
3000 달러 서버 한 대, 700 억 달러 암호화폐 재난 거의 촉발할 뻔해
글쓴이: Oliver Knight
번역: Chopper, Foresight News
3000 달러 가치의 서버 한 대면 블록체인 보안 연구자가 공격 경로를 시뮬레이션하기에 충분하며, 이들은 이 경로가 최대 7000 억 달러 가치의 크립토 인프라를 위험에 빠뜨릴 수 있다고 밝혔습니다.
이번 취약점 사건의 주인공은 Move 언어 기반의 퍼블릭 블록체인 앱토스 (Aptos) 로, Move 는 메타 (Meta) 가 보류한 디엠 (Diem) 스테이블코인 프로젝트에서 유래했습니다.
2 월 하순, 보안 업체 헥센스 (Hexens) 의 연구자들이 앱토스 개발 팀에 앱토스 Move 가상 머신의 고위험 취약점을 보고했습니다. 이 가상 머신은 온체인 스마트 계약 실행을 담당합니다. 취약점의 본질은 캐시 무효화로 인한 유형 혼동 결함입니다. 공격자는 캐시를 조작하여 시스템이 한 종류의 온체인 자원을 다른 종류의 자원으로 인식하도록 속일 수 있습니다.
앱토스 팀은 취약점 보고를 받은 후 전체 네트워크 패치 배포를 완료했으며, 과정에서 사용자 자산 도난 사건은 전혀 발생하지 않았습니다.
앱토스 대변인은 코인데스크 (CoinDesk) 에 "2 월 25 일 버그 바운티 프로그램을 통해 이 잠재적 위험 보고를 받았으며, 당시 내부적으로 동시에 취약점 조사를 진행했습니다. 팀은 취약점 확인 후 수시간 내에 수정, 테스트 및 메인넷 배포를 완료했으며, 과정 중 사용자나 자금에 피해가 없었습니다."라고 응답했습니다. 하지만 공식 측은 동시에 취약점의 실제 악용 가능성에 이의를 제기하며, 내부 분석 결과 이 취약점은 실제 온라인 환경에서 공격을 실행하기 거의 어렵다고 주장했습니다. 그러나 보안 팀이 공개한 취약점 세부 사항는 암호화 업계 전체가 업계 구도를 바꿀 만한 주요 보안 재앙을 겪을 뻔했음을 보여줍니다.
이 취약점이 매우 높은 위험을 갖는 근본적인 이유는 Move 언어의 권한 저장 메커니즘에 있습니다. 주조 권한, 크로스체인 브릿지 관리 권한, 대출 시장 관리자 등 핵심 프로토콜 권한이 모두 직접 온체인 자원 형태로 저장됩니다. 만약 이러한 권한 자원이 공격당하면 위험은 단일 프로토콜에 국한되지 않으며, 해당 권한에 의존하는 모든 애플리케이션이 연쇄적으로 붕괴됩니다.
헥센스 연구자들은 이해하기 쉬운 비유를 제시했습니다. 이 취약점의 위험성은 이더리움 계열 퍼블릭 블록체인에서 고위험 결함이 발생하여 공격자 계약이 유형 안전 메커니즘을 우회하고 다른 스마트 계약의 저장 데이터를 직접 기록, 조작할 수 있는 것과 동일합니다. 유형 안전은 바로 Move 언어 설계 초기의 핵심 보호 장벽입니다.
폴리곤 최고기술책임자 (CTO) Mudit Gupta 는 취약점 검증 데모 패키지를 독립적으로 검증하며 공격 프로세스가 실제로 가능함을 확인했습니다. "공격 논리 전체가 완전히 성립하며, 데모 재현에 성공했고 메인넷 환경에서 공격에 필요한 전제 조건 모두 충족 가능합니다." 보안 기관 그레고 AI(Grego AI) 도 이 취약점을 독립적으로 재현했으며, 그들의 측정 데이터에 따르면 앱토스 메인넷 네이티브 예치 자산 중 약 2.5 억 달러가 직접 위험에 노출되어 있습니다. 이는 더 광범위한 크로스체인 위험을 포함하지 않은 수치입니다.
7000 억 달러의 위험
이 취약점은 헥센스 공동창업자 겸 CTO Vahe Karapetyan 이 발견했습니다. 제때 수정되지 않았다면 취약점은 크로스체인 브릿지, 스테이블코인, 각종 DeFi 프로토콜, 중앙화 거래소 전체 링크 위험 노출을 연결하여 천억 급 자산 손실을 초래하고 전 업계 위기를 초래할 수 있었습니다.
전체 공격 환경 구축에는 3000 달러 서버 하나면 충분하며, 악의적인 해커가 공격을 실행하는 데 심지어 완전한 클러스터 시뮬레이션이 필요하지 않습니다. 비용은 수백 달러에 불과하며 검증 노드 제어, 내부 정보 습득 또는 프로토콜 고급 권한 획득이 필요하지 않습니다.
