Ctrl Wallet은 6월 23일 발생한 익스플로잇으로 인해 8월 3일까지 폐쇄되며, 65만 명 이상의 월간 활성 사용자가 자산을 인출해야 한다.
"모든 사용자는 8월 3일 이전에 자산을 이전할 것을 촉구합니다. 이후에는 지갑 기능이 비활성화됩니다."라고 Ctrl Wallet은 7월 7일 성명에서 밝혔다.
이 지갑은 이전에 XDEFI Wallet으로 알려졌으며, Cardano 및 Midnight를 포함한 2,500개 이상의 블록체인 네트워크를 지원했다. LinkedIn 페이지에는 11~50명의 직원이 등록되어 있었다.
회사는 마이그레이션 토큰이나 에어드랍 이벤트가 없을 것이라고 밝히며, 유사한 인센티브를 약속하는 가짜 소셜 미디어 게시물이나 웹사이트를 접할 경우 주의를 기울일 것을 당부했다.
이번 폐쇄는 같은 Emurgo 산하에 있는 Cardano 기반 지갑인 SecondFi에서 별도의 취약점이 발생한 지 며칠 만에 이루어졌다. 해당 사건으로 6월 24일에 약 1,600만 ADA(당시 약 240만 달러 상당)가 유출됐다. SecondFi는 이후 374개 영향 받은 지갑 주소에 대한 복구 경로를 공개했으며, 긴급 조치를 통해 약 1억 2,900만 ADA를 확보해 독립적인 제3자 수탁 기관으로 자금을 이전했다고 밝혔다.
Ctrl Wallet의 폐쇄는 빈도가 급증하고 있는 일련의 암호화폐 인프라 공격 중 최신 사례다. CertiK에 따르면 2026년 상반기 보안 사고는 전년 동기 83건에서 207건으로 두 배 이상 증가하며 6개월 기준 최고치를 기록했다. 이 중 스마트 계약 익스플로잇이 125건(60%)을 차지했다.
TRM Labs도 2026년 상반기 보고서에서 비슷한 결론에 도달하며 "도난당한 총 달러 금액의 감소를 더 안전한 환경으로 오해해서는 안 된다"고 밝혔다.
"총액 감소는 기록적인 규모의 대형 절도 사건이 없었기 때문이지, 공격자의 능력이 줄어들었기 때문이 아니다"라고 TRM은 전했다.
CertiK는 개인 키와 다중 서명(Multisig) 지갑 관리가 공격자들에게 가장 중대한 보안 표면으로 남아 있다며, 암호화폐 프로토콜이 하드웨어 보안, 다중 서명 거버넌스, 서명자 위치의 지리적 분산에 이르기까지 개인 키 관리의 모든 계층을 강화해야 한다고 촉구했다.
Ctrl Wallet의 Emurgo 산하 이전은 4월 29일에 발표됐다. 해당 지갑의 멀티체인 아키텍처는 Cardano 기반의 자체 수탁(Self-Custodial) 플랫폼인 SecondFi 지갑 내에서 지속될 예정이었다. SecondFi는 2026년 4월 Yoroi 지갑에서 리브랜딩된 서비스다. 두 지갑에서 연이어 발생한 사고는 Emurgo 생태계 전반의 보안 관리에 대한 의문을 제기하고 있다.
회사에 따르면 Ctrl Wallet에 자산을 보유한 사용자는 12개 또는 24개 단어로 된 복구 구문(시드 프레이즈)을 MetaMask, Trust Wallet, Phantom 등 호환 지갑으로 내보낼 수 있다. 지갑 제공자는 사용자가 자금에 대한 접근 권한을 잃지 않도록 8월 3일 마감일 이전에 이전을 완료할 것을 촉구했다.
Ctrl Wallet의 익스플로잇은 2026년 암호화폐 보안 사고 증가 목록에 추가된 사례다. 별도의 사건에서는 공격자가 악의적인 거버넌스 제안을 통과시키기에 충분한 토큰을 매입해 BONK DAO의 재무부에서 약 2,000만 달러를 탈취했으며, 이는 토큰 기반 투표 시스템이 어떻게 악용될 수 있는지를 보여줬다. 이러한 사건들은 규제 당국의 주목을 받았으며, 미국, 일본, 한국 당국은 6월 말 북한 연계 암호화폐 부문 사이버 활동을 논의하기 위해 회동했다.
본 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않는다.