Chaofan Shou는 블록체인 보안 전문 기업인 Fuzzland의 공동 창업자이자 CTO이며, 스마트 컨트랙트용 자동 테스트 도구를 전문으로 다루고 있습니다. 또한 Solayer의 소프트웨어 엔지니어로 활동 중입니다. 그는 Anthropic의 AI 코딩 어시스턴트인 Claude Code에서 발생한 대규모 소스 코드 유출을 발견하고 이를 공론화한 인물로도 잘 알려져 있습니다. ^{[1] [2] [6] [4]}​

개요

Chaofan Shou는 블록체인 보안 및 프로그램 분석 분야에서 주목받는 인물로 자리매김했습니다. 그의 활동은 학술 연구, 창업, 보안 엔지니어링을 아우르며, 스마트 컨트랙트 보안 및 자동 테스트 방법론에 크게 기여해 왔습니다. 보안 취약점을 식별하고 해결하는 Shou의 전문성은 다양한 플랫폼에서 수많은 중대한 문제를 발견하는 성과로 이어졌으며, 보고된 버그 바운티 금액은 약 190만 달러에 달합니다. 그의 연구는 권위 있는 학술 컨퍼런스에 발표되었으며, 블록체인 보안 및 퍼징(fuzzing) 기술을 주제로 한 업계 행사에서 강연을 진행해 왔습니다. ^{[1] [2] [6] [4]}

학력

2022년 8월부터 2025년까지 Shou는 캘리포니아 대학교 버클리(UC Berkeley)에서 컴퓨터 과학 박사 과정을 밟다가 중퇴했습니다. 재학 당시 그는 Koushik Sen 교수의 지도 아래 Sky Computing Lab에서 근무하며 프로그램 분석, 보안 및 분산 시스템 연구에 집중했습니다. 박사 과정 이전에는 캘리포니아 대학교 샌타바바라(UC Santa Barbara)에서 2019년 10월부터 2021년 12월까지 수학하며 컴퓨터 과학 학사 학위를 취득했습니다. ^{[1] [4]}​

경력

Shou의 전문 경력에는 Salesforce의 보안 엔지니어 직무가 포함되어 있으며, 그곳에서 정적 애플리케이션 보안 테스트(SAST) 솔루션, 내부 네트워크 스캐닝 서비스 및 데이터 파이프라인 구축에 기여했습니다. 이 기간 동안 그는 다양한 플랫폼의 보안 취약점을 식별하는 전문성을 쌓았으며, 이는 이후 블록체인 기술 연구의 기초가 되었습니다.

Salesforce 이후 Shou는 블록체인 보안 스타트업인 Veridise의 창립 엔지니어로 합류했습니다. Veridise에서 그는 스마트 컨트랙트와 블록체인에 특화된 여러 자동 테스트 도구 개발을 주도했습니다. 그의 업적 중에는 커버리지 가이드 퍼징(coverage-guided fuzzing)을 통해 블록체인의 취약점을 찾아내는 도구인 Chainsaw 개발이 포함되어 있으며, 이를 2022년 스마트 컨트랙트 서밋(SBC)에서 발표했습니다.

이후 Shou는 Fuzzland를 공동 창업하고 최고 기술 책임자(CTO)를 역임했습니다. Fuzzland는 블록체인 보안, 특히 스마트 컨트랙트용 자동 테스트 도구 개발에 주력하고 있습니다. 2024년 2월, Fuzzland는 300만 달러 규모의 시드 펀딩 라운드 마감을 발표했습니다. Fuzzland가 Solayer에 인수된 후, Shou는 Solayer에 소프트웨어 엔지니어로 합류하여 고성능 SVM 블록체인 개발에 기여하고 있습니다. ^{[2] [6] [7] [8]}​

연구 및 출판물

Shou는 스마트 컨트랙트 보안, 프로그램 분석 및 분산 시스템 분야에서 여러 학술 논문을 저술 및 공동 저술했습니다. 주요 출판물은 다음과 같습니다:

