인터뷰: 통, PANews

편집: 율리야, PANews

7월 12일, 예상치 못한 해커 공격으로 Pundi AI가 단 몇 분 만에 100만 개의 토큰을 추가로 발행했습니다. 이 위기에 직면한 Pundi AI는 자산을 동결, 추적 및 회수하고, 자금의 안전을 보장하기 위해 가능한 한 빨리 정보를 공개하기로 결정했습니다. 궁극적으로 도난당한 자금의 약 90%를 성공적으로 회수하고 동결했으며, 사용자에게 100만 달러 이상의 전액 보상금을 지급했습니다. 해커가 악용한 ERC1967Proxy 컨트랙트의 취약점은 이미 여러 업계 프로젝트에 영향을 미쳤습니다. 그러나 Pundi AI는 업비트와 빗썸을 포함한 5대 주요 거래소로 구성된 한국디지털자산거래소협회(DAXA)로부터 "정보 적시 공개"를 이유로 한국 거래소에서 상장 폐지 통보를 받았습니다.

독자들이 사건의 맥락을 더 잘 이해할 수 있도록 주요 타임라인을 간략하게 살펴보겠습니다.

• 3월 2일 — Function X는 PUNDIAI로 리브랜딩하고 PUNDI로 토큰 스왑을 발표했습니다. 당시 해커는 이미 잠복해 있었지만, 은밀하게 활동했기 때문에 발각되지 않았습니다.

• 7월 12일 — 해커들이 공식적으로 공격을 개시하여 100만 개의 토큰을 추가로 발행했습니다. 그날 거래는 동결되었고 추적이 시작되었습니다. 그날 저녁, CEO는 커뮤니티에 계약에 취약점이 발견되었으며 이를 해결하기 위한 조치를 발표했습니다.

• 7월 14일 — 공격 조사 결과와 해결책을 거래소에 완전히 공개하고 DAXA와 소통을 시작했습니다.

• 7월 28일 — 업비트와 빗썸은 "정보 공개 지연"을 이유로 8월 28일 PundiAI 상장 폐지를 발표했습니다.

• 7월 31일 — 공식 발표: 자산 80% 이상 회수, 11일 만에 사용자 보상 완료.

이번 단독 인터뷰에서 PANews는 Pundi AI 공동 창립자 대니 림과 단독 인터뷰를 진행했습니다. 림은 전체 사건을 면밀히 검토하고, 토큰 마이그레이션을 진행 중인 업계 다른 프로젝트에 대한 안전 경고와 한국 거래소에 상장된 프로젝트에 대한 운영 지침을 제시했습니다. 또한, 업계 관점에서 Pundi AI의 AI 데이터 제품 포트폴리오와 Web3 AI 분야의 현재 발전 상황에 대한 자신의 생각을 밝혔습니다.

게다가 그는 딜레마를 제기했습니다. 해커들과의 지혜와 용기의 싸움에서 해커에게 알리지 않고 사용자 자금 보안을 우선시해야 할까? 아니면 투명성을 우선시하고 정보를 즉시 공개하여 해커가 자금 이체를 가속화하고 피해를 증가시킬 가능성을 허용해야 할까? 이번에 Pundi AI는 전자를 선택했지만, "결함 있는" 투명성에 대한 대가를 치렀습니다.

