Yala 사후 보고 | 9월 14일

이번 사건은 Yala의 여정에서 가장 어려운 순간이었습니다. 우리도 여러분과 마찬가지로, 빌더이자 이 커뮤니티의 일원으로서 이번 사건의 무게를 깊이 느끼고 있습니다. 처음부터 우리가 가장 우려했던 것은 재정적 손실이 아니라, 우리를 믿고 함께해 준 커뮤니티를 어떻게 마주할지였습니다.

이번 사건이 신뢰를 흔들었다는 사실을 인정하며, 그로 인한 고통에 대해 전적인 책임을 집니다. 그러나 이 좌절에도 불구하고 우리는 이를 공개적으로 마주하고, 더 강하게 재건하며, 비트코인과 Yala의 비전을 향한 우리의 확신을 지켜나가기로 했습니다.

요약 (TL;DR): 다음 주 화요일(9월 23일), $YU의 유동성이 완전히 복구되며 페그(1:1)가 정상화됩니다.

I. 사건 개요

한 해커가 승인된 브리지 배포 과정에서 임시 배포 키를 악용해 무단 크로스체인 브리지를 설정하고, 7.64M USDC(약 1,636 ETH) 를 탈취했습니다.

• $YU는 일시적으로 $0.20까지 디페깅되었다가 $0.94로 안정되었습니다.
• 프로토콜 취약점은 없었고, 비트코인 준비금은 손상되지 않았습니다.

사건 타임라인 (UTC)

• 2025–08–04 14:46:47 — 해커가 Polygon에 악성 OFTU 토큰 컨트랙트를 배포.
• 2025–08–12 00:47:22 — Yala의 Solana LayerZero OFT 승인 배포 중, 해커가 임시 로컬 키를 악용해 Polygon의 악성 OFTU 컨트랙트와 Solana 간 피어 연결 생성.
• 2025–09–13 19:20:10 — 해커가 40일간 잠자던 백도어를 활성화, Polygon에서 Solana로 악성 토큰 브리징 설정 완료.
• 2025–09–13 19:44:10 — Polygon에서 1억2천만 OFTU 발행.
• 2025–09–13 20:07:28 — 이 중 3천만 OFTU가 Solana로 브리징, 결과적으로 Solana에서 3천만 $YU 과발행.
• 2025–09–13 20:09:34–1천만 $YU가 Solana에서 Ethereum으로 이동.
• 2025–09–13 20:11:52–2백만 $YU가 Raydium에서 1,996,868 USDC로 교환.
• 2025–09–13 20:25:06–1,800,000 USDC가 CCTP를 통해 Ethereum으로 전송.
• 2025–09–13 20:25:27–50만 $YU가 490,697 USDC로 교환.
• 2025–09–13 20:40:49–629,955 USDC가 CCTP로 Ethereum 전송.
• 2025–09–13 20:13:35–5,213,000 $YU가 Yala PSM을 통해 USDC로 변환.
• 2025–09–13 20:19:23–7,642,852 USDC가 Uniswap에서 1,635.572 ETH로 교환.
• 2025–09–13 20:45:47 — 해커가 Tornado Cash로 자금 세탁 시작.
• 2025–09–16 11:30:17 — 해커가 17,500,000 $YU를 Solana의 Yala Cubist 지갑으로 반환.
• 2025–09–16 11:37:23 — 해커가 4,787,000 $YU를 Ethereum의 Yala Cubist 지갑으로 반환.

해커 주소

• Polygon: 0x55d67b5e0e1c88f48c8a9d978ea76b9ec9d488a9
• Solana: 87pS8qCum6qaSszbvoARBmFg1Mh1cqcE4ZTAsXfejBMz
• ETH: 0x29F48B783EF90F81B51242D9a55e022A214274F5

현재 자산 상태

• 반환된 총액: 22,287,000 $YU
• Solana: 17,500,000 $YU
• Ethereum: 4,787,000 $YU
• 해커가 변환한 금액: 7,713,000 $YU → 1,635.572 ETH
• Tornado Cash 혼합: 151.5 ETH
• 해커 지갑 146개에 분산 보유: 1,474.6 ETH

II. 즉각 대응

• SlowMist, Fuzzland 등 보안 전문가와 협력해 원인 분석 및 피해 방지.
• ‘Convert’ 및 ‘Bridge’ 기능을 비활성화하여 추가 피해 차단.
• 무단 발행 및 전송 방지를 위해 시스템 보호 조치 배포.
• 포렌식 파트너와 협력해 온체인 활동 추적 및 영향 분석.
• 해커 신원 확인 후 국내외 법 집행 기관과 공조.

