Cetus는 모든 토큰이 보상에 사용될 것이며, 프로토콜 재시작 카운트다운과 재단 대출 세부 사항은 비밀로 유지되어야 한다고 약속합니다.

Cetus 프로토콜에 중대한 보안 사고가 발생한 후, 팀은 모든 책임을 지고 $CETUS 토큰을 100% 피해자 보상에 사용할 것이라고 발표했습니다. Cetus 공동 창립자 헨리는 몇 시간에 걸친 AMA(질의응답)를 통해 재시작 일정, 보상 메커니즘, 거버넌스 계획, 향후 개발 방향 등 각계각층의 우려 사항에 긍정적으로 답변했습니다 .

해커 공격 검토: 2억 달러 이상 자산 피해

5월 22일 저녁, Cetus 프로토콜은 해당 계약에 사용되는 오픈소스 함수 라이브러리의 취약점을 악용한 해커들의 공격을 받았습니다. 플래시스왑(Flashswap)을 통해 유동성 및 기타 연산을 가감하여 허위 가격과 펀드 풀을 구축하고 2억 2천만 달러 이상의 자산을 훔치는 데 성공했습니다. 이 중 약 6천만 달러는 여러 크로스 체인 브릿지를 통해 이더 으로 유입되었고, 나머지 1억 6천만 달러는 팀이 신속하게 대응하고 수이 밸리데이터(Sui Validator)와 협력한 후 온체인 성공적으로 동결 되었습니다.

사고 발생 후, 해당 팀은 즉시 계약 운영을 중단하고 모든 생태계 파트너에게 통보했으며, 여러 보안 업체에 연락하고 경찰에 신고했습니다. 현재 미국과 싱가포르를 포함한 여러 국가에서 신고 절차가 완료되었습니다.

100% 토큰 투자, 자산의 85% 이상 회수 가능

사용자들이 가장 우려하는 보상 문제와 관련하여, Cetus 팀은 보상이 프로토콜 수익, 현금 자산, 그리고 팀이 보유한 모든 $CETUS 토큰을 통해 이루어질 것이라고 명확히 밝혔습니다. 보상 방식은 다단계 메커니즘을 채택하고, Sui 재단의 보증 대출과 결합하여 손실 정도에 따라 상응하는 보상 계약을 구축합니다.

현재 자산의 85.7%에서 96%가 직접 보상될 수 있을 것으로 추산됩니다. 동결 자산을 합법적인 수단을 통해 회수할 수 있다면 전체 회수율은 거의 100%에 가까워질 것입니다. 향후 회수된 자산의 활용 방식 또한 DAO 투표를 통해 결정될 것이며, 여기에는 재매수, 예비금 보충, 또는 커뮤니티 환원 여부가 포함됩니다.

재단 대출 지원 보상 방안: 소문난 6000만 달러 아닌, 세부 내용은 아직 비밀

수이 재단 대출의 세부 사항과 관련하여, 세투스 팀은 AMA에서 "소문난 6천만 달러는 정확하지 않습니다."라고 명확히 밝혔습니다. 실제 금액과 조건은 기밀 유지 계약(NDA)의 범위 내에 있으므로 공개할 수 없습니다. 그러나 세투스 팀은 이 대출이 미회수 자산의 공백을 메우고 계약의 복구 및 재가동 단계를 순조롭게 통과하는 데 도움이 되는 전반적인 보상 메커니즘의 일부가 될 것이라는 점에 대해 재단과 명확한 합의에 도달했다고 강조했습니다.

무이자 대출인지, 상환 수단으로 사용 가능한지 등에 대해서는 현재 구체적인 조건을 공개할 수 없습니다. 헨리는 이 기금의 역할이 "브리지론"과 유사하며, 초기 보상 단계에서 유동성을 지원하는 역할을 한다고 밝혔습니다. 프로토콜 자체는 여전히 현금 자산, 프로토콜 수익, 그리고 미래 수익을 주요 부채 상환 재원으로 삼을 것이며, 신규 코인을 발행하거나 사용자 권한을 약화시키지 않을 것입니다.

