뉴스
코인정보
라운지
커뮤니티
TPI 
매체소개
고객센터
0
솔라나 재단이 토큰 위·변조를 가능케 했던 중대한 보안 결함을 해결했다고 밝혔다. 이번 결함은 제로데이 취약점으로, 공격자가 사용자 계정에서 토큰을 부정 발행하거나 무단 출금할 수 있는 가능성을 지녔던 것으로 드러났다.
솔라나 재단은 3일(현지시간) 공개한 보고서에서 해당 취약점이 지난 4월 16일 처음 발견됐으며, 문제가 된 대상은 프라이버시 기능을 갖춘 토큰-22(Token-22) 확장 토큰이었다고 설명했다. 토큰-22는 제로지식증명(ZKP)을 활용해 거래 내역을 익명 처리하면서도 보안성을 유지하는 방식이다.
결함은 토큰-2022(Token-2022)와 ZK 엘가말 증명 프로그램의 연동 구조에서 비롯됐다. 특히 Fiat-Shamir 변환 과정에서 암호 해시 함수 내 일부 수학적 요소 누락이 원인이 되었으며, 이 오류를 악용할 경우 부정 증명이 정상적으로 검증되는 방식으로 위조 토큰을 발행할 수 있었던 상황이었다.
솔라나 재단은 심각성을 고려해 두 차례에 걸쳐 긴급 패치를 배포했으며, 약 이틀 만에 네트워크 내 슈퍼 다수의 검증 노드가 이를 적용해 체인 전체 보안성 회복에 성공했다고 전했다. 이번 패치 작업에는 안자(Anza), 파이어댄서(Firedancer), 지토(Jito)가 주도적으로 참여했고, 비대칭 리서치(Asymmetric Research), 니오다임(Neodyme), 오터섹(OtterSec) 등 보안 연구 팀도 기술 지원에 나섰다.
재단은 "기존에 이 결함을 이용한 악의적 행위는 확인되지 않았으며, 모든 사용자 자산은 안전하다"고 강조했다. 다만 취약점 대응 과정에서 검증인들과 비공개 소통이 진행된 점을 두고 일각에서는 중앙화 문제가 다시 제기되고 있다. 커브 파이낸스(Curve Finance)의 한 기여자는 "재단과 벨리데이터가 상호 연락망을 공유하며 네트워크 전반을 조율하는 구조는 거래 검열이나 블록 롤백 시도와 같은 중앙 집중형 조작 가능성을 우려하게 만든다"고 지적했다.
이에 대해 솔라나랩스의 아나톨리 야코벤코(Anatoly Yakovenko)는 직접적인 부인은 하지 않았지만, 이더리움 같은 다른 블록체인에서도 유사한 위기가 발생할 경우 커뮤니티 차원에서 유사한 방식의 협력이 이뤄질 수 있다고 언급했다.
이번 사례는 암호화폐 생태계에서 보안성과 탈중앙성 간 균형이 여전히 과제로 남아 있음을 여실히 보여준다. 동시에, 민감한 취약점에 대한 대응 속도와 글로벌 참여자들의 조기 협력이 네트워크 전체 안정성 유지에 얼마나 결정적인 요소인지를 다시금 확인하게 만든 조치였다.
