Aptos Move VM의 스테일 캐시 버그로 연구진이 체인의 핵심 보안을 90%에 가까운 확률로 무력화할 수 있었으며, 공격 비용은 수백 달러에 불과했다.
Aptos Move VM의 스테일 캐시 버그로 연구진이 체인의 핵심 보안을 90%에 가까운 확률로 무력화할 수 있었으며, 공격 비용은 수백 달러에 불과했다.

Aptos Move VM의 스테일 캐시 버그로 연구진이 체인의 핵심 보안을 90%에 가까운 확률로 무력화할 수 있었으며, 공격 비용은 수백 달러에 불과했다.
금요일 공개된 연구 결과에 따르면, 3,000달러짜리 서버 한 대로 보안 연구진이 Aptos 블록체인에 대한 공격을 시뮬레이션했으며, 이 공격은 최대 700억 달러 상당의 암호화폐 인프라를 위험에 빠뜨릴 수 있었다.
"시뮬레이션이 주장대로 작동했고, 익스플로잇은 논리적으로 타당했습니다,"라고 폴리곤의 최고기술책임자(CTO) 무디트 굽타가 개념증명 자료를 독자적으로 검토한 후 코인데스크에 말했다. "몇 가지 조건이 충족되어야 했는데, 메인넷에서 그 조건들이 충족된 것으로 보입니다."
블록체인 보안 기업 헥센스의 연구진은 Aptos Move 가상 머신(VM)에서 스테일 캐시 버그로 인한 타입 혼동 취약점을 발견했다. Move VM은 체인에서 스마트 계약을 처리하는 실행 환경이다. 연구팀은 시뮬레이션 환경에서 약 20번의 익스플로잇 경로를 실행했으며, 그중 17~18번(약 90%의 성공률)을 성공시켰다. 사용된 서버 설정 비용은 약 3,000달러로, 검증인 네트워크의 약 3분의 1을 시뮬레이션했다. 해당 공격은 내부자 접근이나 특별한 권한이 필요하지 않았다.
이 취약점은 2월 25일 SEAL911 비상 채널을 통해 신고되었으며, Aptos는 몇 시간 만에 메인넷에 패치를 배포했다. 자금 손실은 없었다. 그러나 이번 공개는 레이어1 블록체인의 실행 계층에서 발견되지 않은 단일 버그가 브릿지, 스테이블코인 발행사, 중앙화 거래소를 통해 연쇄적으로 확산되어, 국지적인 프로토콜 결함이 시장 전반의 위기로 이어질 수 있음을 보여준다.
버그의 작동 방식
이러한 유형의 버그가 민감한 이유는 Move 언어가 권한을 처리하는 방식에 있다. Move에서 프로토콜 권한(스테이블코인 발행 권한, 브릿지 제어 권한, 대출 시장 관리 권한 포함)은 온체인 리소스로 직접 저장된다. 이러한 리소스가 손상되면, 이를 신뢰하는 모든 시스템으로 피해가 확대된다.
헥센스의 연구진은 이 버그를 이더리움 스타일 체인에서 공격자 제어 코드가 다른 계약의 저장 공간에 침투할 수 있는 결함에 비유했으며, 이는 Move가 특별히 방지하도록 설계된 타입 시스템 보장을 무력화하는 것과 같다.
헥센스의 개념증명을 독자적으로 검증한 그레고 AI는 약 90%의 성공률을 기준으로 Aptos 네이티브 총예치자산(TVL) 약 2억 5,000만 달러가 직접적으로 위험에 노출되었다고 계산했으며, 이는 더 넓은 크로스체인 익스포저와는 별개의 수치다.
700억 달러의 시스템적 리스크
헥센스는 더 넓은 1차 시스템적 리스크가 약 700억 달러에 달한다고 평가했다. 이 수치에는 브릿지, 크로스체인 메시징 시스템, 스테이블코인 관리 흐름, 중앙화 거래소를 통해 접근 가능한 가치가 포함된다. 그레고 AI는 이 익스플로잇이 레이어제로, 웜홀, USDC의 CCTP가 보유한 프로토콜 역량을 탈취하는 데에도 사용될 수 있다고 지적했다.
"악의적인 행위자가 이 버그에 접근할 수 있었다면, 원하는 모든 TVL을 가져갈 수 있었을 것입니다,"라고 그레고 AI의 CEO 저스터스 한나가 말했다.
700억 달러 추정치는 대량의 USDC를 발행하고 서클의 CCTP를 사용해 이를 체인 간 이동시키는 시나리오를 기반으로 한다. 실제로 서클은 USDC 전송을 중단할 수 있지만, 이 스테이블코인 발행사는 법적 승인 없이는 자산을 동결하지 않는다고 밝힌 바 있어 논란을 겪은 바 있다. 그럼에도 연구진은 마스터 민터 역할, 브릿지 서명자 역량, 프로토콜 회계 상태에 접근할 수 있음을 입증했으며, 이는 크로스체인 시스템 최상위에 위치한 권한들이다.
더 넓은 표면으로 이어지는 주요 경로는 중앙화 거래소, 특히 온체인 활동을 거래소 입금 크레딧과 연결하는 Aptos 브릿지 경로를 통해 작동한다.
대응 및 공개
헥센스가 보고서를 제출한 같은 날, SEAL911 비상 워룸이 개설되어 대응을 조정했다. 몇 시간 후 공급업체에 통보되었으며, 같은 날 오후 4개의 주요 다운스트림 프로젝트에 각각 로컬 실행 가능한 개념증명 자료와 관련 권한 패턴 분석이 전달됐다.
패치를 반영한 공개 풀 리퀘스트는 2월 27일에 공개되었다. Aptos는 공개 커밋 이전에 비공개 검증인 패치가 이미 배포되었다고 밝혔다. Aptos 대변인은 코인데스크에 "발견 후 몇 시간 내에 수정안이 개발, 테스트되어 메인넷에 배포되었습니다. 어느 시점에서도 사용자나 자금에 영향을 미치지 않았습니다."라고 말했다. 대변인은 또한 버그의 실제 익스플로잇 가능성에 대해 이의를 제기하며, 자사 분석 결과 "실제 조건에서 익스플로잇 가능성이 극히 낮다"고 판단했다고 말했다.
헥센스는 입증된 영향 등급에 대해 기술적 반박이나 증거 기반 논쟁을 받지 못했다고 밝혔다. 연구진에게 전달된 주요 우려 사항은 익스플로잇의 확률적 측면과 관련된 것이었으며, 이는 정확히 연구팀의 교정 작업이 해결하고자 했던 부분이다.
만약 공격자가 이 버그를 발견하고 악용했다면, 지난해 바이비트 해킹에서 도난당한 15억 달러를 능가하는 피해가 발생했을 수 있다. 지난 6월에는 Zcash가 개발자들이 4년간 발견되지 않았던 프라이버시 풀의 치명적인 버그(공격자가 무제한의 위조 토큰을 발행할 수 있는 버그)를 공개한 후 38% 급락했다. 이번 Aptos 공개는 업계가 치명적 결함이 악용되기 전에 이를 탐지하고 패치할 수 있는 능력을 시험하는, 점점 늘어나는 '아슬아슬한 사고' 목록에 추가된 사례다.
본 기사는 정보 제공 목적으로만 작성되었으며, 투자 조언을 구성하지 않습니다.