공격자가 사용자 개인 키에 접근할 수 있게 되었다고 공개했습니다. SecondFi는 서비스를 일시 중지하고, 유지보수 모드에 진입했으며, 사용자들에게 자금을 이동할 것을 촉구했습니다. SecondFi는 약 178개 지갑에서 약 1,600만 ADA(약 240만 달러)와 토큰 및 NFT가 유출되었음을 확인했습니다.

SecondFi 익스플로잇으로 얼마나 많은 금액이 도난당했나요?

SecondFi는 약 178개 지갑에서 약 1,600만 ADA(약 240만 달러)와 토큰 및 NFT가 유출되었음을 확인했습니다. 별도로 보안 회사 SlowMist는 잠재적 노출액이 2,000만 달러를 초과하여 최대 약 1억 2,900만 ADA에 달할 수 있다고 추정했지만, 이는 아직 유출되지 않은 지갑을 포함하는 위험 노출 최악의 시나리오 수치이며, 확인된 손실이 아닙니다. SecondFi는 최종 수치가 독립적인 감사를 기다리고 있다고 밝혔습니다.

SecondFi 해킹의 원인은 무엇인가요?

SecondFi와 SlowMist에 따르면, 그리고 독립적인 감사가 진행 중인 가운데, 원인은 플랫폼의 기본 Cardano 웹 지갑 생성 소프트웨어가 예측 가능한 무작위성, 즉 약한 엔트로피로 개인 키를 생성했기 때문입니다. 이는 스마트 계약 버그가 아닌 키 생성 결함이며, 영향을 받은 소프트웨어로 생성된 모든 지갑을 한 번에 노출시킬 수 있습니다.

SecondFi 또는 Yoroi 지갑을 사용했다면 어떻게 해야 하나요?

영향을 받은 소프트웨어를 통해 생성된 모든 지갑은 잠재적으로 침해되었을 수 있다고 간주하십시오. 신뢰할 수 있고 감사된 소프트웨어로 새로운 지갑을 생성하고 자금을 이동하십시오. 약점이 이전 복구 문구가 생성된 방식에 있으므로, 이전 복구 문구를 재사용하지 마십시오. SecondFi의 공식 채널을 따르고, 원치 않는 복구 또는 환불 제안은 무시하십시오.

SecondFi (구 Yoroi), Cardano 지갑 결함으로 사용자 자금 유출 후 서비스 중단: $2.4M 확인, 최대 $20M 위험

June 24, 2026 — By Tony Rabbit in News

구 Yoroi로 알려진 Cardano 자체 수탁 플랫폼 SecondFi가 지갑 생성 소프트웨어의 결함으로 공격자가 사용자 개인 키에 접근할 수 있게 되면서 서비스를 중단했습니다. SecondFi는 약 178개 지갑에서 약 1,600만 ADA(약 240만 달러)가 유출되었음을 확인했으며, 보안 회사 SlowMist는 총 노출액이 2,000만 달러를 초과할 수 있다고 경고했습니다. 발생한 상황과 영향을 받은 사용자가 취해야 할 조치는 다음과 같습니다.

EMURGO가 개발한 오랜 역사를 지닌 Yoroi 지갑의 리브랜딩인 Cardano 자체 수탁 플랫폼 SecondFi가 사용자 자금을 유출시킨 보안 사고 이후 서비스를 중단했습니다. 2026년 6월 23일 프로젝트의 공개와 Crypto Briefing, Crypto Times, crypto.news의 보도에 따르면, 문제의 근원은 스마트 계약 버그가 아니라 더 근본적인 것이었습니다. 즉, 지갑을 생성하는 소프트웨어가 예측 가능한 무작위성으로 개인 키를 생성하여 공격자가 영향을 받은 사용자의 키에 접근할 수 있게 한 것입니다.

SecondFi는 영향을 받은 기능을 일시 중지하고, 유지보수 모드에 진입했으며, 잔액 스냅샷을 찍고 사용자들에게 자금을 이동할 것을 촉구했습니다. 이번 사건과 관련된 수치는 집계하는 주체에 따라 크게 달라지며, 이 차이가 이해해야 할 가장 중요한 부분입니다.

확인된 손실 대 최악의 경우 경고

SecondFi의 자체 예비 평가는 보수적인 수치입니다. 약 178개의 지갑이 침해되었고, 당시 약 240만 달러 상당의 1,600만 ADA와 불특정량의 토큰 및 NFT가 유출되었습니다. 의심스러운 활동은 2026년 6월 21일과 22일경 약 200건의 거래로 집중되었습니다.

