맨위로 가기
  • 공유 공유
  • 댓글 댓글
  • 추천 추천
  • 스크랩 스크랩
  • 인쇄 인쇄
  • 글자크기 글자크기
링크가 복사되었습니다.

서클(Circle) 크로스체인 프로토콜 취약점 발견, 악용 시 가짜 USDC 발행 가능

작성자 이미지
김민준 기자

2024.08.28 (수) 15:59

대화 이미지 4
하트 이미지 4

웹3 보안 기업 어시메트릭 리서치(Asymmetric Research)가 8월 27일 코스모스(Cosmos) 네트워크상의 USDC 크로스체인 전송 프로토콜(CCTP) 구성 요소인 서클(Circle)의 노블-CCTP(Noble-CCTP)에서 심각한 버그를 발견했다고 밝혔다.

27일(현지시간) 코인텔레그래프에 따르면, 이 취약점을 악용하면 악의적 행위자가 크로스체인 전송 프로토콜의 메시지 발신자 확인 과정을 우회해 노블 브릿지에서 가짜 USDC 토큰을 발행할 수 있었다.

구체적으로 노블-CCTP의 "ReceiveMessage" 핸들러가 원래 체인의 인증된 "TokenMessenger" 주소에서 브리징 메시지가 전송되었는지 먼저 확인하지 않고 모든 발신자로부터 "BurnMessages"를 수락했다. 어시메트릭 리서치는 이 취약점에 대해 자세히 설명했다:

"공격자는 이를 악용해 노블-CCTP 모듈 주소와 노블의 체인 ID를 CCTP 목적지로 사용하여 CCTP MessageTransmitter 계약을 통해 직접 가짜 BurnMessage를 보내 악의적인 USDC 발행을 유발할 수 있었다."

어시메트릭 리서치는 이 문제가 처음에는 무한 발행 결함으로 보였지만, 노블이 약 3,500만 USDC의 발행 한도를 적용했기 때문에 그럴 수 없었다고 설명했다.

이 웹3 보안 기업은 어떤 사용자도 자금을 잃지 않았으며 악의적 행위자가 이 취약점을 성공적으로 활용해 공격을 시작하지 못했다고 언급했다. 글 작성 시점에 서클은 이 소프트웨어 버그를 해결했다.

한편 2024년 5월 앱토스(Aptos) 네트워크의 웜홀(Wormhole) 브릿지에서도 유사한 취약점이 발견됐다. 또 다른 블록체인 보안 기업인 서티크(CertiK)는 이 취약점이 발견되고 해결되지 않았다면 500만 달러 규모의 해킹으로 이어질 수 있었던 약점을 발견했다.

웜홀의 중대한 취약점은 "publish_event" 함수의 문제로 인해 누구나 계약을 호출하고 가짜 토큰을 발행할 수 있었던 것이 원인이었다.

그러나 웜홀이 항상 취약점을 사전에 해결하는 데 성공한 것은 아니다. 2022년 이 브리징 프로토콜은 사용자가 가짜 토큰을 발행할 수 있게 한 대규모 해킹으로 3억2,100만 달러를 잃었다.

한편 이뮨파이(ImmuneFi)가 코인텔레그래프와 공유한 최근 보고서에 따르면, 해킹이나 공격을 당한 암호화폐의 약 80%가 가격 면에서 결코 회복하지 못한다고 한다.

어시메트릭 리서치의 이번 중대한 취약점 발견은 서클의 USDC에 긍정적인 영향을 미칠 것으로 보인다. 만약 악의적 행위자가 이 취약점을 악용했다면 USDC는 그로 인한 결과를 겪었을 수 있다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기

<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>

많이 본 기사

관련된 다른 기사

댓글

4

추천

4

스크랩

스크랩

데일리 스탬프

0

매일 스탬프를 찍을 수 있어요!

데일리 스탬프를 찍은 회원이 없습니다.
첫 스탬프를 찍어 보세요!

댓글 4

댓글 문구 추천

좋은기사 감사해요 후속기사 원해요 탁월한 분석이에요

0/1000

댓글 문구 추천

좋은기사 감사해요 후속기사 원해요 탁월한 분석이에요

가즈아리가또

2024.11.23 12:17:40

좋은기사 감사해요

답글달기

0

0
0

이전 답글 더보기

FADO

2024.09.14 00:07:36

좋은정보 감사합니다

답글달기

0

0
0

이전 답글 더보기

FADO

2024.09.14 00:07:28

좋은정보 감사합니다

답글달기

0

0
0

이전 답글 더보기

낙뢰도

2024.08.28 18:05:27

감사합니다

답글달기

0

0
0

이전 답글 더보기

1