취약점

드래곤플라이 파트너 Haseeb가 최근 Zcash에서 수정된 취약점에 대해 트윗을 통해 설명했습니다. 그는 이 취약점이 수정되기 전에 악용될 경우(확률은 극히 낮지만) 프라이버시 풀에서 가짜 ZEC가 발행될 것이라고 밝혔습니다. 공격자는 신속하게 판매해야 하지만, 시장에서 주로 거래되는 투명한 ZEC로 인해 비공식적으로 해제되지 않은 프라이버시 ZEC를 주요 거래소에서 직접 매도할 수 없습니다. 따라서 손실은 주로 프라이버시 ZEC를 보유한 사용자에게 발생하며, 투명 ZEC 보유자와 가격 발견에는 거의 영향을 미치지 않습니다.Haseeb는 Zcash 팀이 다음 업그레이드에서 새로운 턴스타일 메커니즘과 새로운 프라이버시 풀을 도입하여 프라이버시 풀이 팽창되지 않았음을 검증할 것이라고 강조했습니다. 그는 또한 형식적 검증 기술에 대해 긍정적으로 보고 있으며, 이는 전체 산업의 소프트웨어 안전성을 향상시키는 중요한 경로라고 생각하며, 특히 프라이버시 프로토콜에 매우 중요하다고 언급했습니다.

THORChain 블로그에 따르면, ZEC는 THORChain의 출시 대기 목록에 있지만, Zcash에서 최근 공개된 취약점으로 인해 기존 패치가 통합 파트너의 정상 사용에 영향을 미치고 있어, THORChain은 Bifrost 모듈의 코드 수정을 완료한 후에야 진행할 수 있습니다.개발 팀은 수정 범위가 매우 작다고 밝혔지만, ZEC 출시 전에 완료해야 합니다. 현재 Monero(XMR)는 이달 말에 출시될 예정이며, ZEC는 그 뒤를 따릅니다.

ZEC 재무 회사 Cypherpunk은 X 플랫폼에서 ZEC 토큰 시장 변동에 대한 글을 발표하며, 모든 소프트웨어에는 취약점이 존재한다고 밝혔습니다. 역사적으로 비트코인은 오류로 인해 1,840억 BTC를 "다중 발행"한 적이 있습니다. 그러나 이것이 블록체인 기술을 포기해야 한다는 의미는 아니며, 형식적 검증과 증명 가능한 정확성을 통해 보안을 강화해야 한다고 강조했습니다.Cypherpunk은 AI 기술의 발전에 따라 취약점 탐지가 더 빠르고 광범위해질 것이라고 강조했지만, 핵심은 악의적인 행위자보다 문제를 발견할 수 있는 사람이 누구인지에 달려 있다고 말했습니다. Zcash는 곧 출시될 업데이트를 통해 이러한 능력을 보여줄 것입니다.이전 소식에 따르면, 프라이버시 코인 ZEC는 무한 증발을 초래할 수 있는 보안 취약점이 드러나면서 시장에서 매도세를 겪었고, 코인 가격은 하루 만에 50% 이상 하락했습니다.

BitMEX 공동 창립자이자 Maelstrom 펀드 CIO인 Arthur Hayes (@CryptoHayes)는 ZEC의 Orchard Pool이 취약점 공격을 당했기 때문에 모든 $ZEC 보유를 청산했다고 발표했습니다.Hayes는 악의적인 발행 가능성이 극히 낮지만, 암호학적 차원에서 그것이 불가능하다는 것을 공식적으로 증명할 수는 없다고 지적했습니다. 프라이버시 서사는 "완벽함"을 요구하며 "높은 확률의 안전"을 요구하지 않습니다. 그는 또한 이후 가정이 반증될 경우 더 낮은 가격에 재매입할 가능성을 배제하지 않는다고 밝혔습니다. 현재 그의 팀은 여전히 $WLD 포지션을 보유하고 있으며, 긍정적인 태도를 유지하고 있습니다.