팀은 후퇴하지 않는다: 정서 붕괴 후 빠른 회복과 재시작

포기할 생각을 한 적이 있냐는 질문에 헨리는 사건 초기 팀원들이 정서 붕괴, 불안, 불면증에 시달렸지만, 24시간 만에 다시 뭉쳐 모든 구성원이 잠 못 이루는 회복 상태에 빠졌다고 솔직하게 답했습니다. 그는 이렇게 강조했습니다. "이 프로젝트는 중단될 수 있는 것이 아닙니다. 처음부터 만들어낸 결과물입니다. 우리는 끝까지 책임을 져야 합니다."

팀은 $CETUS 토큰의 100%를 보상 계획에 투자했으며, 내부적으로는 분배되지 않습니다. 또한, 프로토콜 수익에 잉여금이 발생할 경우, 해당 토큰은 추후 재매수되어 커뮤니티 관리하는 금고에 포함될 것이며, DAO는 진정한 탈중앙화 보장하기 위해 토큰의 용도를 결정할 것입니다.

프로토콜 재시작까지 카운트다운: 24시간 내 완전 온라인화

Cetus 프로토콜은 재시작을 위한 카운트다운 단계에 돌입했으며, 모든 프런트엔드 및 LP 기능은 24시간 이내에 복구될 것으로 예상됩니다. 재시작 전에 세 가지 핵심 작업, 즉 과거 거래 데이터 복구, 유동성 주입, 그리고 보안 테스트가 완료될 예정입니다. 모든 작업이 완료되면 공식 출시 일정이 최대한 빨리 발표될 예정입니다.

또한 해당 팀은 완전한 오픈 소스화, 화이트햇 보상 메커니즘 확립, 유사한 취약점이 다시 발생하지 않도록 내부 위험 관리 시스템 구축 등 보안을 강화하겠다고 약속했습니다.

보상 범위 확대: 직접 사용자 및 간접적으로 피해를 입은 계약자 포함

헨리는 이번 사고가 시터스 사용자뿐만 아니라 시터스 인프라와 연동된 여러 프로토콜에도 영향을 미쳤다고 밝혔습니다. 따라서 보상 계획에는 간접 피해자들도 포함될 것이며, 지원금 범위와 금액은 등록 절차를 통해 순차적으로 확정될 예정입니다.

취약점의 출처와 관련하여, 헨리는 단일 계약 취약점이 아닌 제품 설계의 논리적 결함이라고 시인했습니다. 향후 경제 모델 검증 및 극한 공격 시뮬레이션 역량을 근본적으로 강화할 예정입니다.

DAO 거버넌스는 토큰 클리어링의 영향을 받지 않으며 수익은 프로토콜의 지속 가능성을 지원합니다.

"토큰 클리어링" 이후에도 운영 및 거버넌스 역량을 유지하는 방법에 대한 질문 대면 Cetus 팀은 다음과 같은 데이터를 제공했습니다. 지난 6개월 동안 프로토콜의 월평균 수익은 150만 달러에 달했고, 연간 수익은 1,800만 달러를 넘었습니다. 이는 토큰에 의존하지 않더라도 프로토콜 자체가 여전히 안정적인 현금 흐름을 유지하고 있음을 보여줍니다.

DAO 거버넌스는 계속 운영될 것이며, Cetus는 점진적으로 커뮤니티 에 거버넌스 권한을 제공할 것입니다. $xCETUS 스테이킹 들의 수익은 단기적으로 감소할 수 있지만, 수익이 회복됨에 따라 중장기적으로 안정적인 배당 메커니즘으로 복귀할 것으로 예상됩니다.

수리뿐만 아니라 재구축까지: 시장 전략, 사용자 신뢰, 생태적 관계까지 종합적으로 업그레이드

팀은 이번 위기가 단순히 안전 문제일 뿐만 아니라 브랜드, 신뢰, 그리고 사업 모델에 대한 종합적인 시험대라고 밝혔습니다. 향후 전략에는 다음이 포함됩니다.