• "ItyFuzz: Snapshot-Based Fuzzer for On-Chain Smart Contract Auditing" (ISSTA '23), Shangyin Tan 및 Koushik Sen 공동 저술;
• "Rare-Seed Generation for Fuzzing" (ISSTA '23);
• "Query Planning for Robust and Scalable Hybrid Network Telemetry Systems" (CoNext '24), 다수 공동 저술;
• "Unveiling Collusion-Based Ad Attribution Laundering Fraud: Detection, Analysis, and Security Implications" (CCS '24);
• "CorbFuzz: Checking Browser Security Policies with Fuzzing" (ASE '21). ^[1]

Shou는 GitHub에서 활발히 활동하며 수많은 저장소에 기여하고 있습니다. 그의 주요 프로젝트로는 스마트 컨트랙트용 바이트코드 수준 하이브리드 퍼저인 ItyFuzz와 하이브리드 퍼징을 위한 확률적 경로 우선순위 지정 구현체인 digfuzz가 있습니다. 또한 LibAFL 및 Facebook의 Hermes JavaScript 엔진과 같은 주요 오픈 소스 프로젝트에도 기여했습니다. ^{[1] [6] [5] [5]}​

주요 버그 바운티 및 취약점 공개

2020년에서 2022년 사이 Chaofan Shou는 버그 바운티 프로그램에 적극적으로 참여하여 약 190만 달러(잠금된 토큰 포함)의 보상금을 획득했습니다. 그가 발견한 항목들은 광범위한 중대 보안 및 개인정보 보호 취약점을 포함하고 있습니다. ^[1]​

보안 문제

• 2024 - RisingWave: 읽기 전용/낮은 권한 계정으로 모든 컴퓨팅 노드에서 RCE(원격 코드 실행) 가능.
• 2024 - Devin.ai: 사용자 정보 유출 및 시스템 전체 장악으로 이어지는 SSRF.
• 2024 - Kaito: 사용자 정보 유출 및 시스템 전체 장악으로 이어지는 API 문제.
• 2024 - Etherscan: 모든 계정을 탈취하거나 피싱을 용이하게 할 수 있는 XSS + Cloudflare 우회.
• 2023 - Twitter: 모든 트위터 계정 탈취로 이어지는 XSS + CSRF + CSP 우회.
• 2023 - Gate.io 거래소: 사용자 포지션 조작으로 이어지는 CSRF.
• 2023 - FreedomFi: 7,000개 이상의 채굴기에서 명령 실행(RCE)으로 이어지는 권한 우회.
• 2022 - Polygon Edge: 손쉬운 51%(기술적으로는 2/3) 공격으로 이어지는 다중 검증인 DoS.
• 2022 - DogeChain: 다중 검증인 DoS 및 제네시스 컨트랙트의 중대 로직 결함 => 포크로 수정됨.
• 2022 - FTX OTC: 특정 사용자 상호작용이 필요한 반사형 XSS.
• 2022 - IBAX Network: 손쉬운 51% 공격으로 이어지는 다중 검증인 DoS.
• 2022 - FastRLP: 블록 데이터 파싱 중 인덱스 범위 초과.
• 2022 - Ethgo: 트랜잭션 및 로그 디코딩 중 메모리 취약점.
• 2022 - Deeper Network: 3만 개 이상의 채굴기에서 RCE로 이어지는 패킷 파싱 메모리 취약점.
• 2021 - React Native / Hermes: 재귀적 JS 프록시로 인한 메모리 취약점.
• 2021 - FTX US: 잠재적인 사용자 거래 정보 유출로 이어지는 요청 스머글링(Request smuggling).
• 2021 - CVS Pharmacy: 모든 내부 시스템에 대한 공개 접근으로 이어지는 SSRF + TLS 포이즈닝.
• 2021 - Helium: 채굴 메커니즘의 손쉬운 조작으로 이어지는 잘못된 로직.
• 2020 - NetEase Email: 모든 비즈니스 고객 계정 탈취로 이어질 수 있는 XSS + CSP 우회.
• 2020 - Baidu: 2억 1,800만 개의 계정 탈취로 이어질 수 있는 다중 저장형 XSS.
• 2019 - Gogs: 정책 우회로 이어지는 레이스 컨디션(Race conditions).
• 2019 - NetEase: 10억 개 이상의 계정 탈취로 이어질 수 있는 XSS + CSRF.
• 2016 - 상하이 정부: 100개 이상의 SQL 인젝션 / LFI 등.

