대부분의 암호화폐 익스플로잇은 이미 누군가의 소유인 코인을 겨냥합니다. 최근 패치된 P2Pool의 취약점은 달랐습니다. 인기 있는 모네로 채굴풀인 P2Pool은 누구의 기존 지갑도 건드리지 않았습니다. 대신 신선하게 채굴된 코인, 즉 생성되는 바로 그 순간 분배되는 블록 보상을 노렸습니다.
작동 방식은 이렇습니다. 공격자가 예를 들어 봇넷을 통해 P2Pool에 연결된 충분한 수의 노드를 운영할 수 있다면, 블록 보상의 상당 부분을 자신에게 돌릴 수 있었고, 심지어 최대 100%까지도 가능했습니다.
P2Pool은 어떤 불명확한 풀이 아닙니다. 모네로를 채굴하는 가장 인기 있는 방식 중 하나로, 모네로 생태계에서는 거의 표준이라 할 수 있습니다. 중앙 서버가 작업을 할당하거나 보상을 분배하지 않기 때문에 채굴자들이 선호합니다. 모든 참여자가 독립적으로 참여하고 보상은 자동으로 분배됩니다. 그런데 그 자동화된 보상 분배 메커니즘이 조작될 수 있다는 것이 드러났습니다.
요즘 암호화폐 해킹은 도처에 있고 공격자들은 가장 예상치 못한 약점을 계속 찾아냅니다. 하지만 코인이 유통되는 바로 그 순간을 노려 훔치는 방식은? 저는 이전에 그런 경우를 본 적이 없습니다.
다행인 점은 이 취약점이 전체 모네로 네트워크에 심각한 위협을 가한 것으로 보이지 않는다는 것입니다. 이론적으로 채굴이 비수익화되어 채굴자들이 노드를 종료하기 시작하면 간접적인 결과가 있을 수 있었습니다. 하지만 작년 Qubic 채굴풀 문제로 인해 일부 서비스가 XMR을 받기 전에 수백 건의 확인을 요구하게 되었을 때와 달리 지금은 그런 일이 일어나지 않고 있습니다.
At Rabbit.io, we are still processing XMR swaps into other cryptocurrencies after 10-25 confirmations, depending on the exchange route.
