Shielded Labs는 Orchard 취약점이 이전에 악용될 가능성이 매우 낮았다고 판단하며, 따라서 사용자 자산 보안 및 총 토큰 수량은 현재 정상적으로 유지되고 있습니다.
글쓴이: 주코 윌콕스, 제이슨 맥기
작성: 루피, 포사이트 뉴스
최근 Zcash의 Orchard 모듈 에서 보안 취약점이 발견되어 두 가지 주요 우려가 제기되고 있습니다. Zcash 토큰의 총 공급량이 비정상적인 것일까요? 사용자 자산은 안전한 것일까요?
현재 다양한 논의들이 여러 주제와 얽혀 있어, 많은 사람들이 이 취약점이 일반 사용자에게 미치는 실제 영향을 파악하기 어려워하고 있습니다. 본 글에서는 이러한 문제들을 하나씩 살펴보고 그 이면에 숨겨진 의미를 해석해 보겠습니다.
이 과수원 취약점은 네 가지 핵심 질문을 제기합니다.
- 해당 취약점이 해커들에 의해 악용되었습니까?
- 사용자는 Orchard에 저장된 자신의 정당한 자산을 정상적으로 인출할 수 있습니까?
- 사용자는 Zcash 토큰의 총 공급량이 인위적으로 부풀려졌는지 직접 확인할 수 있습니까?
- 프로젝트에 사기로 이어질 수 있는 유사한 취약점이 더 이상 없다는 것을 어떻게 확인할 수 있을까요?
해당 취약점이 이미 악용되었습니까?
아직 확정적인 결론은 내려지지 않았습니다. 전반적으로 해당 취약점이 이전에 악의적으로 악용되었을 가능성은 낮지만, 다음 세 가지 사항을 고려할 때 완전히 배제할 수는 없습니다.
- 수년간 전 세계 수많은 최고 암호화 전문가와 보안 연구원들이 Zcash 코드를 검토해 왔지만, 이 취약점은 발견되지 않았습니다. 이 취약점은 우연이 아닌, Shielded Labs의 Taylor Hornby가 선제적으로 발견했습니다. 그는 AI 기반 보안 탐지 기술과 자체 개발 도구를 활용하여 이러한 숨겨진 결함을 찾아냈습니다. 이러한 유형의 취약점은 특히 Zcash 코드베이스에 익숙하지 않은 전문가에게는 탐지 및 악용이 매우 어렵습니다.
- 취약점이 드러난 후, Zcash 개발팀은 즉시 주요 채굴 풀들과 협력하여 Orchard 펀드 풀을 일시적으로 동결 하고 수정 패치를 배포함으로써 해커들의 공격 가능 시간을 크게 줄였습니다.
- 암호화폐 시장에서 발생하는 대부분의 공격은 단기적인 이익을 노리는 것이며, 해커들은 취약점이 공개되면 즉시 현금화하는 경향이 있습니다. 이 취약점을 악용하려면 해커들은 Orchard 유동성 풀에서 위조된 ZEC를 빼내 다른 자산으로 교환해야 하는데, 이러한 작업은 보통 흔적을 남깁니다. 따라서 이미 취약점이 악용되었다면 관련 증거가 존재할 가능성이 높습니다. 과거 사례를 보면 해커들은 의도적으로 수개월 또는 수년간 숨어 있기보다는 "성공 후 신속하게 사라지는" 경향이 있습니다.
오차드에서 내 합법적인 자산을 되찾을 수 있을까요?
취약점이 악용된 적이 없다면 자산은 정상적으로 복구될 수 있을 것으로 판단됩니다. 이 판단이 맞다면, 사용자가 Orchard에 보유하고 있는 모든 합법적인 자산을 성공적으로 이체할 수 있습니다.
반대로, 해커들이 이미 취약점을 악용하여 가짜 토큰을 생성하고 이를 유동성 풀로 이체한 경우, 기존 이체 채널은 이체 가능한 총량을 제한하며, 최대 이체 한도는 최초에 합법적으로 예치된 토큰의 총량과 동일합니다. 이러한 상황에서는 가짜 토큰이 먼저 이체된 후, 일부 사용자는 정당한 자산을 전액 회수하지 못할 수도 있습니다.
앞서 언급된 극단적인 시나리오가 발생할 확률은 낮다고 생각합니다. 그래도 우려되는 점이 있다면 Orchard 풀에서 자산을 다른 곳으로 이전할 수 있지만, 그 전에 다양한 이전 방법의 잠재적 리스크 이해해야 합니다.
- 공개 주소(t 주소)로 이체하는 경우: 이체 금액과 시간이 완전히 공개되며, 자산이 해당 주소와 공개적으로 연결되어 개인 정보 보호가 완전히 상실됩니다.
- Sapling 프라이버시 풀로 이전: 이전 금액과 시간은 기록되지만, 자산은 특정 주소나 거래 내역에 연결되지 않아 공개 주소보다 높은 수준의 개인 정보 보호를 제공합니다. 단, Sapling은 2018년에 완료된 신뢰 초기화 절차에 의존하므로 본질적으로 추가적인 보안 위험이 존재한다는 점에 유의해야 합니다.
