到底谁该为 15 亿美金负责？深扒 Safe 安全问题下的行业隐患 도대체 누가 15억 달러에 책임을 져야 할까? Safe 안전 문제 아래의 산업 위험을 파헤치다

저자: Fairy, ChainCatcher

편집: TB, ChainCatcher

역사상 최대의 도난 사건 Bybit에서 15억 달러가 도난당했으며, 결국 문제는 이더리움에서 가장 신뢰받는 Safe에 있었다? Safe는 결국 이름처럼 안전하지 않았다.

EVM에서 가장 큰 스마트 계좌 생태계인 Safe는 800만 개 이상의 스마트 지갑을 관리하고 있으며, 수백억 달러의 암호 자산을 저장하고 있고, 200개 이상의 프로젝트가 그 기반 위에 구축되었다. 많은 DAO, 재단, 대형 NFT 프로젝트는 이를 "금고"와 같은 기본 관리 솔루션으로 간주하고 있다. 이러한 최상급 보안 인프라도 타격을 받을 수 있다, 암호화 보안은 도대체 어디로 가고 있는가?

Safe 해커가 모든 사람의 돈을 훔칠 수 있다?

조사 보고서에 따르면, Safe 스마트 계약이나 프론트엔드 코드 자체에 취약점이 있는 것이 아니라, 공격자가 Safe{Wallet} 개발자의 장비를 해킹하여 위장된 악의적인 거래를 시작했다. 공격자는 악성 코드를 프론트엔드에 주입하여 거래 매개변수를 가로채고 변조함으로써 자금을 훔쳤다.

즉, 이론적으로 Safe 해커는 서로 다른 사용자에게 서로 다른 악성 코드를 주입할 수 있으며, 이는 모든 프론트엔드, API 등 사용자 상호작용 서비스에 의존하는 프로젝트가 유사한 위험에 직면할 수 있음을 의미한다. 그러나 공격자는 Bybit라는 "가장 비만한 양"을 목표로 삼았고, 다른 사용자들은 일시적으로 면역이 되었다.

다시 말해, 외부 해커뿐만 아니라 Safe 팀의 내부 구성원도 이와 유사한 수단을 이용해 Safe 내의 자금을 훔칠 가능성이 이론적으로 존재한다.

Bybit 공격 사건 흐름도, 출처: SlowMist

누가 책임을 져야 하는가? 누가 보상하는가?

Safe의 안전성은 업계의 절반 이상과 직결된다. 만약 유사한 사건이 우리에게 발생한다면, 우리는 Safe와 같은 지갑 도구가 보상을 해줄 것이라고 기대할 수 있을까? 우리는 Bybit 사건을 통해 Safe의 태도를 살펴본다.

Safe 사용 전의 약관을 확인해보면, 제18조에 다음과 같이 적혀 있다:

(1) 만약 Safe{Wallet} 애플리케이션이나 서비스가 사용자에게 무료로 제공된다면, CC는 고의적, 중대한 과실 또는 CC가 Safe{Wallet} 애플리케이션이나 서비스에 존재할 수 있는 중대한 또는 법적 결함을 사기적으로 숨긴 경우에만 책임을 진다.

(2) 만약 Safe{Wallet} 애플리케이션이나 서비스가 사용자에게 무료로 제공되지 않는다면, CC는 제(1)조의 경우와 기본 계약 의무 위반으로 인한 손해배상 책임의 경우에만 책임을 진다. CC의 책임은 예측 가능한, 일반적으로 발생하는 손해배상에 한정된다. 보상 금액은 일반적으로 사용자가 손해 사건 발생 연도 내에 Safe에 지불한 총액을 초과하지 않는다. 비기본 계약 의무 위반으로 인한 손해배상 책임은 포함되지 않는다.

또한, 제20조에는 다음과 같이 적혀 있다:

우리가 합리적으로 통제할 수 없는 행위(불가항력 사건의 발생 포함)로 인해 서비스를 제공하지 못하거나 본 계약의 의무를 이행하지 못하거나 서비스 제공이 지연된 경우, 우리는 귀하에게 책임을 지지 않으며, 이를 본 계약 위반으로 간주하지 않는다.

"불가항력 사건"은 테러 공격, 해킹 공격 또는 사이버 위협, 내전, 폭동 또는 소요, 전쟁, 전쟁 위협 또는 전쟁 준비, 무장 충돌, 제재 시행, 금수 조치 또는 단교 등을 포함하되 이에 국한되지 않는다.

약관을 보면, 책임의 정의가 다소 모호하다. 만약 Safe가 이번 사건을 중대한 과실로 인정한다면, 책임을 져야 한다. 그러나 제20조에 따르면, 해킹 공격이 "불가항력 사건"으로 간주된다면, Safe는 계약 의무를 이행하지 못한 것에 대해 책임을 지지 않아도 된다.

커뮤니티 구성원들도 관련 의견을 발표했다:

• DeFiance Capital의 창립자 Arthur는 "보상할 필요도 없고, 원래 무료 서비스이기 때문에 기관급 자금을 관리하기에 적합하지 않다. 나는 몇 년 전부터 일반 멀티시그 지갑이 거액을 관리하기에는 부족하다고 말했다."라고 밝혔다.
• X 플랫폼 사용자 @jiyang0924는 "Safe는 아마도 한 푼도 보상하지 않을 것이다. 이전에 CEX에서 일할 때 모든 공급업체, Cobo와 Copper를 포함하여 서비스 약관에 면책 조항이 있다는 것을 알았다. 물론 나는 실질적으로 관리자가 보상을 약속할 수 없다는 것을 이해한다. 그렇지 않으면 위험과 수익이 불균형해진다."라고 말했다.

Safe는 법적 책임을 회피할 수 있을지 모르지만, 도의적인 측면에서 Safe는 일부 보상을 고려해야 한다.

그러나 지금까지 그들은 이 문제에 대해 언급한 적이 없다….

안전 의 길은 멀다

Safe가 모든 기반 시설을 재구축하고 포괄적인 대응 조치를 취했지만, 이 사건은 전체 암호화 산업에 경종을 울렸다. 이는 안전이 단순한 기술적 문제뿐만 아니라 생태적 문제임을 드러낸다.

문제의 핵심은 다층적인 검증 및 감사 프로세스를 구축해야 하며, 자산 모니터링 및 경고 메커니즘을 강화해야 한다는 것이다. 수억 또는 수십억 규모의 재무 프로세스를 처리하기 위해 단일 소프트웨어나 플랫폼에 의존하는 것은 절벽 가장자리에서 춤추는 것과 다름없다. 대규모 자산의 안전 관리 모델은 철저한 업그레이드가 시급하다.

안전은 암호화 산업에서 가장 깊이 파고들어야 할 분야이다. 스마트 계약의 안전은 절대적인 안전과 동일하지 않으며, 공급망 공격, 내부 위협, 인적 오류가 치명적인 약점이 될 수 있다. 개인적으로 이제는 대규모 자금의 보관 방식과 온체인 재무 관리 및 스테이킹의 안전성을 재검토할 때이다. 매번 위기는 경고가 된다: 자산 안전, 절대 소홀히 해서는 안 된다.

이전에 Safe 공동 창립자 Lukas Schor 는 인터뷰에서 모든 온체인 지갑이 스마트 지갑이 되도록 3년 내에 만들겠다고 말했다. 그렇다면, 이 목표는 지금도 실현 가능할까?