ZK 프로젝트 보안 감사, 치명적 취약점 발견 가능성 2배 높아

김민준 기자

2024.07.23 (화) 17:43

ZK 프로젝트 보안 감사, 치명적 취약점 발견 가능성 2배 높아 / 셔터스톡

블록체인 보안 업체 베리다이스(Veridise)의 보고서에 따르면, 영 지식(ZK) 프로젝트 감사는 다른 감사 유형보다 치명적인 취약점을 발견할 가능성이 두 배 높다. 이는 ZK 프로토콜의 복잡성과 혁신적인 특성 때문이며, 블록체인 트랜잭션에서 프라이버시와 확장성을 향상시키는 데 기여하고 있다.

22일(현지시간) 더 블록에 따르면, 베리다이스는 최근 100번의 감사를 통해 총 1,605개의 취약점을 발견했으며, 한 감사당 평균 16개의 문제가 발견되었고, ZK 감사에서는 평균 18개의 문제가 발견되었다. 그러나 치명적인 취약점에 초점을 맞췄을 때, 베리다이스는 ZK 감사의 55%(20건 중 11건)에서 치명적인 문제가 발견된 반면, 다른 감사의 27.5%(80건 중 22건)에서만 치명적인 문제가 발견되었다.

ZK 프로토콜은 블록체인 트랜잭션에서 프라이버시와 확장성을 향상시키는 잠재력 덕분에 암호화폐 공간에서 주목받고 있다. ZK 기술은 한 당사자가 다른 당사자에게 진술이 사실임을 증명하면서도 진술의 유효성 외에는 아무런 정보도 공개하지 않는 것을 가능하게 한다.

그러나 베리다이스에 따르면, ZK 보안은 "단순히 더 어려운" 문제이다. 복잡한 암호화 구성과 기존 암호화 기술의 한계를 넘어서는 혁신적인 특성 때문에 더 많은 치명적인 취약점이 발견되고 있다.

베리다이스의 CEO이자 공동 창업자인 존 스티븐스(Jon Stephens)는 "ZK 회로를 개발하려면 증인 생성기에서 작업의 의미를 정확하게 이해해야 한다"고 말했다. "이러한 의미가 제약 조건에 올바르게 인코딩되지 않으면 버그가 발생한다. 이는 일반적인 프로그래밍 패러다임과는 매우 다르기 때문에 회로에서 더 많은 버그가 발생하는 것이 이해된다."

가장 흔한 디파이 취약점

베리다이스 감사를 통해 발견된 가장 흔한 취약점은 논리 오류(385개), 유지 관리 문제(355개) 및 데이터 검증 문제(304개)로, 전체 문제의 65%를 차지한다. 이러한 세 가지 문제는 360개의 ZK 감사 관련 취약점에서도 지배적이었다.

유지 관리 문제는 엄밀히 말하면 보안 취약점은 아니지만, 예를 들어, 잘못된 코딩 관행 등이 "치명적인 버그로 변하기 일보 직전"일 수 있다고 팀은 말했다.

발견된 223개의 심각한(치명적 또는 높은 수준) 문제 유형 중 논리 오류(91개)와 데이터 검증 문제(35개)가 주를 이루었으며, "제약이 불충분한 회로(underconstrained circuit)"(19개), 서비스 거부(16개) 및 접근 제어(13개) 취약점 등이 뒤를 이었다. 모든 감사에서 고심각성 문제의 약 78%가 이 다섯 가지 유형에 속하며, 이는 발견된 174개의 취약점을 차지한다.

ZK 감사 특정 취약점

대부분의 취약점 유형에서 심각한 문제는 약 10%에서 30%를 차지하지만, 베리다이스에 따르면 "제약이 불충분한 회로"는 치명적이거나 높은 수준의 문제를 포함할 가능성이 90%였다.

베리다이스는 "제약이 불충분한 회로는 영 지식 관련 감사에서 전형적인 문제이다. 산술 회로의 제약 조건이 어떤 계산이 올바르게 수행되었는지 확인하기 위해 모든 필요한 조건을 충분히 강제하지 않을 때 발생한다"고 설명했다. "이는 전통적인 스마트 계약에서는 발생하지 않는다."

이로 인해 악의적인 당사자가 검증자를 속여 거짓 진술을 진실로 받아들이게 할 수 있으며, 이는 프로토콜의 무결성을 심각하게 훼손할 수 있다.

베리다이스의 감사에서는 영 지식 기술이 L2 ZK 롤업, ZK-VM 및 서컴(circom) 라이브러리와 같은 중요한 인프라 프로토콜에서 자주 사용되며, 베리다이스는 이전에 "백만 달러" 상당의 ZK 버그를 발견한 바 있다. 이러한 프로토콜의 보안은 이들 위에 구축된 모든 탈중앙화 애플리케이션에 영향을 미치기 때문에 매우 중요하다.

기타 문제 유형을 분류해보면, 논리 오류는 코드가 논리 흐름에서 실수로 인해 의도한 기능을 수행하지 못할 때 발생하며, 전형적인 예로 사용자가 자신의 잔액을 초과하여 자금을 인출할 수 있도록 허용하는 스마트 계약이 있다.

데이터 검증 문제는 데이터가 처리되기 전에 그 정확성, 무결성 및 진위성을 적절히 검증하지 못하는 것과 관련이 있다.

서비스 거부 문제는 프로토콜의 정상적인 기능을 방해하려는 공격을 포함한다. 예를 들어, 스마트 계약이 공격자가 사용 가능한 모든 가스를 소비할 수 있도록 잘못 설계될 수 있다고 베리다이스는 말했다.

마지막으로, 접근 제어 문제는 권한이 없는 사용자가 제한된 영역이나 기능에 접근할 수 있는 문제이다.

베리다이스는 2018년 이후 다양한 블록체인 및 디파이 플랫폼에서 100억 달러 이상의 해킹 피해가 발생했다고 주장하며, 웹3 프로젝트가 가장 심각한 버그에 주의를 기울이고 이를 사전에 예방할 수 있도록 하기 위해 취약점 유형에 대한 가시성을 높일 필요가 있다고 강조했다.

베리다이스의 웹사이트에 따르면, 만타 네트워크(Manta Network), 스크롤(Scroll) 및 앵커(Ankr) 등이 이 회사의 감사 클라이언트이다.