新聞 
幣種資訊 
關於我們 
「포옴캐시(Foom Cash)」는 「제로지식증명(ZK)」 기반의 익명 복권 프로토콜을 내세웠지만, 배포 과정에서 발생한 단 한 번의 절차 누락이 결국 226만 달러 규모의 「익스플로잇」로 이어졌다. 다만 「화이트햇 해커」가 취약점을 먼저 포착해 자금을 선제적으로 확보하면서 피해 대부분이 회수됐고, 웹3 보안 현장에서 ‘윤리적 해커’의 역할이 다시 주목받고 있다.
포옴캐시는 3日(현지시간) X(구 트위터)를 통해 이번 공격으로 탈취된 자금 중 184만 달러, 전체의 81%를 되찾았다고 밝혔다. 포옴캐시에 따르면 가명 화이트햇 해커 「두하(Duha)」가 취약점을 먼저 찾아 「베이스(Base)」 체인에서 자금을 선제적으로 확보했으며, 「이더리움(ETH)」 네트워크에서의 회수 작업은 보안 업체 「디큐리티(Decurity)」가 맡았다.
이번 사건과 관련해 포옴캐시는 두하에게 「버그바운티」로 32만 달러를 지급했고, 디큐리티에는 보안 수수료로 10만 달러를 지급했다. 두하는 X를 통해 “@foomclub_가 버그바운티 정책을 존중한 것은 프로토콜 보안을 진지하게 여기고, 이를 돕는 연구자들을 가치 있게 평가한다는 점을 보여준다”는 취지로 언급했다.
공격의 직접적인 원인은 ‘페이즈2(Phase 2) 트러스티드 셋업’ 과정에서 「커맨드라인 인터페이스(CLI)」 단계가 누락된 배포 오류였다. 포옴캐시는 Groth16 기반 증명 생성 과정에서 snarkjs의 회로별(contribution) 설정을 건너뛰면, 파라미터 「감마(γ)」와 「델타(δ)」가 기본값으로 동일하게 남을 수 있다고 설명했다.
이 상태가 치명적이었던 이유는, 프로토콜이 결과적으로 「위조된 증명」을 받아들이는 통로가 열렸기 때문이다. 포옴캐시는 플레이스홀더가 랜덤화되지 않은 채 남아 공격자가 이를 악용할 수 있었다는 취지로 원인을 밝혔다. 즉 스마트컨트랙트 코드 자체의 결함이라기보다, 배포·검증 파이프라인에서 발생한 ‘단 한 번의 누락’이 대형 피해로 증폭된 사례로 해석된다. 배포 절차가 보안의 일부라는 점이 그대로 드러난 셈이다.
한편, 화이트햇의 선제적 개입은 최근 「디파이(DeFi)」 보안 사고에서 점점 더 흔해지고 있다. 공격자가 탈취 자금을 신속히 다른 체인으로 「브리지」하거나 프라이버시 도구로 옮기기 전에, 윤리적 해커가 취약점을 먼저 찾아 자금을 ‘격리’하는 방식이 실질적인 효과를 내고 있어서다.
업계에서는 2023년 8월, 패러다임(Paradigm) 리서처 샘크즈선(Samczsun)이 설립한 윤리적 해커 연합 「SEAL(Security Alliance)」을 대표 사례로 꼽는다. 보도에 따르면 SEAL은 출범 첫해에만 900건이 넘는 해킹 관련 조사에 관여한 것으로 전해졌다.
이 같은 흐름은 대형 해킹이 반복되는 시장 환경과도 맞물려 있다. 2024년 인도 암호화폐 거래소 와지르엑스(WazirX)에서 2억 3,000만 달러 이상이 탈취된 사건 이후, 생태계 전반의 대응 체계를 강화해야 한다는 요구가 커졌다. 또한 올해 2월 10일에는 「이더리움 재단」이 SEAL과 함께 ‘트릴리언 달러 시큐리티(Trillion Dollar Security)’ 이니셔티브를 출범시키며, 「지갑 드레이너」 대응을 강화하겠다고 밝힌 바 있다.
이번 포옴캐시 사례는 웹3 보안이 단순한 ‘사후 복구’에 그치지 않고, 「사전 차단」과 운영 단계의 통제까지 포함해야 한다는 점을 재확인시켰다. 프로토콜 설계가 복잡해질수록 배포 절차, 검증 단계, 보안 인센티브 구조를 하나의 묶음으로 점검해야 하며, 「버그바운티」와 「화이트햇 해커」 네트워크의 중요성도 한층 커질 전망이다.
留言 0