SlowMist 분석가들은 일일 거래량 37억 달러 규모의 거래소에서 취약점이 발견되었다고 경고했습니다.

블록체인 보안 업체 슬로우미스트는 두 개의 암호화폐 거래소에서 자금 보안에 영향을 미치는 심각한 취약점을dent했다고 밝혔습니다. 

SlowMist의 설립자이자 Evilcos라는 필명을 사용하는 인물은 무응답에 대해 불만을 표명했습니다. 

그는 X에 "알 수 없는 거래소는 정말 신뢰할 수 없다"고 썼습니다. "우리 보안팀은 두 거래소에서 심각한 취약점(자금 보안에 직접적인 영향을 미치는)을 발견했지만, 아무에게도 연락이 닿지 않았고, 공개적으로 언급해도 아무런 답변을 받지 못했습니다."

해당 거래소들은 상당한 일일 거래량을 처리하는데, 한 거래소는 24시간 거래량이 37억 달러에 달하고, 다른 거래소는 약 2억 4천만 달러를 처리한다고 Evilcos는 밝혔습니다.

정보 공개 시도 거부됨

SlowMist는 12월 16일과 12월 17일에 각각 세이셸에 등록된 거래소 Azbit 와 터키 거래소 ICRYPEX Global . 또한, 일반적인 책임 있는 정보 공개 절차에 따라 다이렉트 메시지와 공개 게시물을 통해 두 플랫폼에 연락을 시도했지만, 아무런 답변을 받지 못했다고 밝혔습니다.

2018년에 설립되어 유럽 연합 2개국에서 가상 자산 서비스 제공업체 라이선스를 보유한 ICRYPEX는 30개국 이상에서 수백만 명의 사용자에게 서비스를 제공하고 있다고 밝혔습니다.

Azbit은 2019년 말에 설립되어 세이셸에서 운영되고 있습니다. 그러나 올해 초 세이셸 규제 당국은 "Azbit은 가상자산 서비스 제공업체법(2024)에 따라 운영할 수 있는 허가를 받은 적이 없으며, 단지 국제사업회사법(IBC)에 따라 설립된 국제사업회사일 뿐"이라고 밝혔습니다.

연락이 닿지 않자 SlowMist는 이례적으로 문제 해결 전에 취약점 발견 사실을 공개했는데, 이는 다소 우려스러운 조치이지만 관련 거래소들이 이미 해당 문제 해결에 착수했을 것으로 추정됩니다. 

하지만 슬로우미스트의 조사 결과를 공개적으로 발표하거나 인정하는 것은 고객들의 불안감을 해소하는 데 큰 도움이 될 것입니다.

업계 전반의 보안 문제

이번dent 암호화폐 업계 전반에 걸쳐 지속되는 보안 문제들을 배경으로 발생했습니다. 슬로우미스트(SlowMist)의 2024년 연례 보안 보고서에 따르면 410건의 보안dent로 20억 1,300만 달러 이상의 손실이 발생했습니다.

사이버 보안 회사인 CertiK는 에 이어 유형별 손실액 순위에서 2위를 차지했다고 밝혔습니다DeFi.

모범 사례에서는 암호화폐 개발자가 보안 문제를 보고할 수 있는 연락처를 마련하고, 안전한 통신을 위해 장기 공개 키를 관리하는 것을 권장합니다.

거래소들이 먼저 연락을 취할까요?

SlowMist가 연락을 시도했지만 아무런 응답을 받지 못한 경험은 드문 일이 아니지만, 상당한 사용자 기반을 가진 기존 거래소조차도 중요한 보안 정보를 수신할 적절한 채널이 부족할 수 있음을 보여줍니다.

이는 암호화폐 거래소가 취약점 공개에 신속하게 대응할 준비가 되어 있는지에 대한 의문을 제기합니다.

SlowMist는 Binance, OKX, HTX, Crypto.com 등 주요 거래소와 협력해 왔으며, 이를 통해 보안 평가의 신뢰성을 높이고 발견된 취약점을 해결해 왔습니다.

지난달, Cryptopolitan 했으며 , 문제 해결 방안에 대한 권고 사항도 제시했다고 보도했습니다. 

책임 있는 정보 공개에 대한 업계 지침은 일반적으로 영향을 받는 당사자가 최초 연락 후 영업일 기준 이틀 이내에 응답할 것을 권장합니다. 여러 차례 시도에도 응답이 없을 경우, 특히 자금이 관련된 경우 보안 연구원들은 투명성을 확보하기 위해 해당 사안을 공개적으로 발표하는 경우가 많습니다.

본 기사가 발행될 시점까지 ICRYPEX와 Azbit 모두 보안 경고에 대해 어떠한 답변도 하지 않았으며, 해당 취약점에 대한 공식적인 입장도 발표하지 않았습니다.