서클(Circle) 크로스체인 프로토콜 취약점 발견, 악용 시 가짜 USDC 발행 가능

웹3 보안 기업 어시메트릭 리서치(Asymmetric Research)가 8월 27일 코스모스(Cosmos) 네트워크상의 USDC 크로스체인 전송 프로토콜(CCTP) 구성 요소인 서클(Circle)의 노블-CCTP(Noble-CCTP)에서 심각한 버그를 발견했다고 밝혔다.

27일(현지시간) 코인텔레그래프에 따르면, 이 취약점을 악용하면 악의적 행위자가 크로스체인 전송 프로토콜의 메시지 발신자 확인 과정을 우회해 노블 브릿지에서 가짜 USDC 토큰을 발행할 수 있었다.

구체적으로 노블-CCTP의 "ReceiveMessage" 핸들러가 원래 체인의 인증된 "TokenMessenger" 주소에서 브리징 메시지가 전송되었는지 먼저 확인하지 않고 모든 발신자로부터 "BurnMessages"를 수락했다. 어시메트릭 리서치는 이 취약점에 대해 자세히 설명했다:

"공격자는 이를 악용해 노블-CCTP 모듈 주소와 노블의 체인 ID를 CCTP 목적지로 사용하여 CCTP MessageTransmitter 계약을 통해 직접 가짜 BurnMessage를 보내 악의적인 USDC 발행을 유발할 수 있었다."

어시메트릭 리서치는 이 문제가 처음에는 무한 발행 결함으로 보였지만, 노블이 약 3,500만 USDC의 발행 한도를 적용했기 때문에 그럴 수 없었다고 설명했다.

이 웹3 보안 기업은 어떤 사용자도 자금을 잃지 않았으며 악의적 행위자가 이 취약점을 성공적으로 활용해 공격을 시작하지 못했다고 언급했다. 글 작성 시점에 서클은 이 소프트웨어 버그를 해결했다.

한편 2024년 5월 앱토스(Aptos) 네트워크의 웜홀(Wormhole) 브릿지에서도 유사한 취약점이 발견됐다. 또 다른 블록체인 보안 기업인 서티크(CertiK)는 이 취약점이 발견되고 해결되지 않았다면 500만 달러 규모의 해킹으로 이어질 수 있었던 약점을 발견했다.

웜홀의 중대한 취약점은 "publish_event" 함수의 문제로 인해 누구나 계약을 호출하고 가짜 토큰을 발행할 수 있었던 것이 원인이었다.

그러나 웜홀이 항상 취약점을 사전에 해결하는 데 성공한 것은 아니다. 2022년 이 브리징 프로토콜은 사용자가 가짜 토큰을 발행할 수 있게 한 대규모 해킹으로 3억2,100만 달러를 잃었다.

한편 이뮨파이(ImmuneFi)가 코인텔레그래프와 공유한 최근 보고서에 따르면, 해킹이나 공격을 당한 암호화폐의 약 80%가 가격 면에서 결코 회복하지 못한다고 한다.

어시메트릭 리서치의 이번 중대한 취약점 발견은 서클의 USDC에 긍정적인 영향을 미칠 것으로 보인다. 만약 악의적 행위자가 이 취약점을 악용했다면 USDC는 그로 인한 결과를 겪었을 수 있다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기