연구원 박도연이 80억 달러 규모의 코스모스(Cosmos) 체인을 마비시킬 수 있는 심각한 코멧BFT 제로데이 취약점을 발견하면서 핵심 암호화폐 인프라의 정보 공개 허점이 부각되었습니다.

코스모스(Cosmos)(Cosmos)의 코멧BFT(CometBFT) 합의 계층에서 심각한 제로데이 취약점이 보안 연구원 박도연에 의해 공개되면서, 핵심 블록체인 인프라의 취약점 공개 관행에 대한 새로운 의문이 제기되고 있습니다. 박 연구원은 CVSS 7.1(높음) 등급의 이 버그가 코스모스(Cosmos) 기반 체인의 노드들이 블록 동기화 단계에서 멈추게 하여, 80억 달러 이상의 온체인 가치를 보호하는 네트워크에 잠재적인 장애를 초래할 수 있다고 밝혔습니다.

연구원이 정보 공개 협상 결렬 후 문제를 더욱 악화시키고 있다.

X에 올린 글에서 박 연구원은 해당 문제가 "직접적인 자산 탈취"를 허용하지는 않지만, 여러 블록체인에 걸쳐 블록 생성을 중단하거나 지연시키는 것은 검증자, 애플리케이션 및 사용자에게 심각한 운영 및 경제적 위험을 초래할 수 있다고 경고했습니다. 그는 또한 표준적인 취약점 공개 채널을 통해 문제를 해결하려는 시도가 벤더의 "협조 부족"으로 인해 무산된 후에야 해당 익스플로잇을 공개하기로 결정했다고 덧붙였습니다.

합의 안정성에 대한 면밀한 검토

CometBFT는 많은 코스모스(Cosmos) SDK 기반 체인의 합의 의 핵심이기 때문에 블록 동기화 과정에서 발생하는 지연은 블록체인 간 통신 표준(IBC) 전송부터 해당 네트워크 위에 구축된 DeFi 프로토콜에 이르기까지 광범위한 생태계에 파급 효과를 미칠 수 있습니다. 당장 자금 손실 위험이 없더라도, 노드 지연이 지속되면 특히 핵심 라우팅 허브 역할을 하거나 달러 표시 스테이블코인을 발행하는 체인에서 거버넌스 위기, 슬래싱 논쟁, 유동성 위기 등이 발생할 수 있습니다.

박씨가 이 사실을 공개하기로 한 결정은 오픈 소스 투명성과 수십억 달러 규모의 자산을 보호하는 시스템의 심각한 버그를 조용히 수정해야 하는 필요성 사이의 긴장감을 부각시킨다.
코스모스(Cosmos) 이해관계자들에게 이번 사건은 보다 공식화된 보안 대응 프로세스와 합의 계층 취약점 공개 시기에 대한 명확한 기대치를 요구하는 목소리를 더욱 높이는 계기가 될 가능성이 높습니다.