프로토콜: 모든 토큰을 소진시킬 수 있는 버그가 '수천' 개 사이트에 영향

코인데스크의 주간 암호화폐 기술 개발 주요 소식 정리, 더 프로토콜에 오신 것을 환영합니다. 저는 코인데스크 기자 마르고 닉커크입니다.

이번 호 주요 내용:

• 모든 토큰을 소진시킬 수 있는 새로운 React 버그가 '수천 개'의 웹사이트에 영향을 미치고 있습니다
• 리플, 멀티체인 확장 전략 일환으로 13억 달러 규모 RLUSD 스테이블코인을 월홀(Wormhole)을 통해 이더리움 L2로 확장
• 인터페이스 수수료가 재무부에서 이탈하면서 Aave DAO가 반발
• NFT 프로젝트 퍼지 펭귄스, 홀리데이 캠페인으로 라스베이거스 스피어 장악

네트워크 뉴스

지갑을 비울 수 있는 버그, 수천 개 웹사이트에 영향: A 중대한 취약점 in React Server Components는 여러 위협 그룹에 의해 적극적으로 악용되고 있어, 암호화폐 플랫폼을 포함한 수천 개의 웹사이트가 즉각적인 위험에 처해 있으며, 영향을 받는 경우 사용자들은 모든 자산이 탈취될 수 있습니다. 이 결함은 CVE-2025-55182로 추적되며 라는 별칭을 가지고 있습니다.React2Shell, 공격자가 인증 절차 없이 영향을 받는 서버에서 원격으로 코드를 실행할 수 있도록 허용합니다. React의 유지관리팀은 12월 3일 이 문제를 공개하고 최고 심각도 점수를 부여했습니다. 공개 직후, GTIG는 재정적 동기를 가진 범죄자들과 국가 지원 해킹 그룹으로 추정되는 집단이 클라우드 환경 전반에서 패치되지 않은 React 및 Next.js 애플리케이션을 광범위하게 공격하는 모습을 관찰했습니다. React 서버 컴포넌트는 웹 애플리케이션의 일부를 사용자 브라우저가 아닌 서버에서 직접 실행하는 데 사용됩니다. 이 취약점은 React가 서버 측 함수로 들어오는 요청을 디코딩하는 방식에서 발생합니다. 간단히 말해, 공격자는 특수하게 조작된 웹 요청을 보내 서버가 임의의 명령을 실행하게 하거나 사실상 시스템 제어권을 공격자에게 넘기도록 속일 수 있습니다. 이 버그는 React 19.0부터 19.2.0 버전까지 영향을 미치며, Next.js와 같은 인기 프레임워크에서 사용되는 패키지도 포함됩니다. 단순히 취약한 패키지가 설치되어 있는 것만으로도 공격이 가능한 경우가 많습니다.— 샤우랴 말와 더 읽기.

리플, 이더리움 L2로 진출: 지불 중심의 블록체인 기업인 리플(Ripple)은 XRP 원장XRP$1.4814과 밀접하게 연관된 미국 달러 담보 스테이블코인을 이더리움 레이어-2(L2) 블록체인인 옵티미즘(Optimism), 코인베이스 베이스(Coinbase's Base), 크라켄 잉크(Kraken's Ink), 유니스왑 유니체인(Uniswap's Unichain) 등에 도입하여 13억 달러 규모 토큰을 멀티체인 생태계에 더욱 깊이 통합하려 하고 있다. 회사는 뉴욕 금융서비스부(NYDFS)의 규제 승인에 따라 내년에 예상되는 광범위한 출시 전에 테스트 단계를 시작한다고 밝혔다. 이 시범사업은 랩핑(wrapping)이나 합성자산 없이 RLUSD가 체인 간에 네이티브로 이동할 수 있도록 하는 워름홀(Wormhole)의 네이티브 토큰 전송(NTT) 표준을 통합한다. 이는 유동성과 규제 통제를 유지하면서 속도와 비용 절감에 최적화된 네트워크 전반에서 다양한 탈중앙화 금융(DeFi) 활용 사례를 지원하는 데 기여한다. 스테이블코인은 전통 금융과 암호화폐 경제를 연결하는 디지털 금융 인프라 핵심 요소로 빠르게 성장하고 있다. 이들은 미국 달러와 같은 법정화폐에 연동된 가격을 가지며 약 3,000억 달러 규모의 암호화폐 클래스다. — 크리스티안 샌도르 더 읽기.

