Batch 수정안의 서명 검증 취약점은 투표 단계에서 발견되어 메인넷에 도달하지 못했습니다. 그러나 악용 경로는 검증자가 즉시 투표를 거부할 정도로 심각했습니다.
2026년 2월 27일 오전 10시 32분
자율 AI 보안 도구는 XRP 원장의 버그를 포착했습니다. 이 버그는 탐지되지 않은 채 방치되면 공격자가 피해자의 개인 키를 건드리지 않고도 네트워크의 모든 계정에서 자금을 훔칠 수 있었습니다.
취약점, 목요일 XRPL Labs에서 공개여러 트랜잭션을 묶어서 함께 실행할 수 있는 보류 중인 업그레이드인 배치 수정안의 서명 유효성 검사 논리에 있었습니다.
개정안은 여전히 검증자들 사이에서 투표 단계에 있었고 메인넷에서는 활성화되지 않았습니다. 이는 어떤 자금도 위험에 처해 있지 않다는 것을 의미합니다. 그러나 공격 경로는 블록체인만큼 나빴습니다.
버그가 간단히 말해서 무엇을 했는지는 다음과 같습니다. 일괄 트랜잭션을 통해 사용자는 여러 작업을 하나로 묶을 수 있습니다. 배치 내의 개별 트랜잭션에는 자체 서명이 없기 때문에 시스템은 배치 서명자 목록을 사용하여 관련된 모든 계정이 번들을 승인했는지 확인합니다.
해당 서명자를 확인하는 유효성 검사 기능에 심각한 루프 오류가 있습니다. 원장에 계정이 아직 존재하지 않고 서명 키가 자신의 계정(새로운 계정의 일반적인 경우)과 일치하는 서명자를 발견하면 즉시 전체 확인이 성공했다고 선언하고 나머지 목록 조회를 중단합니다.
공격자는 세 개의 트랜잭션이 포함된 배치를 구성하여 이를 악용할 수 있습니다. 첫 번째는 공격자가 제어하는 새 계정을 만듭니다. 두 번째는 새 계정의 간단한 거래이므로 서명자가 필요합니다. 세 번째는 피해자의 계좌에서 공격자에게 지급되는 금액이다.
유효성 검사가 실행될 때 새 계정이 아직 존재하지 않기 때문에 서명자 확인은 첫 번째 항목 이후 일찍 종료되고 두 번째 항목을 확인하지 않습니다. 피해자의 자금은 키가 개입되지 않은 채 이동됩니다.
Pranamya Keshkamat와 Cantina AI의 자율 보안 도구 Apex는 2월 19일 코드베이스의 정적 분석을 통해 결함을 식별하고 책임 있는 공개를 제출했습니다. Ripple의 엔지니어링 팀은 같은 날 저녁 독립적인 개념 증명을 통해 보고서를 검증했습니다.
응답은 빨랐습니다. 네트워크의 고유 노드 목록에 있는 검증인은 수정안에 대해 “아니요” 투표를 즉시 권고 받았습니다.
3.1.1의 긴급 릴리스가 2월 23일에 게시되어 Batch 및 관련 fixBatchInnerSigs 수정 사항이 모두 활성화되지 않도록 지원되지 않는 것으로 표시되었습니다. BatchV1_1이라는 수정된 대체품이 구축되어 검토 중이며 출시 날짜가 설정되지 않았습니다.
AI 도구가 이를 발견했다는 사실은 그 자체로 주목할 만하다.
XRPL Labs는 앞으로 검토 프로세스의 표준 단계로 AI 지원 코드 감사 파이프라인을 추가할 것이며, 이 버그를 야기한 조기 루프 종료를 포착하기 위해 특별히 설계된 확장된 정적 분석도 추가할 것이라고 밝혔습니다.
당신을 위한 더 많은 것
Vitalik Buterin은 Ethereum의 확장 문제를 해결하기 위한 대담한 새로운 계획을 공개합니다.
새 게시물은 생태계의 확장 전략의 대부분이 레이어 2 롤업에 집중된 몇 년 후 이더리움의 기본 레이어 확장에 대한 Buterin의 새로운 초점을 반영합니다.
알아야 할 사항:
- 이더리움 공동 창업자인 비탈릭 부테린(Vitalik Buterin)은 이더리움의 단기 용량을 늘리는 동시에 고급 암호화 및 데이터 집약적인 “블롭(blob)”으로의 장기적인 전환을 준비하는 새로운 확장 로드맵을 설명했습니다.
- 단기적으로 “Glamsterdam” 및 “ePBS”와 같은 향후 업그레이드는 노드가 블록을 보다 효율적으로 확인하고 각 12초 슬롯을 더 많이 사용할 수 있도록 하여 이더리움이 각 블록에 더 많은 트랜잭션을 안전하게 넣을 수 있도록 하는 것을 목표로 합니다.
- 장기적으로 Buterin은 이더리움을 자금이 넉넉한 대규모 운영자만이 실행할 수 있는 네트워크로 전환하지 않고 처리량을 늘리기 위해 영지식 증명 및 Blob에 더 많이 의존하여 영구 데이터 저장소를 더 비싸게 만들 것을 제안합니다.
