XRP 레저의 배치 개정안(XLS-56)에서 권한 없는 주체가 원장 변경을 유도할 수 있는 논리 버그가 투표 단계에서 발견돼, 메인넷 활성화 전 패치로 차단됐다고 전했다.
실제 피해 정황은 없었지만 기술 리스크만으로도 단기 변동성이 커질 수 있으며, 가격은 1.35달러 방어 여부가 관건이라고 밝혔다.
XRP 레저 ‘배치’ 개정안서 치명적 논리 버그…메인넷 활성화 전 차단됐다 / TokenPost.ai
엑스알피(XRP) 레저(XRP Ledger)에서 메인넷 적용 전 ‘치명적’ 논리 버그가 발견돼, 자칫하면 원장 상태를 흔들 수 있었던 위험이 사전 차단됐다. 다만 취약점 자체가 활성화되기 직전에 포착된 만큼, 시장은 기술 리스크 뉴스에 단기적으로 흔들릴 여지는 남아 있다는 평가다.
이번에 문제가 된 부분은 엑스알피 레저의 ‘배치(Batch)’ 개정안(XLS-56)이다. 연구진은 여러 거래를 묶어 처리하는 배치 트랜잭션 구조에서, 특정 조건이 충족될 경우 공격자가 ‘그룹화된 거래’를 의도대로 조작할 수 있는 결함을 확인했다고 밝혔다. 핵심 원인은 배치 루프 내부에서 거래 서명자(signer) 검증이 이뤄지는 방식에 있었다. 최악의 시나리오에서는 권한이 없는 주체가 원장에 ‘승인되지 않은 변경’을 반영할 수 있는 길이 열릴 수 있었다는 설명이다.
다만 이번 결함은 ‘투표 단계’에서 발견됐고, 개정안은 메인넷에서 활성화되지 않았다. 즉 실제 네트워크에서 자금이 위험에 노출되거나 자산이 유출된 정황은 없었다. 개발진이 패치를 서둘러 적용하면서, 리플드(Rippled) 3.1.1 릴리스에서 배치 개정안을 ‘미지원(unsupported)’으로 표시해 활성화 가능성을 원천 차단했다. 현재는 권한 부여(authorization) 체크를 더 촘촘히 하는 ‘근본적 수정안’이 별도 검토 절차에 올라가 있는 것으로 전해졌다.