Cosmos 체인의 CometBFT 제로데이 공개
연구원 박도연이 80억 달러를 보호하는 Cosmos 체인을 정지시킬 수 있는 고위험 CometBFT 제로데이를 공개하며, 핵심 암호화폐 인프라의 정보 공개 격차를 부각시켰습니다. Cosmos의 CometBFT 합의 계층에서 발견된 중요한 제로데이 취약점이 박 연구원에 의해 공개되면서, 핵심 블록체인 인프라의 협력적 정보 공개 관행에 대한 새로운 의문이 제기되었습니다.
박 연구원은 CVSS 7.1(높음)으로 평가된 이 버그가 Cosmos 기반 체인 전반에 걸쳐 블록 동기화 단계에서 노드가 정지하게 할 수 있으며, 이는 80억 달러 이상의 온체인 가치를 보호하는 네트워크에 잠재적으로 혼란을 초래할 수 있다고 밝혔습니다.
“Cosmos 합의 계층(CometBFT)에서 0-day 취약점을 공개합니다. 이는 80억 달러 이상의 자산을 보호하는 Cosmos 생태계의 노드가 블록 동기화 단계에서 정지하게 할 수 있는 CVSS 7.1(높음) 심각도 문제입니다. 그러나 직접적인 자산 도난은…”
박 연구원은 X에 게시한 글에서 이 문제가 “직접적인 자산 도난”을 허용하지 않지만, 여러 체인에서 블록 생산이 중단되거나 지연되는 것은 검증자, 애플리케이션 및 사용자에게 심각한 운영 및 경제적 위험이 될 수 있다고 경고했습니다. 연구원은 이 문제를 해결하기 위한 표준 협력적 취약점 공개 채널을 통해 시도했으나, 공급업체의 “협력 부족”으로 인해 실패한 후에만 공개적으로 이 취약점을 공개하기로 결정했다고 덧붙였습니다.
CometBFT가 많은 Cosmos-SDK 기반 체인의 합의를 뒷받침하고 있기 때문에 블록 동기화 중 정지는 더 넓은 생태계에 파급 효과를 미칠 수 있으며, IBC 전송부터 영향을 받는 네트워크 위에 구축된 DeFi 프로토콜까지 모든 것에 영향을 줄 수 있습니다. 자금이 즉각적인 위험에 처하지 않더라도 지속적인 노드 정지는 거버넌스 비상 사태, 슬래싱 논의 및 유동성 중단을 촉발할 수 있으며, 특히 핵심 라우팅 허브 역할을 하거나 달러로 표시된 스테이블코인을 호스팅하는 체인에서 더욱 그러합니다.
박 연구원의 공개 결정은 다수의 수십억 달러 자산 풀을 보호하는 시스템에서 중요한 버그를 조용히 패치해야 할 필요성과 오픈 소스 투명성 간의 긴장을 강조합니다. Cosmos 이해관계자들에게 이 사건은 합의 계층 취약점에 대한 정보 공개 일정에 대한 명확한 기대와 보다 공식화된 보안 대응 프로세스에 대한 요구를 가속화할 가능성이 높습니다.