개인정보 보호 문제

• 2021 - Comcast: 악의적인 사용자가 네트워크 트래픽을 하이재킹할 수 있음.
• 2021 - Google Nest: 사용자 행동 유출로 이어지는 사이드 채널.
• 2021 - MyQ: 사용자 행동 유출로 이어지는 사이드 채널.
• 2021 - Samsung Home: 사용자 행동 유출로 이어지는 사이드 채널.
• 2020 - iQIYI: API에서의 사용자 개인식별정보(PII) 유출.
• 2020 - Mail.ru: API에서의 사용자 개인식별정보(PII) 유출.
• 2017 - Baidu: API에서의 사용자 개인식별정보(PII) 유출.

인터뷰

스마트 컨트랙트 공격 완화 #01

2024년 8월 16일, Chaofan Shou는 IC3(Initiative for Cryptocurrencies and Contracts) 유튜브 채널 인터뷰에 출연하여 스마트 컨트랙트 공격에 대한 도전 과제와 방어 전략에 대한 견해를 밝혔습니다. Shou에 따르면, 2024년 손실액은 이미 1억 달러를 넘어섰으며, 로닌 브릿지 익스플로잇과 중대 결함을 해결하지 않은 채 여러 차례 감사를 받은 프로토콜의 반복적인 해킹 사례가 발생했습니다. $$widget0

$$ Shou는 많은 공격이 프라이빗 RPC를 통해 발생하여, 프런트러닝(front-running) 봇이 악성 트랜잭션이 채굴되기 전에 이를 감지하고 차단하는 것을 방지한다고 지적했습니다. 방어자 봇과 공격자 봇 사이의 치열한 경쟁과 급등하는 가스비로 인해 온체인 구조 시도의 효과가 급격히 떨어지고 있으며, 그는 2024년에 프런트러닝만으로 자금 회수에 성공한 사례가 없었다고 언급했습니다.

연구원에 따르면, 공격의 준비 단계에는 반복적인 패턴이 있습니다. 공격자들은 종종 악성 트랜잭션을 실행하기 직전에 익스플로잇 컨트랙트를 배포합니다. Shou는 이 세부 사항이 선제적 개입의 기회를 제공한다고 주장합니다. 새로 배포된 컨트랙트를 모니터링하고 분석함으로써, 방어 팀은 동일한 익스플로잇을 역이용해 원래의 공격을 하이재킹할 수 있으며, 이를 통해 자금 회수 가능성을 크게 높일 수 있습니다.

이 개념을 실현하기 위해 Chaofan Shou는 공격 매개변수를 예측하거나 익스플로잇 트랜잭션을 실시간으로 재구성할 수 있는 "신비한 오라클(mysterious Oracle)" 구축을 제안합니다. 2023년 1월부터 실시된 실험에서 그의 팀은 최적화된 매개변수와 익스플로잇 하이재킹 기술을 통해 최대 1억 2,000만 달러의 피해 자금을 회수할 수 있음을 입증했습니다.

마지막으로 Shou는 동적인 방어 메커니즘을 구축하기 위해 온체인 분석, 연구 팀 간의 협력, 그리고 컨트랙트의 프로그래밍 방식 수리와 같은 새로운 접근법을 결합하는 것의 중요성을 강조했습니다. 그의 관점에서 과거 공격 데이터와 예측 모델을 활용하는 것은 미래의 손실을 방지하고 블록체인 생태계를 보다 효과적으로 보호하는 데 필수적입니다. ^[9]

Anthropic Claude Code 유출

2026년 3월, Shou는 Anthropic의 AI 코딩 어시스턴트인 Claude Code의 주요 소스 코드 유출을 발견하고 공개했습니다. 3월 31일, 그는 제품의 릴리스 패키징 과정에서의 인적 오류로 인해 도구의 전체 소스 코드가 실수로 대중에 노출되었다고 밝혔습니다. 공개 npm 패키지(버전 2.1.88)에 포함된 JavaScript 소스 맵 파일(.map)에 전체 코드베이스를 다운로드할 수 있는 참조가 포함되어 있었으며, 이는 512,000줄 이상의 TypeScript 코드로 구성되어 있었습니다. Shou가 X(구 트위터)를 통해 밝힌 이 유출 사건은 내부 아키텍처, 미발표 기능 및 내부 모델 코드명을 노출시켰습니다. ^{[10] [11] [12]}