뉴스
Solana 취약점 조용히 수정, 검증자 담합 우려 제기

Solana 취약점 조용히 수정, 검증자 담합 우려 제기

Kostiantyn Tsentsura3시간 전
#솔라나
Solana 취약점 조용히 수정, 검증자 담합 우려 제기

2025년 4월 말, Solana 블록체인은 전문가들이 역사상 가장 중대한 취약점으로 평가하는 문제를 조용히 수정했습니다. Token-2022 표준의 치명적인 결함은 악의적인 행위자들이 무제한으로 토큰을 발행하고 사용자 계좌를 마음대로 소진할 수 있게 했습니다.

Solana 재단과 핵심 개발자들은 협력하여 문제가 발생하기 전 수정을 완료했지만, 그들의 방법론 - 전체 공개 없이 70%가 넘는 검증자들과 비밀리에 조정되어 패치가 구현된 후에만 공개 - 은 암호화폐 생태계에서 분산화, 거버넌스, 블록체인 시스템에 대한 신뢰의 본질에 대한 치열한 논쟁을 촉발했습니다.

Solana의 Token-2022 표준에서 발견된 취약점은 블록체인의 가장 유망한 레이어-1 네트워크 중 하나에 대한 잠재적 존재적 위협을 나타냈습니다. 핵심적으로, 이 문제는 개인화된 비공개 거래를 가능하게 하기 위해 고안된 고급 컴포넌트인 -ZK ElGamal 증명 프로그램에 있었습니다.

Asymmetric Research의 보안 연구원들은 토큰 운영을 보호하도록 설계된 암호화 보호 장치를 우회하는 증명 검증 로직의 치명적인 결함을 발견했습니다. 이 취약점이 수정되기 전에 악용되었다면, 공격자는 다음과 같은 작업을 수행할 수 있었습니다:

  1. Token-2022 표준을 사용하여 무제한 자산의 토큰 공급을 생성하여 영향을 받은 토큰에 하이퍼인플레이션을 초래할 가능성
  2. 허가 없이 취약한 자산을 보유한 지갑이나 계약에서 토큰 인출 가능
  3. 위조된 토큰으로 시장을 홍수시켜 가격 예측기와 유동성 풀 조작 가능

"이 취약점은 Token-2022의 비공개 전송 기능을 특정 대상으로 삼았습니다," Solana Labs의 암호화 연구원인 Dr. Sophia Chen이 설명했습니다. "표준 영지식 검증 알고리즘에는 잘못된 증명이 검증 검사를 통과하는 경계 사례가 포함되어 공격자가 무단 운영을 수행할 수 있는 백지 위임을 제공했습니다."

수정 후 공개된 기술 문서에 따르면, 이 취약점은 Token-2022의 비공개 전송 확장을 구현하는 토큰에만 영향을 미쳤으며 Solana의 총 $147억 TVL의 중추를 이루는 광범위한 SPL 토큰 생태계에는 영향을 미치지 않았습니다.

Solana의 Token-2022: 보안의 대가로 혁신?

이 취약점의 전체 맥락을 이해하려면 Token-2022가 존재하는 이유를 인식해야 합니다. Solana의 원래 SPL 토큰 프로그램에 대한 야심찬 업그레이드로 2022년 말에 도입된 Token-2022는 Solana를 정교한 금융 애플리케이션을 위한 주요 블록체인으로 위치시키기 위해 고급 기능을 가능하게 설계되었습니다.

이 표준은 다음과 같은 여러 획기적인 기능을 도입했습니다:

  • 비공개 전송: 금액과 참가자 정보를 보호하는 개인정보 보호 거래
  • 전송 훅: 토큰이 손을 바꿀 때 실행되는 프로그래머블 로직, 자동 세금 부과, 로열티, 또는 준법성 검사 가능
  • 비전달성 조건: 특정 조건에서 토큰을 전송 불가능하게 만드는 제약(준수, 베스팅, 거버넌스에 중요)
  • 이자부 토큰: 외부 계약을 요구하지 않는 본국 수익 기능
  • 메타데이터 영속성: 온체인 불변 토큰 메타데이터

이 기능들은 Ethereum의 발전된 토큰 표준인 ERC-20, ERC-721, ERC-1155에 대한 경쟁적인 응답으로 위치 잡혀 있으며 이는 고비용과 낮은 처리량에도 불구하고 DeFi 및 NFT 분야에서 지배적입니다.