Taylor Hornby는 2026년 5월 29일 Zcash의 Orchard 자금 풀에서 중요한 위조 취약점을 발견했습니다. Taylor Hornby는 이 취약점을 Zcash Open Development Lab에 보고하였고, 각 당사자는 6월 2일에 수정을 완료했습니다. 이 취약점은 Zcash Orchard 내에서 비밀리에 무한한 수량의 위조 ZEC를 생성하는 데 악용될 수 있습니다. Orchard의 프라이버시 특성으로 인해, 수정을 하기 전 이 취약점이 악용되었는지 여부를 암호학적으로 증명할 수 없습니다. 이 취약점은 2022년 5월 Orchard가 활성화된 이후부터 존재해 왔으며, 2026년 6월 1일 긴급 수정이 배포될 때까지 지속되었습니다.Taylor Hornby는 AI 도구의 도움을 받아 완전한 익스플로잇을 작성하였고, 로컬 테스트 환경에서 무한하고 탐지할 수 없는 위조 ZEC를 생성했습니다. 현재 Shielded Labs는 다른 Zcash 개발자들과 협력하여 Zcash의 공급 완전성을 검증할 수 있도록 네트워크 업그레이드 제안을 탐색하고 있습니다.

Decrypt에 따르면, Zcash Foundation은 5월 29일 보안 연구원 Taylor Hornby가 Zcash Orchard 프라이버시 풀 회로에서 중요한 취약점을 발견했으며, 이론적으로 이중 지불이 가능하다고 밝혔습니다. Zcash Open Development Lab과 재단은 5일 이내에 두 단계 비상 계획을 시행했습니다: 먼저 긴급 소프트 포크를 통해 모든 Orchard 거래를 일시적으로 동결한 후, NU6.2라는 이름의 하드 포크 업그레이드를 통해 제로 지식 증명 검증 키를 수정하고 기능을 복구했습니다.팀은 내장된 "turnstile" 메커니즘이 초과 발행이나 공격의 징후가 없음을 보여준다고 밝혔으며, 체인 상에서는 실제로 정상적으로 블록이 생성되었고, 블록 탐색기는 업그레이드 노드 시 잠시 "체인을 읽지 못했다"고 전했습니다. 공식은 노드가 즉시 Zebra 5.0으로 업그레이드할 것을 촉구했습니다. ZEC 현재 가격은 약 629달러이며, 24시간 동안 10% 이상 상승했으며, 최근 30일 동안 상승폭은 53%를 초과했습니다.

The Block에 따르면, Ledger 산하 Donjon 보안 팀이 실험실 환경에서 정밀 레이저 공격을 통해 Trezor Safe 7에 사용된 TROPIC01 칩의 펌웨어 검증 메커니즘을 우회할 수 있었으며, 공격자가 장치의 실물을 소지한 경우에 한해 무단 펌웨어를 로드할 수 있습니다.칩 제조업체 Tropic Square는 이 칩이 PIN 검증에 사용하는 MAC-and-Destroy 보안 메커니즘에 추가 공격 경로가 존재함을 발견했지만, 강화된 칩이 2026년 말 출시되기 전까지는 세부 사항을 공개하지 않을 것이라고 밝혔습니다.Trezor는 PIN, 니모닉 백업 및 개인 키가 단일 칩에 저장된 적이 없으며, 협력사에 통보했으며 일반 사용자는 별도의 조치를 취할 필요가 없다고 전했습니다. 현재 칩의 MAINTENANCE 모드를 종료함으로써 공격 가능성을 낮출 수 있습니다.

