빠르게 움직이는 블록체인 개발 세계, 특히 밈 토큰이 급증하는 Solana에서는 보안 경계가 무엇보다 중요합니다. 최근 솔라나 커뮤니티에서는 개발자들을 속여 무단 코드를 사용하게 만들 수 있는 가짜 NPM 패키지에 대한 경고가 떠올랐습니다. 이 사건은 Triton One의 백엔드 개발자 Wilfred Almeida의 스레드를 바탕으로 정리해 보면 다음과 같습니다.

경고는 Solana 분야의 기업가 Brian Long이 Triton과 관련이 없는 몇몇 NPM 패키지를 지적하면서 시작되었습니다. 그는 세 가지 주요 문제를 언급했습니다: 코드가 닫혀 있어 검토가 불가능하다; AGPL-3.0 라이선스 위반이 있다; 그리고 "yellowstone-grpc"라는 이름이 공식 패키지로 오인되기 쉽다는 점입니다. Long은 해당 패키지의 저자에게 즉시 패키지를 제거할 것을 요구했다고 밝혔습니다.

여기에 더해 Wilfred Almeida는 Long의 게시물을 인용하며 이것이 Solana 생태계에 대한 또 다른 NPM 보안 위협일 수 있다고 경고했습니다. 그는 해당 패키지의 저자가 실제 yellowstone-grpc 프로젝트의 유지보수자들과 아무런 관련이 없다고 강조했습니다. 명확한 비교를 위해 Wilfred는 공식 GitHub 저장소(github.com/rpcpool/yellowstone-grpc)와 의심스러운 NPM 패키지(npmjs.com/package/@triton-one/yellowstone-grpc) 링크를 공유했고, Anatoly Yakovenko, Solana Devs, Jacob Creech 같은 핵심 인물들을 태그해 소식을 확산시켰습니다.

참고로 NPM (Node Package Manager)은 개발자들이 JavaScript 프로젝트에서 코드 라이브러리를 공유하고 설치할 때 사용하는 도구입니다. Yellowstone-gRPC는 gRPC(고성능 원격 프로시저 호출 프레임워크)를 통해 Solana 블록체인과 상호작용하도록 만든 오픈소스 도구입니다. 이는 데이터 스트리밍과 쿼리 효율성이 좋아 Solana 위에서 개발하는 개발자들, 특히 밈 토큰을 만드는 사람들 사이에서 인기가 높습니다.

우려되는 점은 typosquatting 또는 name-squatting으로, 악의적인 행위자가 인기 있는 패키지와 비슷한 이름의 패키지를 만들어 사용자를 속이는 경우입니다. 이런 패키지를 설치하면 키를 훔치거나 지갑을 손상시키거나 프로젝트를 방해하는 악성 코드가 포함될 수 있습니다. 암호화폐 분야에서는 보안이 모든 것이기 때문에 이는 매우 심각한 문제입니다.

다행히 이번 사건은 빠르게 해결되는 모양새였습니다. 문제의 저자로 추정되는 Het Dagli는 패키지들이 제거되었다고 답변했습니다. 그는 빠른 반복 작업을 위해 로컬에서 급하게 퍼블리시한 것일 뿐, 누구를 혼동시키려는 의도는 없었다고 설명했습니다. 무해해 보일 수는 있지만, 이것이 바로 솔라나 같은 커뮤니티가 잠재적 위험을 즉시 지적하는 이유를 잘 보여줍니다.

만약 여러분이 밈 토큰 제작자이거나 Solana 개발자라면 패키지 출처를 항상 재확인하세요. 공식 저장소를 이용하고, 라이선스를 검증하며, npm audit 같은 도구로 취약점을 스캔하세요. 이런 사건들은 바이럴하게 움직이는 밈 코인 공간에서 과대광고가 빠르게 확산되는 만큼, 보안이 결코 뒷전이 되어서는 안 된다는 점을 상기시켜 줍니다.

안전에 유의하시고, 책임감 있게 그 바이럴 토큰들을 계속 만들어 가세요!