지캐시, '무한 복제' 보안 결함 발견…가격 30% 폭락

프라이버시 코인 지캐시(ZEC)의 익명 거래 풀에서 무제한으로 가짜 토큰을 위조할 수 있는 치명적인 보안 취약점이 발견됐다. 이번 결함은 최신 인공지능(AI) 도구를 활용한 화이트해트 해커에 의해 포착됐다. 소식이 전해진 후 지캐시 가격은 30% 이상 폭락했다.

4일(현지시간) 지캐시 독립 지원 조직 실드랩스는 X를 통해 "보안 엔지니어 테일러 혼비가 지캐시의 익명 거래 풀인 오차드에서 심각한 취약점을 발견했다"고 발표했다.

지캐시 생태계의 기여자인 혼비는 지난 4월부터 프로토콜 검토를 진행해 왔고 지난 달 29일 앤트로픽이 출시한 최신 AI 모델 오푸스4.8의 지원을 받아 오차드 회로의 결함을 찾아냈다.

오차드 풀은 이용자가 영지식 증명(ZK) 기술을 통해 완전한 익명성을 보장받으며 지캐시를 송수신할 수 있도록 지원하는 익명 거래 풀이다. 하지만 조사 결과 오차드 회로 내 특정 요소의 제약 조건이 느슨하게 설정되어 있는 오류가 발견됐다. 타원곡선 곱셈 연산에 임의의 거짓 입력을 넣어도 시스템이 이를 정상 거래로 승인해 버리는 치명적인 결함이었다.

실드랩스는 "취약점은 실제 악용이 가능한 상태였다"며 "혼비가 오푸스 4.8의 도움을 받아 로컬 테스트 환경에서 완전한 익명으로 무제한의 가짜 지캐시를 생성하는 익스플로잇을 작성해 검증했다"고 밝혔다. 해당 취약점은 지난 6월 1일 긴급 패치로 수정됐으나, 오차드 풀이 활성화된 2022년 5월부터 무방비로 노출되어 있었던 것으로 확인됐다.

그럼에도 실드랩스 측은 지나친 우려를 경계했다. 실드랩스는 "세계 최고 수준의 암호학자들이 감시해 온 프로토콜에서 오랫동안 발각되지 않았던 만큼, 해커들이 이를 먼저 인지했을 가능성은 낮다"며 "이번 발견은 공격자들보다 먼저 취약점을 찾아내기 위해 최신 AI 도구와 정교한 프롬프트를 활용한 화이트해커의 승리"라고 평했다.

하지만 시장은 민감하게 반응했다. 실드랩스의 발표 직후 지캐시 가격은 5시간 만에 급락하기 시작해 24시간 전 대비 31.4% 폭락한 409.64달러를 기록했다.

이에 실드랩스는 시장의 신뢰를 회복하기 위해 지캐시 총 공급량의 무결성을 누구나 검증할 수 있도록 하는 네트워크 업그레이드를 제안했다.

실드랩스 관계자는 "매우 심각한 취약점이었던 만큼 이용자들에게 투명하게 공개하는 것이 중요하다고 판단했다"며 "치명적인 결함이 발견된 것은 유감스럽지만, 지캐시 생태계가 이를 극복하고 정상화될 것으로 확신한다"고 강조했다.