Zcash（ZEC）재단 공식 발표에 따르면, 독립 보안 연구원 Taylor Hornby가 5월 29일 Zcash의 Orchard 제로 지식 증명 회로에서 심각한 신뢰성 취약점을 발견하였으며, 이는 Orchard 풀 내에서 이중 지불을 허용할 수 있습니다.ZODL 핵심 엔지니어는 몇 시간 내에 문제를 확인하고 수정을 시작하였으며, 시간을 벌기 위해 Zebra 4.5.3 긴급 소프트 포크를 통해 6월 2일 새벽에 Orchard 작업을 일시적으로 비활성화하였습니다. 최종적으로 오늘 Zebra 5.0을 통해 NU6.2 하드 포크를 활성화하였으며------베이징 시간으로 정오 12:05, 메인넷은 블록 높이 3,364,600에서 성공적으로 업그레이드를 완료하였고, 수정된 회로로 Orchard를 다시 활성화하였으며, 취약점은 영구적으로 차단되었습니다.이는 Zcash가 2016년 출시 이후 두 번째로 보안 문제로 인해 프로토콜 업그레이드가 발생한 것이며, 전 과정에서 알려진 악용 사례는 없었습니다. 네트워크 총량 방어 메커니즘은 총 공급량이 항상 완전함을 확인하였으며, 사용자 프라이버시 및 Sapling, 투명 거래는 영향을 받지 않았습니다.

Zcash 재단은 공통 수준의 보안 취약점을 수정하기 위해 Zebra 4.5.1 버전 업데이트를 발표했으며, 모든 노드 운영자에게 즉시 업그레이드를 권장합니다.이 취약점의 번호는 GHSA-2prc-cj5x-4443이며, P2SH 거래의 sigop(서명 연산자) 통계 오류와 관련이 있어 잠재적인 합의 분기 위험을 초래할 수 있습니다. 이번 수정은 어제 발표된 4.5.0 버전에서 수정이 불완전했던 문제를 해결합니다.Zcash 개발 팀은 문제의 원인이 sigop 카운트 로직이 서로 다른 구현 간에 차이가 있어 노드가 거래를 검증할 때 서로 다른 결과를 초래할 수 있으며, 이는 체인 상의 합의 일관성에 영향을 미칠 수 있다고 밝혔습니다. 수정方案은 Rust 구현 로직을 되돌리고 조정하여 프로토콜의 예상 동작과 일치하도록 보장합니다.Zcash 재단은 현재 이 문제를 우회할 수 있는 해결책이 없으며, 4.5.1로 업그레이드하는 것이 노드가 올바른 체인에 유지되고 잠재적인 분기 위험을 피하는 유일한 방법이라고 강조했습니다.

The Block에 따르면, Gnosis의 공동 창립자이자 CEO인 Martin Koppelmann은 Gnosis Pay와 관련된 Zodiac 지연 모듈이 악용 공격을 받고 있다고 확인했습니다. 공격자는 해당 모듈이 통합된 Safe 지갑에서 거래를 시작할 수 있으며, Gnosis는 위험을 통제하기 위해 크로스 체인 브리지 검증자에게 일시 중지를 요청했습니다.Koppelmann은 Gnosis가 모든 사용자 손실을 부담할 것이며, 이전에 사용자에게 EURe와 GNO를 긴급 인출하라는 공지를 삭제했다고 밝혔습니다. 그는 대부분의 사용자가 스스로 자산을 인출할 수 없으며, 팀이 대부분의 손실을 통제하기 위해 노력하고 있으며 모든 사용자에게 전액 보상을 보장할 것이라고 말했습니다. Gnosis는 이번 취약점이 Gnosis Pay 시스템 내에 있으며, Safe 핵심 계약은 영향을 받지 않았다고 강조했습니다.