이 연구 팀은 시뮬레이션 메인넷 환경에서 약 20 라운드의 공격 시뮬레이션을 진행했으며 17 에서 18 회 성공했습니다. 나머지 2 에서 3 회 실패는 네트워크 중단을 초래하지 않으며 공격자는 돌파할 때까지 반복적으로 재시도할 수 있습니다. 시뮬레이션 클러스터는 실제 메인넷 전체 환경을 복제했습니다. 30 여 개의 검증 노드 구축, 실제 스테이킹 분포 복원, 일상 거래 트래픽 및 블록 혼잡 시나리오 복제. 이 팀은 또한 공격 없는 사전 교정 기술을 사용하여 공식 공격 개시 전 메모리 풀, 블록 패킹 운행 상태를 측정하여 공격 무작위성으로 인한 불확실성을 크게 줄이고 실전 성공률을 크게 높였습니다.
헥센스는 공개 온체인 데이터를 기반으로 측정했으며, 앱토스 네이티브 DeFi, 토큰화 자산, 스테이블코인, 유동성 스테이킹 프로토콜의 직접 위험 노출만 수십억 달러에 달합니다.
그러나 퍼블릭 블록체인 기반 취약점의 위험은 결코 단일 퍼블릭 블록체인에 국한되지 않습니다. 크로스체인 브릿지, 크로스체인 통신 프로토콜, 스테이블코인 발행 링크, 중앙화 거래소 등 노출을 종합하면 전체 시스템적 위험 규모는 최대 7000 억 달러로 추정됩니다. 그레고 AI 최고경영자 Justus Hanna 는 공격자가 이 취약점을 활용해 레이어제로 (LayerZero), 웜홀 (Wormhole), 크로스체인 전송 프로토콜 CCTP 등 주요 크로스체인 인프라 핵심 관리 권한을 탈취할 수 있으며 이론적으로 모든 관련 예치 자금을 비울 수 있다고 밝혔습니다.
이번 시뮬레이션 테스트는 퍼블릭 블록체인 기반 숨겨진 취약점이 파괴적인 업계 위험을 초래할 수 있음을 충분히 증명합니다.
만약 해커가 이 취약점을 이용해 실제 공격을 개시한다면 손실 규모는 작년 바이비트 (Bybit) 거래소 15 억 달러 도난 사건을 훨씬 초과할 것입니다. 바로 6 월, 지캐시 (Zcash) 는 프라이버시 풀에 4 년 동안 잠재한 고위험 취약점으로 인해 38% 폭락했습니다. 이 취약점은 공격자가 무한히 위조 토큰을 주조할 수 있게 하며 발견하기 어렵습니다. 이전에도 여러 건의 10 억 급 크로스체인 브릿지, 스마트 계약 도난 사건이 지속적으로 시장이 인프라에 대한 신뢰를 흔들게 했습니다.
7000 억 달러 위험 측정은 공격자가 USDC 를 배치 주조하고 서클 (Circle) CCTP 를 통해 여러 퍼블릭 블록체인으로 크로스체인하는 극단적인 시나리오를 기반으로 합니다. 이론적으로 사건이 발생하면 서클이 높은 확률로 USDC 이체를 중단하겠지만 서클은 이전 사법 승인 없이 사용자 자산을 동결하지 않겠다고 표명했으며 실행 불확실성이 존재합니다. 비록 관련 플랫폼이 긴급 위험 관리 차단을 하더라도 이번 취약점 충격은 전체 암호화 시장을 타격할 것입니다.
연구 팀은 검증 데모를 통해 취약점이 크로스체인 시스템 최상위 관리 권한을 탈취할 수 있음을 증명했습니다. 주조 주제어 권한, 서명 권한, 프로토콜 회계 제어권 포함. 그들은 주제어 권한 인수 프로세스를 완전하게 재현했으며 실제로 토큰을 주조하지는 않았지만 이 위험이 보안 위협 모델에 포함되어야 함을 명확히 증명했습니다. 취약점의 가장 주요 전도 경로는 앱토스와 중앙화 거래소 연결의 크로스체인 채널이며 공격자는 이를 통해 거래소 사용자 충전 기록 데이터를 조작할 수 있습니다.
응답 및 공개
헥센스가 보고서를 제출한 같은 날, 'SEAL911'이라는 긴급 대응 그룹이 설립되어 대응 조치를 조정했습니다. 대응 그룹 설립 수 시간 후 프로젝트 측에 취약점 완전 통보를 받았습니다. 같은 날 오후 4 대 하류 핵심 프로젝트에 동시에 취약점 데모 파일 및 권한 위험 분석을 받았습니다.
2 월 27 일 공식 코드 라이브러리에 수정 제출 기록이 공개되었으며 앱토스는 검증 노드 전용 패치가 공개 코드 배포 전 배포 완료되었다고 밝혔습니다. 동시에, 헥센스는 지금까지 앱토스 측에서 데이터 지원 있는 기술 반박을 받지 않았으며 상대방은 공격이 확률적 문턱이 존재한다고만 제안했다고 밝혔습니다.
비록 자금 도난은 없었지만 시뮬레이션 결과에 따르면 블록체인 수준의 공격에서 트래픽 제한, 카드 발급 기관 동결, 크로스체인 관리, 거래소 모니터링 및 검증기 패치는 부수적인 보안 조치가 아닙니다. 이들은 직접 취약점이 국소적 소사고인지 전 업계 시스템적 붕괴인지 결정합니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News











