코스모스 개발자들은 IBC 프로토콜의 "치명적인" 보안 버그를 패치했다. 이 버그는 최소 1억 2,600만 달러의 자산을 위험에 빠뜨렸을 수 있었다. 이 취약점은 2021년 ibc-go 출시 이후 존재해 왔으나, 최근 IBC 미들웨어 출시 후에야 악용 가능하게 되었다. 전문가들은 크로스체인 보안 위험에 대한 더 많은 연구가 필요하다고 강조했다.
23일(현지시간) 코인텔레그래프에 따르면, 코스모스 개발자들은 IBC(Inter-Blockchain Communication) 프로토콜의 "치명적인" 보안 버그를 수정했다. 이 버그로 인해 최소 1억 2,600만 달러가 위험에 처해 있었다고 코스모스에 이 문제를 비공개로 알린 블록체인 보안 회사가 밝혔다.
어시메트릭 리서치는 4월 23일 "우리는 코스모스 해커원 버그 바운티 프로그램을 통해 이 취약점을 비공개로 공개했으며 이 문제는 현재 패치되었다"고 말했다.
이어 "악의적인 악용은 발생하지 않았으며 자금 손실도 없었다"고 덧붙였다.
이 버그는 재진입 공격을 허용할 수 있었는데, 이는 오스모시스와 코스모스의 다른 탈중앙화 금융 생태계와 같은 IBC 연결 체인에서 무한한 토큰을 발행할 수 있게 했다.
"우리는 오스모시스에서 최소 1억 2,600만 달러 이상의 자산이 도난당할 수 있었다고 믿는다. 그러나 오스모시스의 속도 제한은 발생할 수 있는 피해를 늦춘다."
속도 제한은 요청 속도를 제어함으로써 시스템을 압도하려는 공격을 방지하거나 최소한 완화하는 역할을 한다.
어시메트릭은 이 버그가 2021년 출시 이후 IBC의 고급 프로그래밍 언어 구현인 ibc-go에 존재해 왔다고 지적했다.
그러나 이 버그는 코스모스 개발자들이 ICS20 인터체인 토큰 표준의 토큰이 체인을 넘나들 수 있게 해주는 IBC 미들웨어라는 새로운 제3자 애플리케이션을 출시한 후에야 비로소 악용 가능하게 되었다.
어시메트릭은 "이 문제는 새로운 기능을 추가함으로써 신뢰 가정을 깨뜨리고 새로운 취약점을 도입하는 것이 얼마나 쉬운지를 보여준다. 이는 또한 심층 방어의 중요성을 보여주는 또 다른 사례"라고 강조했다.
"이 취약점은 멀티체인 생태계를 더 잘 보호하기 위해 크로스체인 보안 위험에 대한 더 많은 연구가 절실히 필요하다는 점을 강조한다."
깃허브 커밋에 따르면 이 버그는 약 3주 전 코스모스 개발자 카를로스 로드리게스에 의해 패치되었다.
2022년 10월에도 IBC 프로토콜에서 또 다른 "치명적인" 보안 취약점이 발견되었는데, 이는 모든 IBC 연결 체인에 영향을 미쳤지만 잠재적인 악용 전에 패치되었다.
뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기