4일(현지시간) 더블록에 따르면, 솔라나(Solana) 블록체인에서 특정 토큰을 무제한으로 발행할 수 있는 치명적 '제로데이(zero-day)' 취약점이 발견됐지만, 솔라나재단과 밸리데이터들의 긴급 대응으로 문제는 즉시 해결됐다. 이 취약점은 4월 16일 처음 발견됐으며, 이후 2일 내로 대부분의 밸리데이터가 참여한 네트워크 업데이트를 통해 패치가 완료됐다. 솔라나재단은 패치 전까지 해당 사실을 외부에 알리지 않고, 비공개 방식으로 밸리데이터들과 조율했다.
이번 취약점은 솔라나의 토큰-2022(Token-2022) 표준 기반 기능 중 하나인 '기밀 전송(confidential transfer)'을 구동하는 ZK 엘가말(ZK ElGamal) 증명 시스템에서 발생했다. 공격자가 위조된 제로 지식 증명을 활용하면 이론상 무제한으로 토큰을 발행하거나 사용자의 계정에서 자산을 탈취할 수 있는 위험이 있었다. 해당 기능은 2023년 10월부터 솔라나에서 지원되기 시작했지만, 실제 사용 사례는 많지 않은 상태다.
일부 보도에서는 팍소스(Paxos)의 스테이블코인 USDP가 해당 기능을 사용 중이라고 전했으나, 팍소스는 이를 부인했다. 팍소스 대변인은 더블록과의 인터뷰에서 '기밀 전송 기능은 현재 팍소스가 발행한 어떤 스테이블코인에도 적용되지 않는다'고 밝혔다. 솔라나재단은 이번 보안 결함으로 인해 실질적인 자산 피해는 발생하지 않았으며, 취약점이 악용된 사례도 확인되지 않았다고 강조했다.
이번 사안은 어떤 개인이나 단체가 취약점을 최초로 발견했는지는 아직 밝혀지지 않았으며, 버그 바운티(보안 결함 신고 보상금) 지급 여부도 결정되지 않았다. 솔라나 공동창업자 아나톨리 야코벤코(Anatoly Yakovenko)는 사회관계망서비스를 통해 '이러한 대응은 이더리움의 리도(Lido) 밸리데이터들처럼 주요 참여자들이 협력한 결과'라며, 일부 비판에 대해 적극 방어했다.