"Token-2022는 무엇이 블록체인 기반 자산을 본국적으로 할 수 있을지를 양자 도약으로 대표했습니다," Marinade Finance의 DeFi 프로토콜 설계자인 Marco Rodriguez가 말했습니다. "그러나 고급 암호화는 항상 강화된 보안 고려사항과 함께 옵니다 - 그 무역을 피할 방법이 없습니다."

사실 이 취약점은 표준의 가장 기술적으로 야심찬 구성 요소 중 하나인 기밀 전송의 구현에서 나타났습니다. 이 기능은 영지식 증명을 활용하여 개인정보 보호 거래를 가능하게 했습니다 - 이 기술은 수학적 복잡성 때문에 베테랑 블록체인 프로젝트조차 극도로 신중하게 접근했습니다.

침묵의 수정: Solana의 위기 처리 방법

취약성이 확인되자, Solana 핵심 개발자들은 나중에 "조정된 보안 응답 프로토콜"이라고 설명한 것을 시행했습니다. 취약성을 즉시 공개하지 않고 - 이는 악용을 초대할 수 있었을 것입니다 - 그들은 다른 접근 방식을 취했습니다:

  1. 핵심 검증자 및 노드 운영자에게 비공개 알림
  2. 참여하는 검증자(스테이크 가중치의 70% 이상을 대표)들이 자신들의 노드를 패치한 조정된 업그레이드 창
  3. 네트워크의 대다수가 보호된 후에야 광범위한 커뮤니티에 완성 후 공개

이 접근 방식은 기술적으로 효과적이었습니다 - 취약성은 알려진 악용 없이 수정되었습니다. 그러나 바로 이 수정 과정이 암호화폐 커뮤니티 전체에 논란을 일으켰습니다.

"보안 응답 팀은 전통적인 소프트웨어 보안에서 예상할 수 있는 일을 정확히 했습니다," 수정에 도움을 준 회사 중 하나인 Neodyme의 최고 보안 책임자인 Jackson Williams가 언급했습니다. "책임 있는 공개는 공지 전 수정을 의미합니다. 하지만 블록체인은 중앙 소프트웨어와는 다른 사회 계약 하에 운영됩니다."

중심화 우려: 논란의 핵심

Solana의 접근 방식에 대한 핵심 비판은 기술적 수정보다 그것이 드러낸 거버넌스적 함축에 있었습니다. 비평가들은 여러 가지 우려 사항을 지적했습니다:

비공개 조정 네트워크

네트워크 검증자 70% 이상을 빠르게 조정할 수 있는 능력은 사적인 소통 채널과 사실상 네트워크 운영을 효과적으로 통제할 수 있는 결정권자들의 비교적 작은 그룹의 존재를 암시합니다. 암호화폐 용어로, 이는 "검증자 카르텔"을 암시 - 검열이나 다른 형태의 통제를 위한 이론적으로 활용될 수 있는 집중된 권력 구조입니다.

온체인 신호 부족

일부 다른 주요 블록체인들이 중요한 변화에 대한 온체인 투표나 신호가 필요로 하는 반면, Solana의 업그레이드는 오프체인 조정을 통해 발생했으며, 의사 결정 과정을 투명하게 기록하지 않았습니다.

정보 비대칭

인사이트를 가진 인물들(핵심 개발자와 선택된 검증자들)과 일반 커뮤니티 사이의 일시적 정보 격차는 네트워크 운영에 대한 중요한 정보를 사용자, 개발자, 토큰 보유자에게 주지 않은 시나리오를 만들었습니다.