변장한 축복이었습니다. Danny는 규정을 준수하는 거래소에서 상장 폐지가 오히려 프로젝트 개발의 발판이 되었다고 농담조로 말했습니다. 과거에는 토큰을 마음대로 재구매하거나 파기할 수 없었으며, 거래소의 승인이 필요했습니다. 이제 토큰 이코노미를 더욱 유연하게 활용하여 커뮤니티에 환원할 수 있습니다. Pundi AI는 또한 토큰을 재구매하여 사용자들에게 에어드랍을 제공함으로써 "위기 상황에서 우리와 함께해 준 사용자들에게 감사를 표합니다." 도난, 상장 폐지, 그리고 어려운 결정 PANews: 최근 한국디지털자산거래소협회(DAXA)가 회원사들에게 Pundi 토큰 상장 폐지를 명령했다는 발표를 접했습니다. 그 이유는 토큰 마이그레이션 과정에서 Pundi AI 토큰이 도난당했고, 그 사실이 즉시 공개되지 않았기 때문입니다. 무슨 일이 있었는지 자세히 설명해 주시겠습니까? Danny: 보안 사고는 7월 12일 오후 2시 20분경에 발생했습니다. 저희 시스템은 오후 2시 40분경 PUNDI 토큰 약 100만 개가 비정상적으로 발행되었음을 알리는 경고를 발령했습니다. 토요일이라 처음에는 계약상의 버그라고 생각했습니다. 그래서 긴급히 기술팀에 연락하여 조사를 진행했습니다. 오후 5시까지 이것이 버그가 아니라 공격임을 확인했습니다. 즉시 모든 주요 거래소에 연락하여 PUNDIAI 입출금 서비스를 중단해 달라고 요청했습니다. 전체 공격은 매우 정교했습니다. 해커는 토큰 마이그레이션 계약의 취약점을 악용했습니다. 2월 계약 배포 과정에서 해커는 동일한 블록 내에 더 높은 가스 수수료가 포함된 거래를 제출하여 계약의 관리자 권한(관리자 키)에 선제적으로 접근하여 접근했습니다. 이 기술은 매우 정확했으며, 거래 시점과 블록을 정확하게 계산해야 했습니다. PANews: 이 보안 취약점으로 인해 잠재적으로 영향을 받을 수 있는 프로토콜은 몇 개나 됩니까? 다른 기관에 알리기 위한 조치를 취했습니까? Danny: 이 취약점은 매우 미묘했습니다. 2월에 토큰 스왑을 완료했지만, 7월 공격이 발생하기 전까지는 발견되지 않았습니다. 최근 3~4주 동안 베이스체인과 이더리움의 여러 프로젝트가 유사한 전술로 공격을 받는 것을 목격했습니다. 해커들은 매우 인내심이 강하며, 종종 몇 달 동안 숨어 있다가 시장이 회복되고 프로젝트가 인기를 얻기 전까지 공격을 감행합니다. 따라서 이 사건의 세부 정보를 공개적으로 공유함으로써 모든 동료, 특히 토큰 마이그레이션이나 컨트랙트 업그레이드를 계획하는 사람들에게 교훈을 줄 수 있습니다. 이러한 "선두 공격" 공격의 잠재적인 보안 위험을 염두에 두어야 합니다. PANews: 도난 사건을 발견한 후 어떤 조치를 취했으며, 그 조치가 커뮤니티에 공개되었습니까? Danny: 해커가 새로 발행된 토큰을 즉시 매각하지 않고 천천히 현금화했다는 점을 고려할 때, 해커는 저희가 도난 사실을 발견한 사실을 알지 못했을 가능성이 높습니다. 자산 회수 가능성을 극대화하기 위해, 저희는 공격자에게 알리지 않고 조용히 자산을 추적하고 동결하기로 어려운 결정을 내렸습니다. 자산 확보 후, 7월 12일 저녁 트위터를 통해 계약 문제가 발생했음을 알리고 해결책을 공개적으로 공유했습니다. 이 전략은 매우 효과적이었습니다. 이더리움과 자체 메인넷인 F(x)Core에서 도난당한 자산의 약 95%를 성공적으로 차단했습니다. 주요 손실은 BSC 체인에서 발생했는데, 이는 Axelar 크로스 체인 브릿지를 통해 연결했기 때문입니다. 주말 동안에는 제3자 서비스 제공업체의 응답이 지연되었습니다. PancakeSwap과 자체 DEX에서 시장 폭락으로 손실을 입은 사용자들에게는 공정한 가격으로 자산을 재매수하여 손실을 최소화했습니다.

이 공격으로 당시 600만 달러 이상의 토큰이 발행되었습니다. 동결 및 복구 작업을 통해 자산의 약 87%를 회수할 수 있었습니다. 결국 저희는 약 200만 달러의 손실을 직접 부담하기로 결정했습니다.

PANews: 이번 도난 사건은 토큰에만 영향을 미쳤습니다. 제품에는 영향이 있습니까?