AAVE 프로토콜 인터페이스 논쟁 심화: Aave의 DAO 내부에서 프로토콜 인터페이스를 누가 통제하며, 그로부터 누가 재정적 혜택을 받는지에 대한 논쟁이 일고 있습니다. 이 문제는 Aave Labs가 이달 초 앱.aave.com 인터페이스에 탈중앙화 거래소 집계기 CoWSwap을 통합하면서 표면화되었으며, 이는 이전에 담보 스왑에 사용되던 Paraswap 라우팅을 대체한 것입니다. 이번 변경은 개선된 실행 능력과 MEV 보호를 제공하는 사용자 경험 향상으로 소개되었으나, 이후 대표자들은 스왑 관련 수수료가 더 이상 Aave DAO 금고로 흘러가지 않는다는 사실을 지적했습니다. An 공개 서한 Orbit 대표 EzR3aL은 통합이 DAO가 아닌 외부 수취인에게 약 15~25 베이시스 포인트 수준의 프런트엔드 수수료를 도입했다고 주장했습니다. 게시물에 인용된 온체인 데이터는 CoWSwap의 파트너 수수료 메커니즘과 연계된 이더의 주간 분배 내역을 여러 네트워크에 걸쳐 보여줬으며, 이 금액은 연간 수백만 달러에 이를 가능성이 있습니다. 이후 라우팅이 CoWSwap의 배치 경매 모델로 전환되면서 잉여금은 감소했는데, 이 모델은 가격 개선보다 실행 확실성을 우선시합니다. 그러나 논쟁의 핵심에는 Aave Labs가 항상 존재해왔다고 말하는 구분이 있습니다: 프로토콜 대 제품. 포럼 답글, Aave Labs는 해당 인터페이스가 DAO가 관리하는 프로토콜과는 별도로 독립적으로 운영, 자금 조달 및 유지 관리되고 있다고 밝혔습니다. 이 모델 하에서 DAO는 온체인 파라미터, 이자율 및 프로토콜 수준 수수료를 통제하는 반면, Labs는 스왑 라우팅 및 인터페이스 수익화와 같은 선택적 애플리케이션 수준 기능에 대한 재량권을 유지합니다. Aave Labs는 “모든 수익화는 부가 기능에만 적용된다”고 밝히며, 이러한 분리가 프로토콜의 중립성을 보존하고 기본 계층에서 경제적 통제의 중앙집중화를 방지한다고 주장했습니다. 그러나 비평가들은 실제 상황이 다르다고 말합니다. Aave Chan Initiative(ACI)의 마크 젤러는 스왑 잉여와 플래시 론 지원 실행을 포함한 aave.com 프론트엔드와 연계된 수익화가 토큰 보유자들이 자금을 지원한 브랜드, 거버넌스 합법성 및 많은 기본 개발을 고려할 때 DAO에 이익이 될 것이라는 장기적인 기대가 있었다고 언급했습니다. — 샤우랴 말와 더 읽기.

퍼지 펭귄, 베가스를 장악하다: 2021년 암호화폐 열풍 속에서 돌풍을 일으킨 대체 불가능 토큰(NFT) 프로젝트였던 푸지 펭귄스(Pudgy Penguins)가 크리스마스 주간 라스베이거스 스피어에서 고급 광고를 통해 현실 세계에서의 가시성을 높이고 있습니다. 스피어는 U2, 이글스(Eagles) 등 유명 아티스트들의 몰입형 공연과 거대한 LED 디스플레이로 잘 알려진 대형 공연장으로, 암호화폐 관련 브랜드 중 극소수만이 이곳에 광고 공간을 확보했습니다. A 비트코인 중심 활성화는 7월에 진행되었으나, 다른 사례들은 드물었습니다. Pudgy Penguins의 광고는 12월 24일부터 여러 날 동안 방영될 예정이며, 계약에 정통한 한 관계자에 따르면 여러 애니메이션 세그먼트가 포함될 것입니다. 이 브랜드는 해당 광고 게재에 약 50만 달러를 지출했으며, 이는 Sphere에서의 방영 기준으로 표준적인 금액입니다. Pudgy Penguins의 전략 및 브랜드 책임자인 Vedant Mangaldas는 CoinDesk와의 인터뷰에서 “암호화폐 프로젝트가 암호화폐 영역을 넘어 일상 소비자의 마음과 정신에 영향을 미칠 수 있음을 보여주는 것”이라고 말했습니다. 그는 이번 계약이 ‘실제 사업’을 기반으로 했기에 성사될 수 있었다고 덧붙였습니다. – 헬렌 브라운 더 읽기.