The Block에 따르면, Sui 재단은 최근 메인넷의 세 번의 중단 사고 분석 보고서를 발표했으며, 지난 주 목요일과 금요일에 발생한 세 번의 네트워크 중단을 v1.72 버전 업그레이드로 인해 발생한 두 개의 독립적인 취약점에 기인한다고 밝혔습니다. 첫 번째 중단은 약 6시간 반 지속되었고, 두 번째와 세 번째는 각각 금요일 아침과 오후에 발생했습니다.앞선 두 번의 중단은 v1.72에서 도입된 "주소 잔액" 기능이 거래 수수료 방식의 결함을 드러내면서 발생했으며, 자금 부족으로 거래가 취소될 때 네트워크는 여전히 이러한 자금을 지출하여 부정 잔액이 발생하고 검증 노드의 정산 단계가 붕괴되었습니다. 재단은 목요일에 긴급하게 배포한 임시 수정안이 알려진 중단 위험을 포함하고 있으며, 팀이 체인 상의 서비스를 신속하게 복구하기 위해 해당 위험을 수용했다고 인정했습니다. 그 결과 금요일 아침에 네트워크가 다시 중단되었습니다.세 번째 중단은 공개되지 않은 또 다른 무작위 상태 취약점으로 인해 발생했으며, 이는 검증 노드가 수정 패치를 설치하기 위해 재시작할 때 발생했습니다. Sui는 사용자 자금이 결코 위험에 처하지 않았으며, 두 개의 취약점을 수정하고 정체된 시대를 강제로 종료하는 메커니즘을 구축했다고 밝혔습니다. 재단은 또한 생산 시스템에 접근할 수 있는 AI 에이전트가 진단 과정을 상당히 가속화했다고 언급했습니다.

DxSale.Network는 X 플랫폼에서 이전의 보안 사건에 대한 응답을 게시하였으며, 최근의 취약점이 바이낸스 스마트 체인(BSC)에서 새롭게 출시된 원자 거래 기능에서 발생했음을 밝혔습니다. 이는 2021년에 출시된 v1 잠금 계약에 영향을 미쳤습니다.팀은 문제의 출처를 확인하였으며, v2 및 그 이상의 버전의 잠금 계약은 완전히 안전하다고 밝혔고, Certik 감사를 통과했습니다. 사용자들은 안심할 수 있으며, v2 및 그 이상의 잠금 자산은 영향을 받지 않습니다.

Zcash 재단이 노드 클라이언트 Zebra 4.5.0 버전 업데이트를 발표했습니다. 이번 버전에는 여러 가지 보안 수정 사항이 포함되어 있으며, 여기에는 하나의 합의 주요 취약점과 여러 가지 고위험 서비스 거부(DoS) 문제가 포함되어 있습니다. 모든 노드 운영자에게 즉시 업그레이드를 강력히 권장합니다.이번 핵심 수정 사항에는 P2SH 스크립트 파싱에서 발생한 sigop 카운트 오류(이는 zcashd와의 합의 분기를 유발할 수 있음), NU5 블록 검증 캐시 로직 결함, 투명 주소 잔액 오버플로우로 인한 충돌 위험, 그리고 여러 RPC 인터페이스 및 메모리 풀 처리에서의 충돌 및 자원 고갈 취약점이 포함되어 있습니다. 또한 일부 취약점은 악의적인 노드에 의해 이용되어 노드가 멈추거나 재부팅 루프에 빠지거나 심지어 영구적으로 작동을 중지할 수 있습니다.

슬로우미스트(SlowMist)의 모니터링에 따르면, ONTR 토큰 계약은 onlyOwner 수정자 때문에 접근 제어 취약점이 존재하여 49.4801 WETH, 약 9.8만 달러의 손실을 초래했습니다. 공격자(0xe806...b760)는 이 취약점을 이용하여, owner가 address(0)일 때 권한 검사를 통해 transferOwnership()을 호출하여 공격자 계약을 owner로 설정한 후, desertJasper()를 호출하여 숨겨진 잔액을 큐에 추가하고, glenFlash()를 호출하여 ashBud()를 실행하여 주소 잔액을 1e30 기본 단위로 직접 증가시켰지만 totalSupply는 증가하지 않았습니다. 공격자는 팡케이크 페어(PancakePair)(0xd46d...83fd)로 팽창된 토큰을 전송하고, swap()을 통해 WETH로 교환했습니다.