Danny: 약간 영향을 받았습니다. 저희는 이더리움, BSC, 그리고 F(x)Core를 연결하는 크로스 체인 브릿지를 구축했습니다. 유사한 사고가 재발하지 않도록 토큰 계약을 업그레이드했습니다. 이로 인해 크로스 체인 브릿지의 기능에 어느 정도 영향을 미쳤지만, 전반적인 제품 자체는 문제없이 작동하며 큰 영향은 없었습니다.

PANews: DAXA와 소통해 보셨습니까? 이번 직접 상장 폐지가 부적절했다고 생각하십니까? 아니면 어떤 교훈을 얻었습니까?

Danny: DAXA와 많은 소통을 했습니다. 7월 14일에 이메일을 보냈고, 저희는 서너 번이나 답장을 보냈습니다. 전체 소통 과정에서 그들은 저희를 비난하거나 구체적인 수정 요청을 하지 않았습니다. 오히려 기술적인 세부 사항, 해결책, 그리고 사용자 보상을 계속해서 요구했습니다. 그래서 당시에는 문제가 심각하지 않다고 생각했습니다. 자금 대부분을 회수했고, 모든 사용자에게 손실을 보상했으며, 저희도 손실을 충당했으니 이 문제를 해결할 수 있을 거라고 생각했습니다. 그런데 예상치 못하게 이번 월요일에 상장 폐지 통지를 받았습니다. DAXA는 구체적인 사유를 밝히지 않았습니다. 거래소 발표에 따르면, 상장 폐지는 "시기 적절하지 않은 정보 공개"로 인해 발생했으며, 이로 인해 설명이나 구제책을 찾을 수 없었습니다.

저희 입장에서는 당연히 실망스럽고, 심지어 조금은 비통하기도 합니다. 저희는 모든 일을 완벽하게 처리하는 팀입니다. 해킹 사건 이후, 저희는 사용자들의 손실을 보상하기 위해 자체 자금을 투입하고 자산 회수를 위해 최선을 다했습니다. 하지만 결국 저희가 직면한 결과는 이와 같았습니다. 특히 최근 GMX 해킹 사건과 비교하면 더욱 그렇습니다. GMX는 저희가 상장 폐지된 후에도 아무런 피해 없이 운영되었습니다. DAXA의 관점에서 볼 때, 그들은 시장 전반의 투명성과 개방성 원칙을 고수하고 있으며, 그들의 조치는 이해할 만합니다. 물론 절차상의 결함도 있었습니다. 가장 큰 교훈은 한국 시장에서는 시의적절한 정보와 투명성이 무엇보다 중요하다는 것입니다. 이는 뼈아픈 교훈입니다. 저희는 자산을 조용히 회수하는 것과 신속하게 공개하는 것 사이의 적절한 균형을 맞추지 못했습니다. 이 사건이 한국에 상장되었거나 상장을 계획 중인 모든 프로젝트에 경고가 되기를 바랍니다. PANews: 거래소 상장 폐지가 평판에 영향을 미칠 수 있습니까?

Danny: 네, 저희가 가장 우려하는 부분입니다. 상장 폐지로 인한 거래 손실은 부차적인 문제입니다. 더 고통스러운 것은 저희 평판이 훼손된 것입니다. 많은 사람들이 근본적인 이유를 깊이 파헤치지 않습니다. 단순히 "펀디 AI가 DAXA에 상장 폐지되었다"는 사실만 보고 저희를 "나쁜 회사" 또는 "사기"라고 낙인찍습니다. 이로 인해 저희의 수년간의 노고와 평판이 오해받게 됩니다.

한국 시장의 어려움과 향후 계획

PANews: 펀디 AI는 언제 한국 거래소에 상장되었습니까? 한국 시장에서 얼마나 많은 사용자를 확보했습니까?