• 새로운 자산과 새로운 내러티브에 초점을 맞추고 Blue Chip, Meme 및 GameFi를 소개합니다.

• 기술 계층은 Sui의 제품 부문에서 선도적 지위를 유지하기 위해 지속적으로 개선되고 있습니다.

• 커뮤니티 와의 상호작용과 외부 홍보를 강화하여 브랜드 인지도를 확대합니다.

동시에 Cetus는 새로운 프로젝트를 지원하고, 혁신적인 인센티브 메커니즘을 설계하고, 중국과 국제 시장을 지속적으로 발전시키기 위해 Launchpad를 출시할 계획입니다.

실수 대면 책임을 지는 것을 선택하세요. 이것은 위기 홍보가 아니라 진정한 자기 구원입니다.

헨리는 전액 보상 선택이 압박 때문이 아니라 프로토콜과 커뮤니티 에 대한 도덕적 책임이라고 생각합니다. "우리의 동기는 수이 생태계에 대한 이해와 참여에서 비롯되는 것이지, 우리 손에 있는 토큰에서 비롯되는 것이 아닙니다."

앞으로 Cetus는 더 이상 토큰 가격 지원에만 의존하지 않고, 프로토콜 수익과 제품 경쟁력을 장기적인 운영의 초석으로 삼을 것입니다. 또한, Sui 생태계 전체의 더욱 안정적인 발전을 촉진하기 위해 더욱 강화된 예방적 보안 메커니즘을 구축할 계획입니다.

공식 Google Chrome 개발자 블로그에 따르면 , Google Chrome은 2025년 5월 30일 공개 포럼에서 Chunghwa Telecom과 Netlock에 대한 기본 신뢰 설정을 제거할 것이라고 발표했습니다. 관련 기관인 디지털경제부 관계자들도 올해 초 관련 정보를 입수했으며, 3월부터 대만 지방 인증 기관에서 발급한 인증서를 사용하여 정부 웹사이트에 이중 인증서 메커니즘을 도입하여 모든 주요 브라우저에서 정부 웹사이트가 안전하게 운영될 수 있도록 하고 있다고 밝혔습니다. 이러한 조치는 어떤 영향을 미칠까요? 이 글을 통해 분석해 보겠습니다.

구글: 청화텔레콤, 반복적인 실수 반복하며 더 이상 신뢰할 수 없어

Google Chrome은 Chrome 루트 프로그램 정책에 따라 Chrome 루트 스토어에 포함된 모든 인증 기관(CA)은 최종 사용자에게 제공하는 전반적인 가치가 지속적인 신뢰에 따른 리스크 보다 크도록 보장해야 한다고 밝혔습니다. 동시에 CA 운영자가 보안 사고를 공개하거나 대응하는 행위 또한 Chrome의 중요한 평가 지표 중 하나입니다. 만약 누락된 부분이 있다면, Google은 CA 운영자가 구체적이고 검증 가능한 개선을 수행하고 내부 프로세스를 지속적으로 개선할 것을 기대합니다.

구글은 지난 한 해 동안 청화텔레콤과 넷락이라는 두 CA 업체에서 "우려스러운 행동 패턴"을 관찰했다고 밝혔습니다. 이러한 행동 패턴은 운영 무결성에 영향을 미칠 뿐만 아니라 크롬 루트 프로젝트의 신뢰성 및 투명성 요건을 충족하지 못합니다. 구글은 이러한 상황으로 인해 두 업체가 "기본 신뢰할 수 있는 인증서 발급기관"으로서 외부의 신뢰를 잃게 되었다고 지적했습니다.

8월부터 청화텔레콤 TLS 서비스를 이용하는 웹사이트 접속 시 경고창이 뜬다

Google Chrome은 2025년 8월 1일부터 Chunghwa Telecom에서 발급한 새로운 TLS 인증서를 기본적으로 신뢰하지 않습니다. 이는 Windows, macOS, ChromeOS, Android 및 Linux에서 Chrome 139 이상 버전부터 적용됩니다. Apple 정책에 따라 iOS용 Chrome에서는 Chrome 인증서 인증 도구 및 해당 Chrome 루트 저장소를 사용할 수 없습니다.

