모닝 미닛 뉴스레터
모닝 미닛은 Tyler Warner가 작성한 일일 뉴스레터입니다. 분석 및 의견은 그의 개인적인 것이며 Decrypt의 공식 의견을 반드시 반영하지는 않습니다. 또한 Apple Podcast 또는 Spotify에서 다운로드할 수 있는 5분 안에 모든 주요 뉴스를 다루는 새로운 일일 뉴스 쇼를 확인해 보세요.
오늘의 주요 뉴스
안녕하세요! 오늘의 주요 뉴스입니다: 5월 29일, 보안 연구원 Taylor Hornby가 Zcash의 Orchard 프라이버시 풀에서 공격자가 무제한의 위조 ZEC를 발행할 수 있는 치명적인 취약점을 발견했습니다. Hornby는 이 문제를 해결하기 위해 ZCash 팀에 고용되었으며, Anthropic의 Claude Opus 4.8을 사용하여 이를 발견했습니다. 6월 1일까지 Zcash 생태계는 긴급 수정을 배포하여 문제를 해결했지만, 이 취약점은 지난 4년 동안 악용될 수 있었습니다.
취약점의 내용
Orchard 풀은 Zcash의 가장 진보된 차폐 거래 레이어로, 2022년 5월부터 활성화되어 있으며, 제로 지식 증명을 사용하여 거래 금액이나 참여자를 공개하지 않고 거래를 검증합니다. 간단히 말해, 특정 거래 입력을 검증해야 하는 체크가 실제로는 규칙을 강제하지 않았습니다. 이를 발견한 공격자는 그 체크에 잘못된 입력을 주입하고도 통과시킬 수 있었으며, ZK 증명 시스템이 위조 거래를 유효한 것으로 승인했습니다. Hornby는 Opus 4.8의 도움으로 완전한 작동 가능한 익스플로잇을 작성했으며, 이를 로컬 환경에서 테스트한 결과 작동했습니다: 무제한의 탐지 불가능한 위조 ZEC가 합법적인 동전과 구별할 수 없는 형태로 생성되었습니다. 그는 이를 메인넷에서 실행하기보다는 Zcash의 조정 개발 기관인 ZODL에 즉시 공개했습니다.
취약점의 영향
취약점의 영향이 미지수인 이유: Orchard가 프라이버시 풀인 만큼, 2022년 5월부터 2026년 6월 사이에 이 취약점이 악용되었는지를 암호학적으로 확인할 방법이 없습니다. Orchard의 가치를 부여하는 프라이버시 속성이 악용을 탐지할 수 없게 만듭니다. 현재 Hornby를 고용한 팀은 이전의 악용 가능성이 낮다고 말합니다. 이 버그는 세계적 수준의 암호학자들의 수년간의 검토를 피했으며, 발견에는 화이트햇 연구자만 사용할 수 있는 최첨단 AI 도구가 필요했고, 수정 기간이 짧았습니다. 그러나 그들은 명확히 했습니다: 사용자들은 그들의 평가만을 신뢰해서는 안 됩니다.
다음 단계
Shielded Labs는 새로운 차폐 풀을 배포하고 Orchard 풀의 모든 동전에 대해 “턴스타일 회계”를 시행하는 네트워크 업그레이드를 제안하고 있습니다. 이는 기존의 모든 Orchard 동전이 위조된 공급을 드러낼 수 있는 검증 가능한 체크포인트를 통과하도록 강제하는 것입니다. 이는 광범위한 커뮤니티 거버넌스 지원과 표준 Zcash 네트워크 업그레이드 프로세스가 필요합니다. 자세한 제안은 다음 주에 발표될 예정입니다. Shielded Labs는 또한 전체 Orchard 회로를 처음부터 수학적으로 검증하는 프로젝트를 공식적으로 시작하고 있으며, 보안 책임자와 암호학자를 채용하고 있습니다.
Zcash를 넘어 중요한 이유
이는 Anthropic의 가장 강력한 AI 모델이 전문 보안 연구자의 손에 들어갔을 때 무엇을 할 수 있는지를 보여주는 가장 명확한 실제 사례입니다. Hornby는 5월 28일에 공개된 Opus 4.8을 사용했으며, 출시 24시간 이내에 여러 차례의 전문가 검토를 통과한 4년 된 치명적인 버그를 발견했습니다. 그리고 이것은 단지 Opus 4.8에 불과합니다. Mythos가 곧 출시될 예정이며, 그 이후에는 더 나은 모델이 나올 것입니다. 모든 암호화 프로토콜은 경각심을 가져야 합니다—고용된 화이트햇 해커를 통해 자신의 프로토콜을 해킹/악용해 보세요. 아니면 주사위를 던지고 블랙햇이 대신 해주기를 기다리세요. 시간이 촉박하며, 더 넓은 암호화 공간의 단기 운명이 불확실한 상황입니다.
