블록체인서울

블록체인서울

뉴스

2026년 7월 4일 토요일 18:00

3,000달러 서버로 700억 달러 규모의 암호화폐를 위험에 빠뜨릴 수 있는 결함을 발견한 윤리적 해커들

코인데스크

3,000달러 서버로 700억 달러 규모의 암호화폐를 위험에 빠뜨릴 수 있는 결함을 발견한 윤리적 해커들
  • 보안 회사 Hexens의 윤리적 해커들이 Aptos 블록체인에서 결함을 발견했으며, 이는 패치되었지만 스테이블코인 및 크로스체인 브리지를 포함하여 최대 700억 달러의 디지털 자산을 시스템적 위험에 빠뜨릴 수 있었습니다.
  • 연구자들은 실제 네트워크 조건에서 90% 이상의 성공률로 공격을 시뮬레이션했으며, 3,000달러에 불과한 잘 갖춰진 서버 설정을 사용하여 검증자 네트워크의 약 1/3을 시뮬레이션했습니다. 이 공격은 내부 접근이나 특별한 권한이 필요하지 않았습니다.
  • 이 취약점은 2월 25일 긴급 보안 채널을 통해 보고되었으며, 며칠 내에 패치가 배포되어 자금 손실을 방지했습니다.

3,000달러의 서버는 블록체인 보안 연구자가 최대 700억 달러의 암호화폐 인프라를 위험에 빠뜨릴 수 있는 공격 경로를 시뮬레이션하기에 충분했습니다.

이 공개의 중심에는 Facebook의 중단된 Diem 프로젝트에서 비롯된 Aptos와 Sui가 사용하는 스마트 계약 언어 Move를 기반으로 구축된 레이어-1 블록체인 Aptos의 결함이 있었습니다.

2월 말, 블록체인 보안 회사 Hexens의 연구자들은 체인에서 스마트 계약을 처리하는 실행 환경인 Aptos Move 가상 머신에서 치명적인 취약점을 프로젝트 개발 팀에 보고했습니다. Hexens는 소프트웨어가 한 종류의 온체인 자원을 다른 것으로 취급하도록 속일 수 있는 상태 혼란 취약점으로 이어지는 "오래된 캐시 버그"를 식별했습니다.

Aptos 팀은 이 취약점이 보고되었을 때 패치를 적용했으며, 자금 손실은 없었습니다.

"Aptos Labs는 2월 25일 버그 바운티 프로그램을 통해 잠재적인 문제에 대해 통보받았으며, 당시 내부적으로 이미 검토 중이었습니다,"라고 Aptos 대변인이 CoinDesk에 말했습니다. "수정 사항은 발견 후 몇 시간 내에 개발, 테스트 및 메인넷에 배포되었습니다. 사용자나 자금은 전혀 영향을 받지 않았습니다."

Aptos 대변인은 또한 CoinDesk에 이 버그의 실제 악용 가능성을 반박했습니다. "우리의 분석에 따르면, 이 버그는 실제 조건에서 매우 낮은 악용 가능성을 가질 것입니다."

그러나 연구자들이 발견한 세부 사항은 생태계가 잠재적으로 산업을 변화시킬 수 있는 사건에 얼마나 가까웠는지를 보여줍니다.

이 클래스의 버그의 민감성은 Move 언어가 권한을 처리하는 방식에 달려 있습니다. Move의 프로토콜 권한, 스테이블코인을 발행할 권리, 브리지를 제어하거나 대출 시장을 관리하는 권한은 종종 온체인 자원으로 직접 저장됩니다. 이러한 자원이 손상되면 피해는 하나의 프로토콜에 그치지 않고, 그것을 신뢰하는 모든 것에까지 확장됩니다.

Hexens의 연구자들은 버그에 대한 실질적인 비유를 제공했습니다: 이는 대략적으로 Ethereum 스타일 체인에서 공격자 제어 코드가 다른 계약에 속한 저장소에 쓰도록 허용하는 버그와 비슷하며, Move가 특별히 유지하도록 설계된 타입 시스템 보장을 우회합니다.

