솔라나 파운데이션(Solana Foundation)이 악의적 행위자가 제로지식증명을 위조하여 무단 토큰 발행 또는 출금을 할 수 있는 프라이버시 중심 토큰 시스템의 치명적인 버그를 해결했다.
5일(현지시간) 크립토뉴스에 따르면, 이 결함은 4월 16일 솔라나 개발팀인 안자(Anza)가 작동 개념 증명과 함께 깃허브(GitHub) 권고를 통해 공개됐다. 토요일에 발표된 사후 분석에 따르면 안자, 파이어댄서(Firedancer), 지토(Jito)의 엔지니어들이 즉시 이 문제를 확인하고 해결에 착수했다.
이 취약점의 핵심은 솔라나의 토큰-22 기밀 전송에 사용되는 제로지식증명(ZKP)을 검증하는 ZK 엘가말 증명(ElGamal Proof) 프로그램이었다. 이러한 토큰 확장은 토큰 잔액을 암호화하고 암호화 증명을 사용하여 전송을 검증함으로써 프라이버시 보존 거래를 가능하게 하도록 설계되었다.
제로지식증명을 통해 사용자는 금액이나 수신자 주소와 같은 민감한 정보를 공개하지 않고도 거래의 유효성을 증명할 수 있다. 그러나 이 경우, 대화형 증명을 블록체인 검증에 적합한 비대화형으로 변환하는 일반적인 기술인 피아트-샤미르 변환(Fiat-Shamir transformation)에 사용되는 해싱 프로세스에서 중요한 대수적 구성 요소가 누락되었다.
이러한 감독으로 인해 정교한 공격자가 온체인 검증자에 의해 잘못 수락될 가짜 증명을 작성할 수 있는 잠재적 백도어가 생성되었다. 이러한 취약점을 악용하면 무단 토큰 발행이나 허가 없이 지갑에서 출금이 가능했을 수 있다.
다행히 이 취약점은 표준 SPL 토큰이나 메인 토큰-2022 로직에 영향을 미치지 않았다. 검증자 운영자에게 4월 17일 비공개 패치가 신속하게 배포되었으며, 관련 문제를 해결하기 위해 같은 날 두 번째 패치가 출시되었다. 외부 보안 회사인 어시메트릭 리서치(Asymmetric Research), 네오다임(Neodyme), 오터섹(OtterSec)이 수정 사항을 검토했다.
4월 18일까지 대부분의 검증자가 패치를 구현했다. 솔라나의 사후 분석에 따르면 결함이 악용된 증거는 없으며 모든 사용자 자금은 안전하다.
한편, 솔라나는 2025년 1분기에 이더리움과 BNB 체인과 같은 경쟁업체를 앞지르며 블록체인 네트워크 중 총 매출에서 선두를 차지했다. 이는 사용자 참여 증가와 확장되는 생태계로 인해 고속 블록체인에게 중요한 이정표가 되었다.
네트워크의 매출 증가는 탈중앙화 앱(dApp) 사용 증가, NFT 거래 및 전반적인 온체인 활동 증가로 인해 촉진되었다. 솔라나의 확장 가능한 아키텍처와 낮은 수수료는 계속해서 개발자와 사용자 모두를 끌어들여 대용량 애플리케이션을 위한 선호 플랫폼으로 자리매김하고 있다.
또한 솔라나의 성장은 업그레이드, 전략적 파트너십, 디파이(DeFi), 게임, 모바일 암호화폐 앱과 같은 분야에서의 모멘텀에 의해 더욱 강화되었다. 이러한 발전은 솔라나의 사용자 친화적이고 고성능 블록체인으로서의 평판을 공고히 하며 2025년 나머지 기간에 대한 강력한 전망을 제시한다.