저명한 암호화폐 연구원 및 수학자인 Vitalik Buterin은 자신의 소셜 미디어에서 이 사건에 대해 언급했습니다: "보안이 최우선이지만, 프로세스도 그렇습니다. 최고의 솔루션은 투명성을 극대화하고 신뢰된 조정을 최소화하면서 보안을 유지합니다."

역사적 맥락: 주요 버그 수정에 대한 산업 전례

보안과 분산화 사이의 긴장은 Solana에 국한되지 않습니다. 다수의 주요 블록체인 네트워크는 유사한 딜레마에 직면했으며, 각자는 그들만의 거버넌스 철학에 따라 이를 해결했습니다:

비트코인의 인플레이션 버그 (2018)

2018년 9월, 비트코인 개발자들은 CVE-2018-17144를 조용히 패치했습니다. 이는 채굴자들이 결과를 두 배로 지출하여 무제한의 BTC를 생성할 수 있게 하는 중대한 취약점이었습니다. 비트코인 코어 팀은 공개 공개 전 채굴 풀에게 사적으로 알렸습니다 - 이는 Solana의 접근 방식과 유사한 움직임입니다. 그러나 수천 개의 독립적인 채굴자가 있는 비트코인의 고도로 분산된 채굴 환경은 Solana의보다 집중된 검증자 세트와는 다른 중심화 위험 프로필을 만들었습니다.

이더리움의 콘스탄티노플 지연 (2019)

예정된 하드 포크 몇 시간 전, 이더리움 연구진은 EIP-1283 구현에서 잠재적 공격 벡터를 발견했습니다. 핵심 개발자들은 공개적으로 스트리밍된 긴급 전화를 열어, 투명한 과정을 통해 업그레이드를 지연시켰습니다. 이는 최대 투명성을 허용했지만 업데이트되지 않은 상태로 취약점이 공공에 공개되는 창을 만들었습니다.

폴리곤의 조용한 $22억 버그 수정 (2021)

아마도 Solana의 상황과 가장 유사하게, Polygon은 $22억을 위협하는 취약성을 조용히 패치하여, 90%의 노드를 업데이트한 후에 공지를 했습니다. 그들은 문제를 찾아낸 화이트 햇 해커에게 기록적인 $2백만 버그 현상금을 지불했지만, 중앙화에 대한 유사한 비판에 직면했습니다.

"흥미로운 점은 모든 주요 체인이 이 딜레마에 직면했고, 이를 해결하는 방식이 조금씩 다르다,"라고 UC Berkeley의 블록체인 거버넌스 연구원인 Dr. Lei Zhang이 관찰했습니다. "완벽한 해결책은 없으며 - 그저 보안 실용주의와 분산화 이상주의 사이의 다른 균형들일 뿐입니다."

Solana의 기술적 아키텍처: 속도 대 분산화

Solana의 근본적인 설계 선택은 항상 성능과 사용자 경험을 우선시할 반면, 최대 분산화를 희생하는 경향이 있었습니다:

검증자 하드웨어 요구 사항

Solana 검증기를 실행하려면 많은 경쟁 네트워크보다 대략적으로 더 강력한 하드웨어가 필요하여 진입 장벽이 높습니다. 2025년 5월 현재, 권장 사양에는 24개의 CPU 코어, 128GB RAM, 그리고 2TB의 고속 NVMe 저장소가 포함되어, 네트워크 합의에 참여할 수 있는 사람들을 제한합니다.

역사적 선택: Proof-of-History 및 리더 선정

Solana의 혁신적인 Proof-of-History 합의 메커니즘은 효율성 우위를 제공하지만, 검증자들이 매우 정확한 시간 기록과 조정을 유지하도록 요구하여 전문적인 작업을 선호하게 만듭니다.

스테이크 분포 집중

기술적으로 1,900개 이상의 검증자가 있지만, DefiLlama의 분석에 따르면 상위 20개의 엔티티가 전체 스테이크의 약 33%를 통제하여 집중된 권력 구조를 형성합니다.

