Sprout 풀에서 25,000 ZEC를 인출할 수 있도록 허용할 수 있었던 zcashd 노드의 심각한 취약점이 긴급 패치 v6.12.0을 통해 수정되었습니다.
Zcash 네트워크 노드 소프트웨어에서 심각한 보안 취약점이 발견되어 악용되기 전에 성공적으로 수정되었습니다.
3월 25일에 발표된 보고서 에 따르면, 보안 연구원 알렉스 "스칼라" 솔은 3월 23일에 zcashd 노드가 스프라우트 풀과 관련된 거래에 대해 지분 증명(Proof-of-Stake) 검증을 건너뛰는 취약점을 발견했습니다. 스프라우트 풀은 2020년 11월에 신규 예치금 접수를 중단했지만, 약 25,424 ZEC(보고서 발표 당시 약 650만 달러에 해당)가 아직 새 버전으로 이전되지 않은 채 활성화되어 있는 네트워크의 오래된 구성 요소입니다.
신속 대응 체계는 사용자 자산을 보호합니다.
Sol이 Shielded Labs에 문제를 보고한 직후, 해당 조직은 Zcash Open Development Lab(ZODL)과 긴급히 협력했으며, ZODL의 엔지니어 Jack “str4d” Grigg가 패치 제작에 직접 참여했습니다.
버전 6.12.0이 화요일에 출시되었고, 주요 마이닝 풀들은 신속하게 대응했습니다. Luxor는 3월 25일에 배포를 확인했으며, F2Pool, ViaBTC, AntPool은 3월 26일에 업데이트를 완료했습니다. 이 취약점은 2020년 7월부터 현재까지 출시된 모든 버전에 영향을 미치므로, 거의 5년 동안 발견되지 않았습니다.
특히 채굴 시나리오에서도 내부 안전장치 덕분에 손실은 제한적입니다. Zcash의 "턴스틸(turnstile)" 메커니즘은 스프라우트 풀에서 나가는 모든 코인이 이전에 포함되었다는 증명을 요구하여, 공급량 증가가 네트워크의 총 공급량인 약 1,663만 ZEC를 초과하는 것을 방지합니다.
동시에, 취약점의 영향을 받지 않는 Zebra 노드를 배포하면 공격 발생 시 체인 분할이 트리거되어 추가적인 독립 방어 계층을 제공합니다. 이러한 다층 보호 설계는 보안 커뮤니티에서 매우 중요하게 여겨지며, 특히 취약점이 공식적인 사용은 중단되었지만 시스템에서 완전히 제거되지는 않은 구성 요소에 있는 경우 더욱 그렇습니다.
특히 솔은 인공지능(AI)을 활용하여 취약점을 발견했는데, 이는 암호화폐 분야에서 점점 더 인기를 얻고 있는 보안 연구 방법입니다. 그의 공헌을 인정받아 솔은 Shielded Labs, ZODL, Zcash Foundation, Bootstrap 등 네 기관으로부터 총 200 ZEC(미화 5만 1천 달러 이상)의 보상을 받았습니다.
Zcash가 심각한 취약점에 직면한 것은 이번이 처음이 아닙니다. 2019년에는 무제한으로 가짜 암호화폐 자산을 생성할 수 있는 버그가 발견되었지만, 다행히 적시에 수정되었습니다. 시장은 이 소식에 긍정적으로 반응하여 ZEC 가격이 24시간 만에 14% 이상 급등하며 255달러를 넘어섰습니다.