III. 복구 계획

• 2025년 9월 23일, 모든 불법 발행된 $YU를 소각하고 유동성을 완전히 복구.
• 모든 사용자가 $YU를 USDC로 1:1 교환 가능.

핵심 원칙

1. 모든 사용자를 잠재적 손실로부터 보호
2. 불법 발행된 $YU 전량 소각
3. 내부 엔지니어와 외부 전문가(Fuzzland, Cubist)와 함께 계약 및 브리지 설정 감사
4. 관리자 작업, 브리지 상태, 계약 업데이트에 대한 모니터링 강화
5. 공정성을 유지하며 신속한 조치

불법 $YU 분포:

• Polygon: 90,000,000 OFTU (무단 브리지 종료, 접근 차단) (참고)
• Cross-chain으로 이동했지만 사용되지 않은 $YU: 9월 23일 소각 예정
• Ethereum: 4,787,000.1 $YU (참고)
• Solana: 17,500,000.09994 $YU (참고)
• 해커가 사용한 금액: 7,712,999.80006 $YU

Yala는 동일 금액을 재매입·수집(PSM USDC 변환, DEX 매수 등)하여 9월 23일에 소각할 예정입니다.

청산 페널티 보상

• 디페깅으로 인해 부당 청산된 사용자를 위해 보상 절차를 개시.
• 2025년 9월 23일부터 Discord를 통해 청구 등록 가능.
• 개별 검토 필요로 처리 기간은 1~4주 예상.

IV. 우리의 약속

이번 사건은 신뢰가 개인이 아니라 검증 가능한 절차와 공동 책임에 기반해야 함을 상기시켰습니다.
Yala는 기존의 스마트 컨트랙트 감사, 멀티시그 금고 관리, 운영 프로토콜 등 보안 체계를 기반으로, 변화하는 보안 위협에 대응하기 위해 체계적인 강화를 진행 중입니다.

주요 조치:

• 실시간 운영 모니터링: Fuzzland와 협력해 스마트 컨트랙트 변경, 관리자 업데이트 등 모든 활동을 실시간 감시.
• 타사 브리지 보안 검증: 브리지 설정 및 크로스체인 인프라를 정기적으로 검증하고, 향후 변경 사항에 대한 지속적 모니터링을 수행.
• 업계 한계 해결: Cubist와 협력해 진정한 다중 서명 제어를 구현하고 거버넌스를 강화.
• 지속적인 보안 검증: 분기별 보안 평가 및 외부 감사를 통해 인프라, 운영, 전략, 보안 문화 등 다양한 영역을 순환 점검.

V. 결론

이번 사건은 프로토콜 또는 스마트 컨트랙트 취약점에서 비롯된 것이 아닙니다.
Yala는 즉각적인 차단 조치를 취했고, 재발 방지를 위한 구조적 개선을 이미 진행 중입니다.

Yala는 사용자 자산 보호, 거버넌스 및 보안 강화, 투명한 소통 유지를 최우선 과제로 삼고 있습니다. 우리는 커뮤니티의 신뢰를 지키고, 더 강력하고 회복력 있는 Yala로 거듭날 것입니다.

사용자 안내:

• 공격 이후 YU/YBTC를 이동하지 않았다면, 직접 상환 가능합니다.
• 이동한 경우, 트랜잭션 세부 정보와 함께 청구를 제출해야 합니다.
• 공식 상환 및 청구 지침은 SNS와 웹사이트를 통해 곧 공지될 예정입니다.
•  

• 👉 Yala: https://app.yala.org/
• Yala Korea Linktree: https://linktr.ee/yalaKorea