대니: 저희는 한국 시장에서 오랫동안 활동해 왔습니다. 저희의 전신인 Function X(FX)는 2019년 빗썸에, 2020년 업비트에 상장되었습니다. 저희는 한국에서 5~6년 동안 사업을 운영해 왔으며, 최소 20만 명에서 30만 명, 심지어 40만 명 이상의 사용자를 보유하고 있습니다. PANews: 현재 한국, 특히 일부 알트코인 시장에서 김치(kimchi)에 대한 상당한 프리미엄이 형성되어 있습니다. 한국 시장에 대한 전망은 어떠신가요? 한국 거래소에 재상장을 고려하실 의향이 있으신가요? Danny: 한국 시장은 매우 독특합니다. 사용자들은 거래를 위해 CEX(중앙 거래소)에 크게 의존하며, 일반적으로 DeFi나 온체인 운영에 대한 수용도가 낮습니다. 저희 거래량의 약 80%와 거래 가능 토큰의 70%가 한국 CEX에 존재합니다. 따라서 이번 상장 폐지는 저희 유동성에 상당한 영향을 미칩니다. 재상장과 관련하여 많은 논의를 거쳤고, 저희가 받은 피드백은 매우 어려울 것이라는 것이었습니다. DAXA의 결정은 한국에서 권위적이며, 일단 내려지면 단기간에 뒤집기가 어렵습니다. 하지만 저희는 DAXA 및 주요 거래소들과 적극적으로 소통하며 그들의 신뢰를 얻고 한국 시장에 재진입하기를 희망하고 있습니다. 하지만 한 가지 매우 위안이 되고 감동적인 것은 상장 폐지 발표 이후 저희 토큰 가격이 다른 프로젝트들처럼 폭락하지 않고 대체로 안정적으로 유지되었다는 것입니다. 이는 저희 커뮤니티와 토큰 보유자들이 여전히 저희를 믿고 있다는 것을 보여줍니다. 하지만 이 부분이 저희에게도 가장 가슴 아픈 부분입니다. 한편으로는 이러한 신뢰를 저버릴 수 없다고 생각하지만, 다른 한편으로는 편리한 거래 채널을 제공하지 못하는 것에 좌절감을 느끼고 있습니다. PANews: 커뮤니티를 위한 향후 계획이 있으신가요? Danny: 현재 세 가지 핵심 사업을 추진하고 있습니다.

• 첫째, 현재 한국에서 중앙화 거래소의 발전이 어려운 만큼, 온체인 탈중앙화 거래소에 대한 투자를 확대할 것입니다. 팬케이크스왑(PancakeSwap)과 유니스왑(Uniswap)과 같은 플랫폼에 자체 자본을 투자하여 더욱 풍부한 자본 풀을 구축하고 사용자에게 풍부한 유동성을 제공할 것입니다.

• 둘째, 새로운 AI 데이터 제품을 적극적으로 홍보할 것입니다. 고품질 제품이 프로젝트 개발의 핵심 원동력이라고 믿습니다.

• 셋째, 토큰 바이백 및 에어드랍 프로그램을 시작할 것입니다. 솔직히 말해서, 한국의 규정을 준수하는 중앙화 거래소에 상장하는 것은 예전에는 제한적이었습니다. 토큰을 마음대로 매수하거나 소각할 수 없었고, 허가가 필요했습니다. 이제 저희는 "뚜껑을 열었습니다". 토큰 이코노미를 더욱 유연하게 활용하여 커뮤니티에 환원할 수 있게 되었습니다. 위기 속에서도 저희와 함께해 주신 지지자분들께 감사의 마음을 전하기 위해 토큰을 매수하고 에어드랍을 제공할 것입니다. ...

  Danny: 사실, 저희 신제품 Data Pump는 이미 준비가 되어 7월 10일에 소프트 런칭되었습니다. 그런데 공교롭게도 12일에 공격을 받아서 홍보할 시간이 전혀 없었습니다.

  

  Data Pump는 "AI 데이터세트의 발사대"라고 할 수 있습니다. 이 제품은 Pump.fun과 유사한 메커니즘을 사용하지만, 기반 자산은 밈 토큰이 아닌 데이터세트입니다. 이 제품은 데이터 토큰화(DataFi)를 목표로 합니다. 사용자는 다양한 콘텐츠 데이터(트윗, 오디오, 비디오 등)를 NFT로 패키징할 수 있습니다. 그런 다음 플랫폼에서 이러한 NFT를 스테이킹하여 해당 토큰을 생성하고 PancakeSwap과 같은 DEX에서 직접 거래할 수 있습니다. 앞으로 저희는 다음에 중점을 둘 것입니다. 이 제품을 홍보하고 운영하고 있습니다.

