한 보안 연구원이 코스모스 생태계의 합의 엔진인 CometBFT에서 네트워크 전체의 운영 중단을 초래할 수 있는 심각한 제로데이 취약점을 공개했습니다. 연구원은 프로젝트 개발자와의 소통 부재를 공개 이유로 들었으며, 이에 따라 코스모스 생태계의 수십 개 체인들은 취약점이 악용되기 전에 패치를 적용해야 하는 압박을 받게 되었습니다.
뒤로
뒤로
제로데이 취약점 공개로 코스모스 허브 네트워크 위험 직면
코스모스 생태계를 뒷받침하는 합의 엔진에서 발견된 심각한 취약점이 보안 연구원에 의해 공개되면서, 수십 개의 상호 연결된 블록체인의 운영을 중단시킬 수 있는 새로운 공격 벡터가 생성되었습니다.
보안 연구원 박도연(Doyeon Park)은 소셜 미디어 플랫폼 X를 통해 취약점의 세부 내용을 공개하며, "이것은 네트워크의 모든 노드를 정지시킬 수 있는 고위험(CVSS 7.1) 취약점이다"라고 밝혔습니다. 박 연구원은 공표 이유로 프로젝트 관리자들과의 조율된 취약점 공개 프로세스 과정에서의 소통 부재를 언급했으나, CometBFT 팀은 아직 이에 대해 공개적인 입장을 밝히지 않았습니다.
이 제로데이 취약점은 과거 텐더민트 코어(Tendermint Core)로 알려졌던 합의 및 네트워킹 계층인 CometBFT에 존재하며, 이는 코스모스 소프트웨어 개발 키트(SDK)로 구축된 대다수의 체인에서 사용됩니다. 박 연구원의 공개 내용에 따르면, 악의적인 행위자가 블록 동기화 중에 이 버그를 유발하여 노드를 충돌시키고 사실상 네트워크를 중단시킬 수 있습니다. 이 취약점이 자산 도난을 직접적으로 가능하게 하지는 않지만, 장기적인 네트워크 중단은 코스모스 허브와 그 네이티브 토큰인 ATOM을 포함하여 해당 기술에 의존하는 프로젝트에 심각한 재무적 및 평판적 결과를 초래할 수 있습니다.
이번 공개는 핵심 인프라 패치 책임이 여러 독립적인 팀에 분산되어 있는 탈중앙화 소프트웨어 세계의 지속적인 과제를 강조합니다. 이 사건은 시스코의 SD-WAN 인프라와 마이크로소프트의 디펜더 소프트웨어에 영향을 미친 최근의 제로데이 사례들과 유사하며, 이는 조직들이 신속하게 수정을 적용해야 하는 압박을 주고 있습니다. 코스모스 생태계의 경우, 공격자들이 공개된 정보를 무기화하기 전에 개별 체인 운영자들이 패치를 적용하기 위한 시간 싸움이 시작되었습니다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
[1] CISA, 새로운 SD-WAN 취약점이 공격에 악용되고 있다고 경고[2] 윈도우에서 악용된 마이크로소프트 디펜더 취약점, 두 건은 여전히 미패치 상태[3] 2026년 현재까지의 유출 목록: FBI 해킹, 안드로이드 10억 대 위험, 아이폰 2억 7천만 대 취약[4] 기업의 자연 리스크가 삼림 벌채보다 훨씬 큰 이유[5] 코인베이스 자문위원회, 양자 컴퓨팅 위협이 다가오고 있으며 암호화폐 계획이 필요하다고 언급[6] 북한의 암호화폐 탈취 수법 확대 및 지속적인 DeFi 공격[7] 단어가 정의되지 않았기 때문에 '사회주의는 실패했다'가 프로파간다로 작동하는 이유