Polygon의 CTO Mudit Gupta는 독립적으로 개념 증명 자료를 검토하고, 이 악용이 타당하다고 말했습니다. "주장한 대로 실행되었고, 악용은 이해가 되었습니다,"라고 그는 CoinDesk에 말했습니다. "몇 가지 조건이 충족되어야 했으며, 메인넷에서 충족된 것 같습니다."

한편, Hexens의 개념 증명을 독립적으로 검증한 Grego AI는 약 2억 5천만 달러의 Aptos 네이티브 TVL이 넓은 크로스체인 노출과 별개로 직접적으로 위험에 처해 있다고 계산했습니다.

700억 달러의 위험

Hexens의 CTO이자 공동 창립자인 Vahe Karapetyan이 발견한 이 취약점은 방치되었을 경우, 브리지, 스테이블코인, DeFi 프로토콜 및 중앙화 거래소 전반에 걸쳐 훨씬 더 큰 시스템적 위험 표면을 노출시킬 수 있었으며, 수십억 달러의 비용을 초래하고 Aptos 자체를 넘어서는 위기를 초래할 수 있었습니다.

그리고 이 모든 것은 몇 천 달러의 서버만으로도 가능했을 것입니다.

이 실험을 실행하는 데 필요한 인프라를 구축하는 총 비용은 Aptos 메인넷 조건을 근사화하도록 설계된 환경을 시뮬레이션하는 서버에 약 3,000달러가 들었습니다. 악의적인 공격자가 실제로 이 악용을 실행하려고 했다면, 검증자 접근, 내부 지식 또는 특권 프로토콜 권한 없이도 훨씬 적은 비용이 들었을 것입니다.

팀은 시뮬레이션 환경에서 약 20번의 악용 경로를 실행했으며, 17번 또는 18번 성공했습니다. 실패한 두세 번의 시도는 네트워크를 중단시키지 않았으며, 공격자는 단순히 다시 시도할 수 있는 또 다른 기회를 가졌을 것입니다.

시뮬레이션은 30개 이상의 검증자 노드, 메인넷 형태의 지분 분포, 유기적 거래 트래픽 및 높은 실행 경합을 사용하여 실제 네트워크 조건을 가깝게 근사화하도록 구축되었습니다. Hexens 팀은 또한 "비무장 보정 기술"이라고 부르는 것을 테스트했습니다: 메인넷 시도 전에 메모리풀 및 블록 구성 조건을 측정한 드라이 런을 수행했습니다. 회사는 이러한 단계가 악용의 확률적 요소로 인해 도입된 불확실성을 실질적으로 줄여 공격 경로를 실제로 더 신뢰할 수 있게 만들었다고 말했습니다.

보고 당시 수집된 공개 데이터를 기반으로, Hexens는 DeFi 프로토콜, 토큰화된 자산, 스테이블코인 인프라 및 유동 스테이킹 시스템을 포함하여 Aptos의 직접적이고 일차적인 프로토콜 노출을 평가했습니다. 이는 낮은 단일 자릿수 수십억 달러에 해당합니다.

그러나 이러한 악용에서는 더 넓은 위험이 더 클 수 있습니다. 블록체인 수준의 타협은 영향을 받은 체인에서 멈추지 않는 경우가 많기 때문입니다.

Hexens는 더 넓은 일차적 시스템적 위험이 약 700억 달러라고 평가했습니다. 이는 브리지, 크로스체인 메시징 시스템, 스테이블코인 관리 흐름 및 중앙화 거래소를 통해 접근할 수 있는 가치를 포함하는 큰 숫자입니다.

Grego AI는 이 악용이 LayerZero, Wormhole 및 USDC의 CCTP가 보유한 프로토콜 기능을 훔치는 데도 사용될 수 있다고 언급했습니다. "악의적인 행위자가 이 버그에 접근할 수 있었다면, 그들은 원하는 모든 TVL을 가져갈 수 있었을 것입니다,"라고 Grego AI의 CEO Justus Hanna가 말했습니다.