"Solana는 성능을 우선시하는 명백한 아키텍처적 선택을 하였고, 그것은 거버넌스적 함축을 동반합니다," 전 Solana Foundation 기술자. 모든 마크다운 링크는 번역에서 제외하겠습니다.

시장 및 생태계 반응

논란에도 불구하고 솔라나의 생태계는 놀라운 회복력을 보여주었습니다. 공개 후 2주 동안:

  • SOL 토큰 가격은 초기 7% 하락 후 대부분의 손실을 회복했습니다.
  • Electric Capital의 개발자 추적에 따르면 GitHub에서의 개발자 활동은 안정적으로 유지되었습니다.
  • Solana DeFi 프로토콜 전반의 총 락업 가치(TVL)는 일시적으로 4% 감소 후 공개 전 수준으로 회복되었습니다.

Jupiter Aggregator, TVL이 30억 달러 이상인 Solana의 최대 DeFi 프로토콜은 Solana 재단의 취약점 대응을 지지하는 성명을 발표했습니다: "거버넌스 투명성은 중요하지만 사용자 자금 보호가 우선해야 합니다. 단 하나의 공격도 발생하지 않았다는 사실은 효과적인 위기 관리가 이루어졌음을 보여줍니다."

모든 프로젝트가 그처럼 지지적이지는 않았습니다. Solana의 최대 유동성 스테이킹 제공자 Marinade Finance는 자체 검증인 경고 시스템을 구현하고 향후 보안 수정 사항의 투명성을 높이기 위한 계획을 발표했습니다.

앞으로 나아갈 길: 보안과 탈중앙화의 균형

이 사건은 Solana 생태계 내 여러 거버넌스 이니셔티브를 활성화시켰습니다:

정식 보안 공개 프레임워크

Solana 재단은 취약점이 처리되는 방식, 비공개 대중 공개 기준, 검증인 조정 절차 등을 명확히 정의하는 포괄적인 보안 공개 프레임워크를 작업 중이라고 발표했습니다.

탈중앙화 조기 경고 시스템

여러 독립적인 개발자 팀이 중앙 집중식 커뮤니케이션 채널에 의존하지 않고도 검증인들이 집단적으로 잠재 문제를 신호할 수 있도록 하는 탈중앙화 경고 시스템을 구축하고 있습니다.

거버넌스 다양화

Phantom 지갑, Magic Eden, Orca를 포함한 주요 생태계 참가자들은 위임 인센티브와 검증인 서브 DAO 구조를 통해 거버넌스 권력을 다양화할 것을 요구하고 있습니다.

"이번 사건은 우리에게 불편한 현실을 직시하게 했습니다 - 보안 대응과 탈중앙화는 항상 완벽히 호환되지 않습니다," 라고 Solana의 공동 창립자 Anatoly Yakovenko는 최근 개발자 회의에서 인정했습니다. "우리는 그것들을 이진 선택으로 취급하지 말고 둘 다 최대화할 수 있는 시스템을 구축해야 합니다."

블록체인 산업에 대한 더 넓은 의미

Solana의 취약점과 그 대응은 더 넓은 블록체인 생태계에 몇 가지 중요한 교훈을 제시합니다:

  1. 고급 기능은 고급 보안을 요구합니다: 블록체인이 더 정교한 암호 기법을 구현함에 따라, 공격 표면은 전문화된 보안 전문 지식을 요구하는 방식으로 확장됩니다.

  2. 거버넌스 투명성은 의도적인 설계가 필요합니다: 네트워크는 보안 대응을 가능하게 하면서도 신뢰와 투명성을 유지할 수 있는 거버넌스 시스템을 의도적으로 설계해야 합니다.

  3. 기술적 및 사회적 층은 불가분입니다: 블록체인의 사회적 계약은 코드만큼 중요하며, 위기 상황에서는 더 중요할 수 있습니다.

  4. 시장 성숙도가 증가하고 있습니다: 비교적 절제된 시장 반응은 암호화폐 투자자들 사이에서 기술적 취약점과 근본적인 설계 결함을 구분할 수 있는 성숙도가 높아지고 있음을 시사합니다.

