카르다노(ADA) 생태계 핵심 개발사 이머고(EMURGO)가 최근 해킹으로 약 240만달러 규모의 ADA를 탈취당한 지갑 서비스 '세컨드파이(SecondFi)' 이용자 자산 복구에 착수했다.
27일(현지시간) 더블록에 따르면 필립 폰(Phillip Pon) 이머고 최고경영자(CEO)는 "포렌식 조사와 지갑 잔액 검증을 완료했으며, 이용자 자산을 복구할 수 있는 명확한 해결 방안을 마련했다"고 밝혔다.
그는 복구 시스템 구축에 약 1주, 테스트에 추가 1주가 소요될 것으로 예상한다며 약 2주 내 자산 반환 절차를 시작할 계획이라고 설명했다.
이머고는 이용자들에게 세컨드파이의 공식 안내 외 별도의 조치를 취하지 말 것을 당부했다. 회사는 현재 손상된 지갑 상태를 기준으로 복구를 진행하고 있으며, 개인키나 시드 문구를 요구하는 일은 없을 것이라고 강조했다.
세컨드파이는 지난 21일부터 23일까지 총 네 차례의 보안 사고가 발생했다고 밝혔다. 이 가운데 세 차례는 외부 공격으로 약 1600만 ADA(약 240만달러)가 374개 지갑에서 탈취됐으며, 나머지 한 차례는 추가 피해를 막기 위해 회사가 약 1억2900만 ADA를 외부 수탁기관으로 긴급 이전한 조치였다.
회사 측은 현재 회계법인을 통해 해당 자산을 검증하고 있으며, 피해 이용자는 공식 지원 페이지를 통해 보상 신청을 할 수 있다고 안내했다.
한편 보안업체 티베인랩스(Tibane Labs)는 이번 사고가 세컨드파이의 지갑 생성 소프트웨어에 적용된 검증되지 않은 외부 소프트웨어개발키트(SDK)의 전자서명 구현 오류에서 비롯됐다는 분석을 내놨다. 보고서는 지난 6월 8일부터 배포된 신규 SDK에서 개인키를 추론할 수 있는 취약점이 발생했다고 지적했다.
이에 대해 이머고는 아직 공식 기술 분석 보고서를 공개하지 않았으며, 티베인랩스의 분석 내용에 대해서도 별도의 입장을 내놓지 않았다.