2025년 7월 31일 이후 Chunghwa Telecom에서 발급한 인증서를 사용하는 웹사이트의 경우, 다음과 같은 내용이 표시됩니다.

Google Chrome은 영향을 받는 웹사이트 운영자가 가능한 한 빨리 다른 공인 CA 소유자로 이전할 것을 권장합니다. 기존 인증서가 2025년 7월 31일 이후에 만료되는 경우, 기존 인증서가 만료되기 전에 이전 작업을 완료해야 합니다.

정보통신부: 청화텔레콤이 사이버보안 문제가 아니라는 점을 명확히 하기 위해 연초부터 정보를 입수하고 준비를 시작했습니다.

이에 대해 관계 기관인 디지털경제부(Ministry of Digital Economy)는 올해 초 관련 정보를 입수했다고 밝혔습니다 . 정부 웹사이트가 영향을 받지 않도록 3월부터 대만의 지역 인증 기관에서 발급한 인증서를 사용하는 정부 웹사이트 이중 인증 메커니즘을 도입하여 정부 웹사이트가 모든 주요 브라우저에서 안전하게 운영될 수 있도록 보장하고 공공 디지털 서비스의 안정성과 신뢰성을 유지했습니다.

보도 에 따르면, 관계자는 구글이 청화텔레콤을 불신하는 것은 정보보안 기술이나 표준의 문제가 아니라고 덧붙였습니다. 청화텔레콤이 발급한 TLS(전송 계층 보안) 인증서는 국제 표준을 준수하며 보안 문제가 전혀 없기 때문입니다. 주된 이유는 청화텔레콤의 경영 및 운영이 제대로 처리되지 않았기 때문입니다. 청화텔레콤은 또한 내년 3월까지 구글이 신뢰를 회복할 수 있도록 노력하겠다고 밝혔습니다.

100 ETH가 있는데 접근할 수 없다고 상상해 보세요. 잊혀진 멀티체인 취약점으로 인해 자금이 사라졌지만, 몇 시간 후 복구되어 암호화폐 보안 사고에서 보기 드문 "완벽한 반전"이 발생합니다. 이 사고는 Safe 멀티시그니처 지갑에서 발생했는데, 이는 멀티체인 고려하지 않은 초기 계약 설계의 리스크 부각할 뿐만 아니라, 어둠의 경계에 있는 사용자를 지원하는 화이트햇 팀의 힘을 다시 한번 입증합니다.

버튼 하나로 평생 모은 돈을 날릴 수 있을까? 금고의 구버전으로 인해 크로스체인 혼란 사태 발생

어제 암호화폐 사용자 @khalo_0x 가 Safe 공식 크로스 체인 브릿지 도구를 사용하여 이더 메인넷에서 Base로 100 ETH를 이체하려고 했을 때, 대상 주소의 자금을 통제할 수 없다는 사실을 예상치 못하게 발견했다고 게시했습니다. 주소는 동일했지만, Base에 있는 해당 Safe 지갑은 완전히 다른 서명자 그룹에 속해 있었습니다.

Safe 팀의 Lukas Schor는 이 사고의 근본 원인이 그가 2020년부터 사용해 온 Safe 스마트 지갑 버전 v1.1.1에서 비롯되었다고 설명했습니다 .

이 버전은 멀티체인 호환을 위해 설계되지 않았으므로 다른 온체인 에서는 누구나 동일한 주소에 자신의 안전 컨트랙트를 배포할 수 있습니다. 특정 조건이 충족되는 한, " 배포를 선행 실행" 하여 다른 사람이 관리하는 컨트랙트로 자금이 실수로 이체될 수 있습니다.

화이트햇 배포가 선두를 차지합니다. Protofire는 낮은 키 방식으로 사용자 자금을 보호합니다.