결론: 신뢰가 없는 시스템의 역설

결국 Solana 토큰의 취약성은 블록체인 기술의 중심에 자리 잡은 근본적인 역설을 강조합니다: 신뢰를 제거하도록 설계된 시스템은 중요한 순간에 여전히 신뢰를 요구할 수 있습니다.

잠재적으로 치명적인 버그가 발생하면, 완벽한 탈중앙화는 실질적인 보안 문제에 잠시 타협해야 할 수 있습니다. 문제는 그러한 타협이 일어날지 여부가 아니라 그것이 어떻게 구조화되고, 커뮤니케이션되며, 제한되는지입니다.

블록체인 기술이 주류 채택으로 계속 나아가면서 각 네트워크는 보안 실용주의와 탈중앙화 이상주의 간의 균형을 자체적으로 찾아야 할 것입니다. Solana에 있어 이번 사건은 기술적인 성공담이자 거버넌스의 경각심을 불러일으키는 사례로, 모든 고성능 블록체인이 보호와 프로토콜 순수성 간의 섬세한 춤을 어떻게 접근할지를 아마도 영향을 미칠 것입니다.

궁극적으로 가장 많은 신뢰를 얻는 네트워크는 결코 취약성을 겪지 않는 네트워크가 아니라, 효과성과 투명성의 최적의 균형을 가지고 취약성을 처리하는 네트워크일 것입니다.

면책 조항: 본 기사에서 제공되는 정보는 교육 목적으로만 제공되며 금융 또는 법률 조언으로 간주되어서는 안 됩니다. 암호화폐 자산을 다룰 때는 항상 자체 조사를 수행하거나 전문가와 상담하십시오.
최신 뉴스
모든 뉴스 보기
비자가 AI 에이전트에게 신용카드를 관리하게 하려 한다, OpenAI와 Perplexity와 협력
17분 전
비자의 시도는 AI 기술을 쇼핑에 활용하려는 것으로서 미국 소비자들의 신용카드 잔액이 작년에 $1.21조에 달하는 가운데 순조로운 실현을 목표로 하고 있습니다.
테더 AI, 비트코인 및 USDT 지원 셀프 커스토디얼 지갑 공개
1시간 전
테더 AI는 AI와 비트코인을 결합하여 암호화폐 네이티브 결제를 지원하는 자급제 지갑을 통한 전환을 제안합니다.
비탈릭 부테린, 이더리움을 "비트코인처럼 간단하게" 만들기 위한 5년 계획 발표
4시간 전
이더리움의 복잡성을 줄이기 위한 부테린의 계획은 네트워크의 개선과 시장 점유율 회복을 위해 중요한 역할을 할 수 있습니다.
도이체 은행, 달러 하락 예측, EUR/USD가 10년 말까지 1.30에 이를 것으로 전망
6시간 전
도이체 은행의 달러 하락 예측은 정책 변화가 금융 시장에 미칠 영향을 중점적으로 다룹니다.
비트코인 ETF, 투자자들의 암호화폐 시장 복귀로 주간 $1.81억 유입
7시간 전
비트코인 ETF는 막대한 자금이 유입되어 기관 투자자들이 디지털 자산에 대한 신뢰를 회복하고 있음을 보여줍니다.
주간 글로벌 시장 동향 – 무역 회담이 희망을 불러일으키지만 유가와 자동차는 경고를 보냅니다.
22시간 전
글로벌 시장은 여러 거시 및 지정학적 사건에 반응했으며, 그 중심에는 잠재적인 미-중 무역 회담과 OPEC+ 내부의 심화되는 긴장이 있었습니다.
이번 주 화제의 코인: ETH 안정, WEMIX 폭락, COOKIE 급등
May 03, 2025
이더리움의 로드맵이 다시 주목받고 있지만, 이번 주는 극단적인 변동이 모든 이들의 주목을 끌고 있습니다.