- 지갑: 주요 자체 호스팅 지갑 중에서는 YWallet과 Zkool만이 Sapling 풀을 지원합니다.
- 다른 지갑이나 수탁 플랫폼 또한 운영 오류, 소프트웨어 오작동, 플랫폼 위험 관리 문제 등 다양한 예상치 못한 문제에 직면할 수 있습니다.
요약하자면, 위에 언급된 리스크 모두 관리 가능한 범위 내에 있습니다. "취약점이 악용되었을 가능성이 매우 낮다"는 평가를 고려할 때, 자산을 원래의 개인 정보 보호 지갑에 보관하는 것이 가장 안전한 선택입니다. 운영 보안이 확보된다면 자산을 다른 곳으로 이체하는 것도 가능하며, 각자의 상황에 따라 판단하시면 됩니다.
사용자들이 직접 Zcash의 총 공급량이 증가하지 않았는지 확인할 수 있나요?
현재로서는 이것이 불가능합니다. 이러한 취약점 때문에 일반 사용자는 현재 개인 정보 보호 풀에 있는 토큰의 총량이 증가했는지 여부를 독립적으로 확인할 수 없습니다.
하지만 계획된 아이언우드 네트워크 업그레이드를 통해 이 문제는 다음과 같이 해결될 것입니다.
이번 업그레이드를 통해 오차드 풀이 완전히 폐쇄되어 새로운 자산 이체가 금지되고 풀 내 토큰 유통이 차단됩니다. 모든 자산은 기존 채널을 통해서만 이체될 수 있습니다. 해당 채널을 통해 이체되는 총량은 최초에 합법적으로 예치된 토큰 수와 정확히 동일하므로, 원천적인 과도한 토큰 유출을 방지합니다.
업그레이드 후에는 노드를 운영하는 모든 사용자가 전체 토큰 공급량의 규정 준수 여부를 확인할 수 있습니다. 이전에 위조 토큰이 존재했더라도 더 이상 Orchard 풀에 유통되어 전체 발행량을 부풀릴 수 없습니다. 사용자는 해커나 다른 사용자의 행동을 추측할 필요가 없습니다. 프로토콜 자체가 토큰 과잉 발행을 방지하기 때문입니다.
이는 매우 중요합니다. Zcash의 장기적인 신뢰성은 사용자들이 토큰 총 공급량을 독립적으로 검증할 수 있는 능력에 달려 있습니다. 아이언우드 업그레이드를 통해 사용자들은 이 기능을 다시 사용할 수 있게 될 것입니다.
해당 프로젝트에 다른 토큰 사기 취약점이 없다는 것을 어떻게 확인할 수 있나요?
현재로서는 확정적인 답변을 드릴 수는 없지만, 유사한 취약점은 더 이상 존재하지 않을 것으로 예상됩니다.
쉴디드 랩스는 여러 팀과 협력하여 Zcash 프로토콜의 토큰 위조 관련 취약점을 집중적으로 조사했습니다. 조사 과정에서 쉴디드 랩스는 아직 공식 출시되지 않은 앤스로픽의 Mythos AI 모델을 활용하여 취약점 탐지를 지원했습니다. 이번 조사의 과정과 결과를 자세히 다룬 후속 기사를 곧 게시할 예정입니다.
현재까지 해당 팀은 사기 목적으로 악용될 수 있는 새로운 취약점을 발견하지 못했습니다. 이번 조사에는 최고 수준의 기술 인력, 전문 보안팀, 그리고 첨단 AI 분석 도구가 투입되었으며, 이는 현재 동일한 유형의 고위험 취약점이 공개되지 않았다는 확신을 더욱 강화시켜 줍니다.
동시에, 보안 조치를 더욱 강화하기 위해 타키온 프로젝트와 같은 파트너들과 협력하여 추가 테스트를 진행하고 있습니다. 추후 더 자세한 내용을 알려드리겠습니다.
요약하다
이번 Orchard 취약점은 네 가지 핵심 질문을 제기합니다. 즉, 해당 취약점이 실제로 악용되었는지, 합법적인 자산을 회수할 수 있는지, 토큰의 총량을 검증할 수 있는지, 그리고 다른 사기성 취약점이 존재하는지 여부입니다.
현재 조사 결과에 따르면, 이 취약점이 이전에 악용되었을 가능성은 매우 낮다고 판단됩니다. 따라서 사용자 자산 보안 및 총 토큰 공급량은 정상 수준입니다. 여러 독립적인 팀의 반복적인 테스트를 거친 결과, 현재 프로젝트에 악용될 수 있는 다른 미발견 취약점은 없다는 확신이 더욱 커지고 있습니다.
하지만 한 가지 분명한 문제는 현재 사용자들이 토큰 총 공급량을 독립적으로 검증할 수 없다는 점입니다. 이번 네트워크 업그레이드를 통해 이 문제는 완전히 해결될 예정입니다. 업그레이드 후 오차드 풀은 영구적으로 폐쇄되어 사용자들이 토큰 사기 발생 여부를 확인할 필요 없이 토큰 총 공급량을 독립적으로 검증할 수 있게 됩니다.
