코인텔레그래프에 따르면, 코스모스 개발자들이 블록체인 간 통신(IBC) 프로토콜에서 최소 1억 2,600만 달러를 위험에 빠뜨리게 만들 수 있는 ‘중대한’ 보안 버그의 수정을 완료한 것으로 전해졌다.
4월 23일(현지시간) 아심매트릭(Asymmetric) 리서치는 “코스모스 해커원 버그 바운티 프로그램을 통해 이 취약점을 비공개로 공개했으며, 현재 문제가 패치됐다”고 밝혔다.
“악의적인 사건은 발생하지 않았으며, 자금 손실도 발생하지 않았습니다.”
해당 버그는 재진입 공격을 허용하여 해커가 코스모스의 오스모시스 및 기타 탈중앙화 금융 생태계와 같은 IBC 연결 체인에서 무한 토큰을 발행할 수 있도록 허용했을 위험성을 내포하고 있었다.
“최소 1억 2,600만 달러 이상의 자산이 오스모시스에서 도난당했을 수도 있다고 생각한다. 하지만, 오스모시스의 ‘전송률 제한’ 시스템은 발생할 수 있는 피해를 늦추었을 것이다.”
‘전송률 제한’은 요청이 이루어지는 속도를 제어하여, 시스템을 압도하려는 공격을 방지하거나 최소한 완화하는 역할을 한다.
아심매트릭은 해당 버그가 IBC의 고급 프로그래밍 언어 구현인 ibc-go가 2021년 출시된 이후부터 존재해 왔다고 지적했다.
그러나 이 버그는 최근 코스모스 개발자들이 ICS20 인터체인 토큰 표준의 토큰이 체인을 교차할 수 있도록 하는 새로운 타사 애플리케이션인 IBC 미들웨어를 출시한 이후에야 악용될 수 있는 활성화 상태가 됐다.
“이번 이슈는 새로운 기능을 추가함으로써 신뢰 가정을 깨고 새로운 취약점을 도입하는 것이 얼마나 쉬운지 보여준다. 또한 심층 방어의 중요성을 보여주는 또 다른 예에 해당하기도 한다.”
한편, 아심매트릭은 “이번 취약점은 멀티체인 생태계를 더 잘 보호하기 위해 크로스체인 보안 위험에 대한 더 많은 연구가 필요하다는 점을 강조한다”고 평가했다.
이 버그는 약 3주 전 코스모스 개발자 카를로스 로드리게스에 의해 패치된 것으로 깃허브 커밋에 나와 있다.
과거 지난 2022년 10월에 IBC 프로토콜에서 또 다른 “중대한” 보안 취약점이 발견된 바 있으며, 이는 모든 IBC 연결 체인에 영향을 미쳤지만 잠재적인 악용이 발생하기 전에 패치가 이뤄졌다.