  PANews: 지난 2년 동안 AI는 Web3의 핵심 분야가 되었습니다. 또한 AI 데이터 분야에서 Pundi AI의 제품이 Sahara나 Openledger와 같은 다른 회사 제품과 차별화되는 점은 무엇입니까?

  Danny: 첫째, 데이터 측면에서 많은 프로젝트가 일반적인 데이터 주석 처리에 중점을 두고 있으며, 사용자는 주로 "에어드랍 활용"을 목표로 합니다. 이러한 데이터는 상업적 가치가 제한적입니다. 저희는 처음부터 의료 영상(심혈관 질환 식별), 자율주행(고정밀 장애물 탐지), 법률 문서와 같은 전문화된 틈새 시장에 집중해 왔습니다. 인도네시아 대학교 의대생을 모집하여 주석 처리를 담당함으로써 데이터의 전문성과 높은 품질을 보장합니다. 주석 사용자는 수만 명, 활동 중인 사용자는 1,000명 미만이지만, 품질은 매우 높습니다.

  둘째, 저희는 한 걸음 더 나아가 AI AMM(자동 마켓 메이커)을 개발했습니다. 사용자는 LP 토큰을 입금하기만 하면 거래가 자동으로 온체인에서 시작됩니다. 이를 통해 데이터의 자산화 및 수익화가 가능합니다.

  마지막으로, 저희는 방대한 데이터베이스를 보유하고 있습니다. 현재 온체인에는 페타바이트(약 1024TB) 규모의 데이터가 저장되어 있으며, 이는 웹 3.0 분야에서 가장 큰 규모의 데이터 저장소 중 하나라고 할 수 있습니다.

  PANews: 올해 초 AI 에이전트에 대한 FOMO(Fomo) 열풍이 끝난 이후, AI 분야는 낮은 수준에서 안정화되고 있습니다. 웹 3.0 AI 개발의 병목 현상은 무엇이라고 생각하십니까? 올해 초의 열기를 다시 되찾을 수 있을까요?

  Danny: 개인적으로 저는 Web3 AI 개발의 병목 현상은 진정으로 유용하고 삶을 변화시킬 수 있는 제품의 부족에 있습니다.

  첫째, 소위 "탈중앙화 컴퓨팅 파워"는 현 시점에서는 잘못된 명제에 가깝습니다. 분산 네트워크를 사용하여 소규모 언어 모델을 실행하는 것은 가능할 수 있지만, GPT-4와 같이 진정으로 의미 있는 대규모 모델을 실행하는 것은 완전히 비현실적입니다. AI에서 블록체인의 진정한 가치는 사용자 데이터 주권과 개인정보를 보호하는 "데이터 계층"에 있습니다. ChatGPT에서 하는 모든 질문은 데이터를 제공하며, 데이터가 사용자의 기록에 접근하는 것을 막을 수는 없습니다. 특히 ZK(영지식증명) 기술을 사용하는 블록체인은 이 문제를 완벽하게 해결하여 사용자가 AI가 자신의 데이터에 안전하게 접근할 수 있도록 허용할 수 있습니다. 그러나 병목 현상은 현재 일반 사용자가 데이터 개인정보 보호의 중요성을 아직 깨닫지 못하고 있다는 사실에 있습니다. 사람들은 단순히 이러한 인식을 가지고 있지 않습니다. 따라서 Web3 AI 분야가 진정으로 번영하려면 다음 단계를 기다려야 한다고 생각합니다. "하위 호환성." 다시 말해, OpenAI나 구글과 같은 전통적인 AI 거대 기업이 특정 기회(대규모 데이터 유출 스캔들 등)로 인해 사용자 데이터 프라이버시의 중요성을 인지하고 블록체인 기술을 적극적으로 수용하여 사용자에게 데이터 보호 기능을 제공할 때까지 기다려야 합니다. 이러한 추세는 네이티브 웹 3.0 프로젝트가 주도하는 하향식 접근 방식이 아닌, 전통적인 거대 기업이 주도할 것입니다. 저는 그 날이 멀지 않았다고 생각합니다.