이 시뮬레이션은 업계가 블록체인 기술의 숨겨진 버그에 여전히 취약하다는 것을 보여줍니다.

이론적으로, 공격자가 실제로 이 버그를 발견하고 악용했다면, 지난해 Bybit 해킹에서 도난당한 15억 달러를 쉽게 능가할 수 있었을 것입니다. 최근 6월에는 Zcash (ZEC)가 개발자들이 4년 동안 감지되지 않은 주요 버그를 공개한 후 38% 급락했습니다. 이는 공격자가 무제한 위조 토큰을 인쇄할 수 있도록 허용했을 수 있는 버그였습니다. 그 이전에는 9자리 수 브리지 해킹과 프로토콜 악용이 유동성 풀을 고갈시키고 더 넓은 시장을 뒷받침하는 인프라에 대한 신뢰를 흔들었습니다.

700억 달러는 엄청난 양의 USDC 스테이블코인을 발행하고 Circle의 크로스체인 전송 프로토콜 (CCTP)을 사용하여 체인을 가로질러 이동하는 것을 기반으로 한 추정치라는 점에 주목할 필요가 있습니다. 만약 악의적인 공격자가 이를 수행했다면, 그리고 숫자가 얼마나 큰지를 고려할 때, Circle과 같은 회사가 USDC 전송을 중단할 가능성도 있지만, 최근 스테이블코인 발행자가 법적 승인 없이 자산을 동결하지 않는다고 밝히면서 비판을 받았습니다. 따라서 이론적으로 모든 사람이 개입한다면, 전체 700억 달러 수치는 달성되지 않을 가능성이 높지만, 그럼에도 불구하고 업계를 뒤흔들었을 것입니다.

이 개념 증명 테스트가 보여준 것은 크로스체인 시스템의 상위에 위치한 권한에 대한 접근이었습니다: 브리지 기능, 서명자 기능, 마스터 민터 역할 및 프로토콜 회계 상태. 연구자들은 마스터 민터 스타일 역할의 인수를 검증하고 합법적인 관리 경로를 사용하여 토큰을 실제로 발행하지 않고도 왜 그러한 역할이 위협 모델에 포함되어야 하는지를 보여주었습니다. 더 넓은 표면으로의 주요 벡터는 중앙화 거래소, 특히 온체인 활동을 거래소 입금 신용으로 연결하는 Aptos 브리지 경로를 통해 실행됩니다.

응답 및 공개

Hexens가 보고서를 제출한 같은 날, 대응을 조정하기 위해 "SEAL911" 긴급 전쟁실이 열렸습니다. SEAL911은 암호화폐 생태계 전반에 걸쳐 주요 응급 대응 계층이 된 자원봉사 보안 그룹입니다.

공급업체는 전쟁실이 열린 지 몇 시간 후에 통보받았으며, 그날 오후 네 개의 주요 하위 프로젝트가 경고를 받았으며, 각각 로컬에서 실행 가능한 개념 증명 자료 및 관련 권한 패턴 분석을 받았습니다.

패치를 반영한 공개 풀 요청은 2월 27일에 제공되었습니다. Aptos는 공개 커밋 전에 개인 검증자 패치가 배포되었다고 밝혔습니다.

한편, Hexens는 시연된 영향 클래스에 대해 반박하거나 증거 기반의 논쟁을 받지 않았다고 말합니다. 회사는 연구자들에게 전달된 주요 우려가 악용의 확률적 측면과 관련이 있었으며, 이는 팀의 보정 작업이 해결하도록 설계된 것이라고 주장합니다.

자금이 도난당하지는 않았지만, 시뮬레이션은 블록체인 수준의 타협에서, 속도 제한, 발행자 동결, 브리지 제어, 거래소 모니터링 및 검증자 패치가 2차 보호 장치가 아니라는 것을 보여주었습니다. 이는 제한된 버그와 시장 전반의 악용 사이의 경계가 될 수 있습니다.

Copyrights ⓒ BLOCKCHAINSEOUL. 무단 전재 및 재배포 금지

목록