솔라나(Solana) 네트워크 검증자들이 아슬아슬하게 대재앙을 피했으며, 공격자들이 특정 토큰을 무제한으로 민트하거나 모든 계정에서 인출할 수 있었던 버그를 제거하는 패치를 배포했습니다.
이 취약점은 토큰-22 기밀 토큰에만 영향을 미쳤으며, ZK 엘가말 증명 프로그램에서 발견되었고, 이는 암호화된 잔액을 인증하고 영지식 증명의 정확성을 검증합니다.
"온체인 ZK 엘가말 증명 프로그램에서 일부 대수 구성 요소가 피아트-샤미르 변환을 위한 트랜스크립트를 생성하는 데 사용된 해시에 포함되지 않았습니다," 솔라나 재단의 사후 보고서에 나와 있습니다. "정교한 공격자는 이러한 해시되지 않은 구성 요소를 사용하여 검증을 통과하는 승인되지 않은 작업의 위조된 증명을 개발할 수 있었습니다."
다시 말해, 공격자는 위조된 증명을 사용하여 토큰-22 기밀 토큰을 무제한으로 민트하거나 계정에서 인출할 수 있었습니다.
이 잠재적 취약점은 4월 16일 안자 깃허브 보안 자문에 처음 보고되었으며, 다음 날 안자, 파이어댄서, 지토의 엔지니어들이 취약점을 평가하고 확인한 후 검증자들에게 직접 패치가 배포되었습니다.
안자는 이전 솔라나 랩스 직원들로 구성된 솔라나 개발사이며, 지토는 생태계의 유명한 인프라 기업입니다. 파이어댄서는 점프 크립토에서 개발 중인 솔라나 검증자 클라이언트입니다.
비대칭 리서치, 네오다임, 오터섹 등의 보안 기업들도 지원과 패치 검토를 위해 참여했습니다.
4월 18일 오후까지 검증자 운영자의 절대 다수가 수정을 채택했으며, 이는 코드베이스의 다른 부분에 있는 유사한 문제를 해결하기 위한 두 번째 패치를 포함했습니다. 패치가 적용되어 자금이 위험에 처하지 않았으며 알려진 취약점 악용 사례는 없습니다.
패치가 신속하게 해결되고 악용된 자금이 없음에도 불구하고, 솔라나 재단은 소셜 미디어에서 일부 비판을 받았습니다. 일부 사용자들은 재단이 공개적으로 사후 보고서를 발표하기 두 주 전에 이루어진 비공개 업그레이드를 지적했습니다.
"제가 제대로 들은 건가요? 솔라나 메인넷에 제로데이 취약점이 있었고 70% 이상의 검증자들이 공개되기도 전에 비공개로 업그레이드하고 중요한 버그를 패치했다고요?" 한 익명의 이더리움 생태계 개발자가 X에 게시했습니다.
이 게시물은 저명한 솔라나 개발자들과 솔라나 공동 창립자 아나톨리 야코벤코의 반박을 불러일으켰습니다. 오랜 이더리움 개발자 허드슨 제이미슨도 이 접근 방식이 일반적이고 필요하다고 말했습니다.
"이는 완전히 괜찮습니다," 제이미슨이 X에서 말했습니다. "비트코인, 지캐시, 이더리움 모두 핵심 개발자들이 비공개로 버그 수정을 계획해야 했던 사례가 있습니다. 좋은 체인 문화란 성숙한 개발자들이 은밀한 수정을 수행할 수 있는 것을 의미합니다."
"저는 공개 배포 전에 검증자들에게 이 패치를 배포하는 과정에 참여했습니다," 솔라나 재단의 검증자 관계 책임자 팀 가르시아가 말했습니다. "더 나은 프로세스에 대한 제안을 기쁘게 들을 준비가 되어 있습니다. 불행하게도 충분한 채택 이전에 공개적으로 배포하는 것은 불가능합니다."
이는 솔라나가 중앙화 비판을 받은 첫 번째가 아닙니다. 특히 지난 10월, 유명한 내부고발자 에드워드 스노든이 레이어-1 블록체인의 중앙화를 지적했습니다. 솔라나 생태계 리더들은 반박했으며, 야코벤코는 "평소와 같이 솔라나는 객관적으로 측정 가능한 지표에서만 분산되어 있고, 다른 모든 지표에서는 중앙화되어 있습니다"라고 말했습니다.
솔라나는 현재 웹사이트에 따르면 1,279개의 검증자를 자랑합니다.
앤드류 헤이워드가 편집했습니다
