블록체인 보안 기업 써틱(CertiK)이 앱토스 네트워크의 웜홀 브리지에서 주요 보안 결함을 발견하고 조치를 취하여 잠재적으로 5백만 달러의 유출을 막았습니다.
이 취약점으로 공격자가 가짜 토큰 전송을 생성할 수 있었지만 CertiK의 신속한 조치로 사용자의 자금을 안전하게 보호할 수 있었습니다.
5백만 달러 규모의 보안 결함 발견
CertiK는 앱토스의 웜홀 브리지에서 결함을 발견하고 이를 웜홀 팀에 보고했습니다. 이 문제는 MOVE 프로그래밍 언어의 ‘public(friend)’ 및 ‘entry’ 수정자를 잘못 구현한 데서 비롯되었습니다.
‘public(friend)’ 수정자는 같은 모듈 내의 다른 사람이나 지정된 외부 계정에서 함수를 호출할 수 있게 해줍니다. 반대로 ‘entry’ 수정자는 모든 외부 계정이 함수를 호출할 수 있도록 허용합니다.
브리지에는 토큰 전송과 같은 이벤트를 알리기 위한 ‘publish_event’라는 함수가 있었습니다. 이 함수는 같은 모듈 내의 다른 함수나 특정 외부 엔티티에서만 호출할 수 있어야 했습니다. 그러나 이 함수는 ‘public(friend)’와 ‘entry’ 모두에 의해 수정되어 승인되지 않았더라도 누구나 ‘publish_event’를 호출할 수 있게 되었습니다.
이 결함으로 인해 공격자는 실제 토큰을 이동하지 않고 한 계정에서 다른 계정으로 토큰을 이동하는 것처럼 보이는 가짜 트랜잭션을 생성할 수 있었습니다. 이러한 가짜 이벤트로 인해 이더리움 버전의 브릿지가 앱토스 측의 실제 예치금 없이 토큰을 발행하거나 언락하여 최대 5백만 달러가 유출될 수 있었습니다.
CertiK의 신속한 조치
2023년 12월 5일, 결함을 발견한 CertiK는 즉시 웜홀 팀에 알렸습니다. 팀은 보안 허점을 막기 위한 패치를 개발하고 테스트했습니다. 그리고 프로토콜의 가디언들에게 이 사실을 알렸고, 가디언들은 다중 서명 투표를 통해 패치를 승인했습니다. 그 후 프로토콜의 앱토스 계약이 업그레이드되어 브리지가 보호되었습니다. 이 과정은 약 3시간이 소요되었습니다.
자세히 읽어보세요: 암호화폐 사기 프로젝트: 가짜 토큰을 식별하는 방법
새로운 패치는 게시 이벤트 함수에서 ‘entry’ 키워드를 제거하는 것 외에도 앱토스의 ‘거버너 비율 한도’를 5백만 달러에서 백만 달러로 제한했습니다. 이러한 전략적 조치는 향후 익스플로잇으로 인한 잠재적 손실을 제한하기 위한 것입니다. CertiK는 현재 사용량이 일일 100만 달러 미만이기 때문에 요금 제한이 대부분의 사용자에게 영향을 미치지 않을 것이라고 언급했습니다.
“이 사례 연구는 사전 예방적 보안 관행의 중요한 역할을 강조할 뿐만 아니라 웹 3.0 세계의 보안 및 투명성 표준을 높이는 데 있어 오픈 소스 소프트웨어의 힘을 보여줍니다.”라고 CertiK는 덧붙였습니다.
웜홀은 또한 이 문제가 사용자 자금에 영향을 미쳤는지 확인하기 위해 회고 분석을 실시했습니다. 연구 결과, 불법적으로 송금된 자금은 없었으며 사용자 잔액은 안전하게 유지되고 있음을 확인했습니다.
웜홀이 보안 문제에 직면한 것은 이번이 처음이 아닙니다. 2022년에는 솔라나 브리지 부분의 버그로 인해 공격자가 지원되지 않는 토큰을 발행할 수 있게 되면서 3억 2,100만 달러 이상의 손실을 입었습니다. 이러한 어려움에도 불구하고 웜홀은 보안 관행을 개선하여 총예치량 10억 달러를 되찾았습니다.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.