지캐시 버그가 풀 노드 IP 차폐 주소를 노출할 수도

지캐시(ZEC) 실행과 포크(fork) 과정에서 발생하는 버그는 차폐 주소(zaddr) IP를 갖는 풀 노드 포함 메타데이터를 누출할 수 있다고 한다.

코모도(KMD)의 코어 개발자 듀크 레토(Duke Leto)는 자신의 개인 웹사이트에 게재한 포스팅에서 그러한 버그를 공개했다. 27일 해당 문제를 추적하기 위한 CVE((Common Vulnerabilities and Exposures) 코드가 이미 할당됐다. 레토는 이를 다음과 같이 설명하고 있다.

"지캐시와 지캐시 프로토콜이 처음 생겨날 당시부터 모든 차폐 주소에 버그가 있었다. 버그는 모든 지캐시 소스코드 포크에 존재한다. 차폐 주소(zaddr)를 갖는 풀 노드 IP 주소를 찾아내는 것은 얼마든지 가능하다. 즉 앨리스가 밥에게 페이먼트 대가로서 zaddr를 제공할 때 밥은 앨리스의 IP 주소를 알아낼 수 있다. 이는 지캐시 프로토콜 설계 의도에는 전적으로 반하는 것이다."

이 발표와 관련하여 zaddr를 공개했거나 이를 제 3자에게 제공했던 사람들은 모두 그러한 취약성에 노출될 가능성이 있다. 레토는 사용자들이 zaddr와 연관된 IP 주소나 지오로케이션 정보를 반드시 감안해야 한다고 말했다.

다수의 암호화폐들이 영향 받아

레토의 설명에 따르면 zaddr를 다른 방식으로는 한 번도 사용하지 않고 토르 어니언 라우팅(Tor Onion Routing) 네트워크에서만 사용했거나 송금 목적으로만 사용한 사용자들은 일체의 영향을 받지 않을 것이라고 한다. 그는 또한 지캐시가 영향을 받은 유일한 암호화폐는 아니며 영향을 받은 다른 화폐들도 상당히 많다고 밝혔다.

지캐시 외에도  허시(Hush), 파이어레이트(Pirate), 코모도(Komodo) 스마트 체인 등과 세이프코인(Safecoin), 호라이즌(Horizen), 제로(Zero), 보트코인(VoteCoin), 스노우젬(Snowgem), 비트코인Z(BitcoinZ), 라이트코인Z(LitecoinZ), 젤캐시(Zelcash), Y캐시(Ycash), 애로우(Arrow), 비러스(Verus), 비트코인 프라이비트(Bitcoin Private), Z클래식(ZClassic), 아논(Anon) 등이 같은 부류에 속한다. 레토는 코모도 같은 경우 이미 차폐 주소 기능을 차단하고 파이어레이트 코인으로 전환했으며 따라서 KMD에는 더 이상 버그가 존재하지 않는다고 설명했다.

코인텔레그래프가 최근 보도했듯이 프라이버시 코인 지캐시를 개발 지원하는 일렉트릭 코인 컴퍼니(Electric Coin Company)는 최근에 신뢰를 요하지 않는(trustless) 암호화폐 시스템인 헤일로(Halo)에 대한 보고서를 발행했다고 한다.