느림의 창립자 유선이 X 플랫폼에 Squid 보안 사건에 대한 해석을 게시했습니다. 그는 샘플링 결과 관련 Safe 지갑이 모두 단일 서명이며, 소유자도 모두 다르다고 밝혔습니다. 그러나 문제는 개인 키에 있는 것이 아니라, 이러한 Safe 주소에서 사용되는 모듈(SquidRouterModule)에 취약점이 존재한다는 것입니다. 공격자는 메시지를 위조하여 관련 검증을 쉽게 우회하고, 후속 교환 작업을 시작하여 목표 Safe 지갑의 자금을 이동시킬 수 있습니다. 또한 유선은 공격자가 이익을 얻은 침전 주소 정보를 공개했습니다.이전에 보도된 바에 따르면, 특정 제3자 Gnosis Safe 모듈이 Base와 이더리움에서 악용되어 약 320만 달러의 손실을 초래했으며, 피해자는 해당 계약을 신뢰할 수 있는 Safe Module로 추가한 86개의 Gnosis Safe입니다. 해당 계약은 Basescan에서 "SquidRouterModule"이라는 이름으로 확인되었으며, 이후 Squid는 Gnosis Safe 관련 취약점 사건의 영향을 받지 않았다고 밝혔습니다.

StablR 공식은 X 플랫폼에 게시물을 올려, 자사의 유로 스테이블코인 EURR과 미국 달러 스테이블코인 USDR에 영향을 미치는 보안 취약점을 확인했다고 밝혔습니다. 현재 해당 취약점을 적극적으로 통제하고 영향을 줄이기 위해 노력하고 있습니다. 사용자 및 사용자 자금의 안전을 보호하는 것이 최우선 과제이며, 관련 문제를 확인한 후 가능한 한 빨리 세부 사항 및 후속 조치를 발표할 예정입니다.이전에 보도된 바에 따르면, StablR 스테이블코인은 공격을 받은 후 탈피했으며, 공격자는 약 280만 달러의 이익을 얻었습니다.

GoPlus 분석에 따르면, 스테이블코인 프로토콜 StablR은 이더리움에서 다중 서명 계약의 보안 설정 문제(다중 서명 임계값이 1)와 보유자의 개인 키가 도난당하여 StablR $EURR, $USDR 스테이블코인이 20% 탈피했으며, 공격자는 약 280만 달러의 이익을 얻었습니다.

Verus는 X 플랫폼에서 Verus-Ethereum 크로스 체인 브릿지가 공격을 받았음을 확인하며, 이더리움 체인 상의 계약에서 ETH, USDC 및 tBTC가 도난당했다고 전했습니다. 현재 다른 브릿지 자산은 영향을 받지 않았습니다. Verus 네트워크는 현재 운영이 중단되었으며, 대부분의 블록 생성 노드가 공격으로 인한 영향을 받은 후 자발적으로 오프라인 상태가 되었습니다. 개발팀은 사건의 영향 범위, 공격 경로 및 후속 처리 방안을 전면 조사하고 있으며, 더 많은 정보가 확인된 후 진행 상황을 발표할 예정입니다.Verus는 관련 법 집행 기관과 협력하여 법적 책임을 추궁할 의사가 있다고 밝혔습니다. 그러나 공격자가 전액 자금을 반환할 경우, 프로젝트 측은 취약점 보상을 제공할 의사가 있으며, 더 이상의 책임을 묻지 않을 것이라고 전했습니다. Verus는 또한 공개 채널, 개인 메시지 또는 기타 경로에서 Verus 팀 또는 커뮤니티 구성원이라고 주장하며 "보상" "보상 계획"을 제공하는 모든 사람은 사기꾼이라고 경고했습니다. 공식적으로는 보상 프로젝트가 존재한다고 주장하거나 보상을 제공하는 사람과 상호작용하지 말 것을 강조하며, 관련 계정을 Discord 또는 X 플랫폼에 즉시 신고해 줄 것을 요청했습니다.이전에 Verus 이더리움 크로스 체인 브릿지가 공격을 받아 약 1158만 달러의 손실이 발생했습니다.