창립자가 Cos로 알려진 블록체인 보안 회사 SlowMist는 훨씬 더 큰 수치를 발표했습니다. 밤새 공격자의 움직임을 추적한 SlowMist는 총 잠재적 손실이 2,000만 달러를 초과할 수 있으며, 최대 약 1억 2,900만 ADA에 달할 수 있다고 추정했습니다. 핵심 단어는 '잠재적'입니다. 이 수치는 아직 유출되지 않은 결함 있는 소프트웨어로 생성된 지갑을 포함하는 위험 노출 추정치이며, 확인된 도난 자금이 아닙니다. SecondFi는 독립적인 기술 감사 후 정확한 손실액이 공개될 것이라고 밝혔으므로 이 수치를 승인하지 않았습니다. 솔직히 말하면, 약 240만 달러의 유출이 확인되었고, SlowMist에 따르면 최악의 경우 2,000만 달러 이상의 노출이 발생할 수 있습니다.

키 생성 결함이 그토록 위험한 이유

대부분의 DeFi 익스플로잇은 스마트 계약을 공격합니다. 이번 사건은 그 아래에 있는 무언가를 공격했습니다. 암호화폐 지갑의 전체 보안은 개인 키가 진정으로 예측 불가능한 무작위성에서 생성되어 아무도 추측하거나 재현할 수 없도록 하는 데 달려 있습니다. SecondFi와 SlowMist에 따르면, 플랫폼의 기본 Cardano 웹 지갑 생성 소프트웨어는 예측 가능한 무작위성을 사용했으며, 이는 생성된 키 또한 예측 가능하다는 것을 의미합니다. 공격자가 키가 생성되는 방식을 모델링할 수 있다면, 해당 소프트웨어로 만들어진 모든 지갑은 피싱이나 계약 트릭 없이 즉시 노출됩니다. SecondFi는 이 문제가 기본 Cardano 웹 지갑 생성에 국한되었다고 밝혔습니다. 이 설명은 프로젝트와 SlowMist가 밝힌 원인이며, 아직 독립적인 감사를 기다리고 있습니다.

이것이 2026년 DeFi 공격 패턴을 정의한다

SecondFi 사건은 올해 DeFi 손실이 실제로 어디에서 발생하는지 보여주는 교과서적인 예입니다. 2026년 내내 도난당한 키, 자격 증명 도용, 접근 권한 침해는 스마트 계약 버그를 제치고 DeFi 손실의 주요 원인이 되었으며, 여러 추적기는 도난당한 가치의 대부분을 결함 있는 코드보다는 해당 범주에 귀속시켰습니다. 우리는 2026년 최대 DeFi 해킹 요약에서 이 규모를 다루었으며, 가장 큰 사건들은 버그가 있는 계약보다는 손상된 인프라에서 발생했습니다. 지갑 아래에 있는 약한 난수 생성기는 다른 곳에서 같은 교훈을 줍니다. 즉, 키를 보관하는 코드는 상호 작용하는 계약만큼 중요합니다.

또한 작은 무대에서 발생했습니다. Cardano의 DeFi 부문은 2026년 DeFiLlama 데이터에 따르면 총 예치 자산(TVL)이 약 1억 3천만에서 1억 4천 2백만 달러 범위로, 상위 20개 체인 밖에 있습니다. 이 범위에 대한 우리의 대략적인 계산에 따르면, 확인된 240만 달러의 손실조차 Cardano DeFi에서 상당한 부분을 차지하며, 2,000만 달러의 최악의 경우는 그 중 큰 비중을 차지할 것입니다. 반면, 같은 금액은 이더리움의 수백억 달러에 비하면 거의 눈에 띄지 않을 것입니다.

영향을 받은 사용자가 취해야 할 조치

SecondFi 또는 이전 Yoroi 웹 흐름을 통해 Cardano 지갑을 생성했다면, 아직 지갑이 침해되지 않았더라도 침해되었을 수 있다고 가정하는 것이 안전합니다. SecondFi의 공식 지침을 따르고, 신뢰할 수 있고 감사된 소프트웨어를 사용하여 완전히 새로운 지갑을 생성한 다음, 가능한 한 빨리 남은 자금을 그 지갑으로 옮기십시오. 약점이 이전 복구 문구가 생성된 방식에 있으므로, 이전 복구 문구를 재사용하지 마십시오. 이러한 사건 이후에는 가짜 도우미들이 흔히 나타나므로 복구 또는 환불 도구를 제공하는 사람들을 경계하십시오. 지갑이 침해되었을 때 즉시 취해야 할 조치에 대한 저희 가이드가 이 과정을 안내하며, 새로운 토큰으로 이동하기 전에 DEXTools Token Safety Checker를 사용하여 해당 계약의 건전성을 확인할 수 있습니다. 이 기사는 정보 제공만을 목적으로 하며, 재정적 조언이 아닙니다.