안녕하세요, 크립토 애호가 여러분! 밈 토큰과 블록체인의 다채로운 세계에 관심이 있다면 자산을 한 네트워크에서 다른 네트워크로 옮기는 크로스체인 브리지의 중요성을 잘 아실 겁니다. 오늘은 이 분야에서 보안 측면의 큰 성과에 대해 이야기해 보겠습니다. 상호운용성 플랫폼 Wormhole이 그들의 X 게시물을 통해 Relay Protocol에서 심각한 취약점을 발견했다고 알렸습니다. 간단한 용어로 풀어보고, 특히 체인 간에 밈을 거래하는 분들께 왜 중요한지 살펴보겠습니다.

Relay Protocol에서 무슨 일이 있었나?

Relay Protocol은 의도 기반(intent-based) 크로스체인 구성으로, 75개 이상의 블록체인에서 자산을 즉시 교환할 수 있게 해주는 멋진 서비스입니다. 지금까지 50억 달러가 넘는 거래량을 처리했죠 — 엄청난 양의 암호자산이 움직이고 있습니다! 하지만 모든 기술과 마찬가지로 완벽하진 않습니다. 최신 버전은 전송 중 자금을 처리하기 위해 온체인 "depository contracts"를 사용합니다. 한 체인에 예치하면 다른 체인에서 해제되는 방식입니다.

여기서 핵심은 자금 해제(releasing funds)가 allocator라는 신뢰된 오프체인 주체의 서명된 "TransferRequest"를 필요로 한다는 점입니다. 이 서명은 Solana에서 안전한 검증에 흔히 쓰이는 Ed25519 암호 스킴을 사용합니다. 계약은 Solana의 네이티브 Ed25519 프로그램을 통해 이 서명을 확인합니다.

하지만 문제는 이렇습니다: 계약이 Ed25519 검증을 신뢰하면서 서명 인스트럭션의 오프셋(offsets)을 제대로 검증하지 않았습니다. 오프셋은 프로그램에게 인스트럭션 내에서 서명, 공개키, 메시지 데이터를 어디서 찾을지 가리키는 포인터입니다. 이 값들을 올바르게 확인하지 않으면 공격자가 프로그램이 데이터를 찾는 위치를 조작해 서명을 위조할 수 있습니다.

이로 인해 잠재적인 이중지출(double-spend) 공격의 문이 열렸습니다. 한 번 예치된 자금을 시스템을 속여 두 번 해제하게 만들 수 있다고 상상해 보세요 — 크로스체인 유동성에겐 대혼란입니다!

Wormhole은 어떻게 개입했나

Wormhole의 핵심 보안 기여자였던 Asymmetric Research 팀이 이 문제를 깊이 파고들어 발견했습니다. 그들은 Relay Protocol에 비공개로 보고했고, Relay Protocol은 매우 신속하게 패치를 적용했습니다. 자금 손실은 없었고, 현재로선 위험이 제거된 상태입니다. 책임감 있게 처리한 모든 이들에게 박수를 보냅니다.

Asymmetric Research의 Felix( X에서 @_fel1x)가 자세히 설명한 블로그 게시물에서는 핵심을 파헤칩니다. 그들은 TransferRequest 구조체 같은 코드 스니펫을 보여줍니다:

#[derive(AnchorSerialize, AnchorDeserialize, Copy, Clone, PartialEq, Debug)]
pub struct TransferRequest {
pub recipient: Pubkey,
pub token: Option,
pub amount: u64,
pub nonce: u64,
pub expiration: i64,
}

그리고 검증이 이전 인스트럭션을 가져와 서명을 확인하는 방식도 보여줍니다:

let cur_index: usize = sysvar::instructions::load_current_index_checked(&ctx.accounts.ix_sysvar)?.into();
assert!(cur_index > 0, "cur_index should be greater than 0");

let ed25519_instr_index = cur_index - 1;
let signature_ix = sysvar::instructions::load_instruction_at_checked(
ed25519_instr_index,
&ctx.accounts.ix_sysvar,
)?;

validate_ed25519_signature_instruction(
&signature_ix,
&relay_depository.allocator,
&request,
)?;

Ed25519 인스트럭션 레이아웃에는 서명, 공개키, 메시지에 대한 오프셋이 포함되어 있습니다. 네이티브 프로그램의 로직은 이를 처리하지만, 오프셋을 엄격히 검증하지 않으면 우회가 가능해집니다.

밈 토큰 팬들에게 왜 중요한가

밈 토큰은 체인 간 속도와 유동성에 의해 번성합니다 — Solana에서 Ethereum으로 Dogecoin 영감을 받은 토큰을 옮겨서 인기 NFT 드롭에 참여한다고 상상해 보세요. Relay 같은 브리지는 이를 원활하게 해주지만, 이런 취약점은 신뢰를 훼손하고 실제 손실을 초래할 수 있습니다. 이중지출은 유동성 풀을 고갈시키고 슬리피지(slipage)를 급증시켜 거래에 타격을 줄 수 있습니다.

이번 사건은 보안 감사와 Wormhole 같은 경계심 있는 팀의 가치가 얼마나 큰지를 보여줍니다. 또한 자주 자산을 브리지하는 사용자라면 프로토콜 소식을 최신으로 유지해야 한다는 점을 상기시켜 줍니다.

마무리

블록체인 생태계를 더 안전하게 지켜준 Wormhole과 Asymmetric Research에 감사드립니다. 크로스체인 기술을 개발하거나 사용 중이라면 보안을 최우선으로 두세요 — 작은 오프셋 실수가 큰 문제로 이어질 수 있습니다. 밈 토큰, 블록체인 기술, 그리고 이 흥미진진한 분야를 스마트하게 항해하는 법에 대한 더 많은 통찰을 원하시면 Meme Insider를 계속 주목해 주세요.

이 사건에 대한 생각이 있으신가요? 댓글로 남기거나 X에서 저희에게 알려주세요! 🚀