블록섹 "품캐시, 모방 공격으로 226만 달러 손실"

"베이스·이더리움서 zkSNARK 증명 위조…베일캐시 취약점과 동일 수법"
"베이스서 42.7만 달러 탈취…이더리움 183만 달러는 백모자 구조 작전 추정"

블록체인 보안 전문기관 블록섹(BlockSec)이 금일 베이스(Base)와 이더리움 네트워크상의 품캐시(FOOMCASH) 스마트 컨트랙트가 모방 공격을 당해 총 226만 달러(한화 32억 1,900만 원) 상당의 손실이 발생했다고 밝혔다.

블록섹의 모니터링에 따르면 이번 공격은 지난 베일캐시(VeilCash) 취약점과 동일한 수법이 사용됐다. 공격자는 검증 키(Verification Key) 설정 오류를 악용해 영지식 증명 기술인 zkSNARK(Zero-Knowledge Succinct Non-Interactive Argument of Knowledge) 증명을 위조했다.

영지식 증명은 특정 정보를 공개하지 않고도 그 정보가 참임을 증명할 수 있는 암호학 기술로, 프라이버시 보호가 중요한 블록체인 애플리케이션에서 널리 활용된다. zkSNARK는 이러한 영지식 증명 방식 중 하나로, 증명 크기가 작고 검증 속도가 빠른 것이 특징이다.

블록섹은 "공격자가 검증 키 구성의 취약점을 이용해 zkSNARK 증명을 위조함으로써 스마트 컨트랙트의 보안 메커니즘을 우회했다"고 설명했다.

네트워크별 피해 규모를 살펴보면, 베이스 네트워크에서는 단일 공격 트랜잭션을 통해 약 42만 7,000달러(한화 6억 800만 원)가 탈취됐다. 반면 이더리움 네트워크에서 발생한 약 183만 달러(한화 26억 600만 원) 규모의 관련 거래는 백모자(White Hat) 해커의 구조 작전으로 추정된다.

백모자 해커는 보안 취약점을 발견했을 때 악의적으로 이용하지 않고 해당 프로젝트 측에 알려주거나, 공격자보다 먼저 자산을 회수해 보호하는 윤리적 해커를 의미한다. 이번 이더리움 네트워크상의 거래 역시 악의적 공격자가 자산을 탈취하기 전에 백모자가 선제적으로 자산을 회수한 것으로 보인다.

zkSNARK와 같은 영지식 증명 시스템은 초기 설정(Setup) 단계에서 검증 키가 올바르게 구성되지 않으면 치명적인 보안 취약점이 발생할 수 있다. 특히 프라이버시 프로토콜을 운영하는 프로젝트는 검증 키 설정에 각별한 주의를 기울여야 한다.

한편 이번 공격은 지난달 발생한 베일캐시 해킹 사건과 동일한 취약점을 악용한 것으로, 유사한 프라이버시 프로토콜을 운영하는 다른 프로젝트들도 긴급 보안 점검에 나선 것으로 알려졌다.

품캐시 측은 현재까지 공식 입장을 발표하지 않았으며, 블록섹은 추가 피해 방지를 위해 관련 프로젝트들과 협력해 취약점 분석 및 패치 작업을 진행 중이다.

최주훈 joohoon@blockstreet.co.kr