Khalo가 도움을 요청하는 메시지를 게시하자, Schor와 엔지니어 tschubotz.eth도 신속하게 조사를 시작했습니다. 그들은 해당 주소가 화이트 해커 팀인 Protofire 에 의해 배포되었음을 발견했습니다. Protofire는 이미 이전 버전의 Safe의 잠재적인 크로스 체인 리스크 인지하고 블랙 해커들이 해당 주소를 먼저 배포하여 사기나 절도에 악용하는 것을 막기 위해 베이스 온체인 에 수백 개의 이전 Safe 주소를 적극적으로 배포했습니다.

신원 확인 후 Protofire는 100 ETH를 즉시 Khalo에게 전액 반환하여 심각한 손실을 초래할 수 있었던 이 사건을 완벽하게 종식시켰고, 커뮤니티 중요한 순간에 화이트햇 생태계의 중요성을 목격할 수 있게 했습니다.

Bybit 사건에서 얻은 교훈: 안전한 보안 메커니즘이 다시 시험대에 올랐다

쇼어는 이번 사고가 이전 버전의 멀티체인 배포에 대한 보호 로직 부족으로 인해 발생한 극단적인 사례라고 강조했습니다. 현재 버전에서는 잘못된 배포를 방지하기 위해 일관성을 확보했습니다. 또한, 이번 크로스체인에 사용된 LIFI 프로토콜 기반 공식 도구가 업데이트되었으며, 추가적인 신속한 메커니즘이 추가될 예정입니다.

대상 체인에 이미 코드가 있지만 서명자 설정이 이 체인과 다른 경우, 사용자가 자신의 계정을 함정에 빠진 계정으로 착각하는 것을 방지하기 위해 명확한 경고가 발행됩니다.

하지만 올해 초 Safe와 관련된 주요 보안 사고, 바로 Bybit 해킹 사건을 기억해야 합니다. 해커들은 Safe 개발자 기기를 해킹하고 프런트엔드를 조작하여 15억 달러 상당의 자산을 훔쳤습니다. 이 두 사건은 본질적으로 다르지만, 스마트 지갑으로서 Safe의 핵심적인 보안 과제를 모두 보여줍니다.

(바이비트 해킹 사건의 진실이 밝혀졌습니다. 멀티시그니처 지갑 Safe의 프런트엔드가 해킹 및 변조되었고, 공급망 공격이 다시 우려됩니다 .)

이 사건에서 우리는 무엇을 배울 수 있을까요? 멀티체인 시대의 셀프 커미션(Self-Cusody)에 대한 새로운 문제

Dragonfly의 파트너 @hosseeb 는 이 사건을 "최근 몇 년 동안 가장 흥미로운 암호화폐 이야기 중 하나"라고 설명하며, 암호화폐 세계의 희망은 리스크 완전히 없애는 데 있는 것이 아니라 리스크 발생했을 때 누군가가 올바른 일을 선택하는 데 있다고 강조했습니다.

Protofire와 Safe 팀, 그리고 암호화폐 세계를 더욱 안전하게 만들기 위해 노력하는 모든 화이트 해커들에게 경의를 표합니다. 암호화폐가 나쁘지 않은 경우도 있습니다.

이 손실 및 복구 사고는 " 암호화폐 지갑은 사용자에게 주권적 통제권을 제공하지만, 더 높은 자체 보관 리스크 수반합니다. "라는 점을 상기시켜 줍니다. Khalo는 "8년 동안 모든 사기를 피해 왔지만, UX 오류로 인해 손실을 입었습니다."라고 말했습니다. 이는 단발적인 사례가 아니라, 성장 과정에서 멀티체인 생태계 전체가 겪는 고통의 일부입니다.

더욱 완벽한 프로토콜 설계, 더욱 스마트한 조기 경보 시스템, 그리고 Protofire와 같은 사람들이 많아져야만 우리는 진정으로 더욱 안전하고 사용자 친화적인 암호화폐 세계로 나아갈 수 있습니다.