기타 소식

• Securitize는 전통 시장과 Web3 인프라의 경계를 허무는, 2026년 초에 실제 공기업 주식을 위한 최초의 완전 규정 준수 온체인 거래 플랫폼을 제공할 예정입니다. 이 회사의 시스템은 투자자들이 온체인에 발행 및 기록된 공기업의 토큰화된 주식을 직접 소유하고, 블록체인 기반 인터페이스를 통해 거래할 수 있도록 합니다. 발표에 따르면. 오프쇼어 법인이나 파생상품을 통해 주가를 추적하는 합성 토큰 모델과 달리, Securitize의 접근법은 완전한 법적 소유권을 제공합니다. 각 주식은 회사 자체에서 발행되며 공식 자본 테이블에 기록된다고 회사는 밝혔습니다. “이는 합성 가격 추적기나 수탁자에 대한 IOU가 아닙니다,”라고 Securitize는 발표문에서 밝혔습니다. “이들은 실제 규제된 주식으로서 온체인에서 발행되고, 발행자의 자본 테이블에 직접 기록되며, 익숙한 Web3 스왑 스타일 경험을 통해 거래가 가능합니다.” 이는 토큰 보유자가 배당금 및 의결권을 포함한 진정한 주주 권리를 갖는다는 의미이며, 그들의 자산은 중개인 없이 자체 보관하에 있으며, 중간자에 의해 주식이 재담보 설정되지 않습니다. 그럼에도 불구하고 자산은 허가된 형태이며, 준수하는 화이트리스트 지갑 간에만 이전될 수 있습니다. — 프란체스코 로드리게스 더 읽기.
• 신용카드 대기업 비자(V)는 미국 내에서 USDC 정산 서비스를 출시하여, 발행사와 인수사 파트너들이 서클(Circle)의 달러 연동 스테이블코인으로 카드 네트워크에 대한 의무를 정산할 수 있도록 한다고 비자 보도자료에서 밝혔다. 이번 조치는 11월 30일 기준 연 환산 35억 달러 규모에 이른 스테이블코인 정산 프로그램의 미국 내 단계 진입을 의미한다. 이번 신규 옵션은 은행과 핀테크 업체에 거의 즉각적인 자금 이동, 주 7일 정산, 주말 및 공휴일 동안 더욱 예측 가능한 유동성을 제공하는 한편, 소비자 카드 사용 경험은 변화시키지 않는 것을 목표로 한다. — 캐니는 할 것인가 더 읽기.

규제 및 정책

• 미국 상원의원 엘리자베스 워런이 미국 국가 안보 추가 조사를 요청했다 암호화폐 부문의 한 구석으로 몰아넣으며, 도널드 트럼프 대통령과 연관된 World Liberty Financial Inc.가 발행한 코인을 증폭시키려 한다고 지적한 탈중앙화 거래소 PancakeSwap에 대한 우려를 명시했습니다. 그녀는 거래소, 여러 블록체인에서 운영되며 바이낸스 체인의 주요 프로토콜인 이 서비스는 트럼프 행정부가 집행 결정에 부당한 정치적 영향력을 행사했는지에 대한 연관성을 검토해야 한다고, 워렌은 월요일 재무장관 스콧 베센트와 법무장관 팸 본디에게 보낸 서한에서 요청하며 이와 관련된 를 반영했습니다.지난달 그녀가 참여한 유사한 요청 WLFI에 관하여. “의회가 테러리스트, 범죄자, 불량 국가들이 분산형 금융(DeFi)을 이용해 활동 자금을 조달하는 것을 방지하기 위한 규칙을 포함한 암호화폐 시장 구조 법안을 검토하는 가운데, 이러한 위험을 진지하게 조사하고 있는지 이해하는 것이 매우 중요하다”고 해당 법안을 검토하고 의회 전체가 투표하기 전에 승인해야 하는 상원 은행위원회 민주당 간판 의원인 워렌이 썼다. — 제시 해밀턴 더 읽기.
• 미국 연방예금보험공사(FDIC)가 첫 번째 공식 규칙 제안 새로운 법률에 따른 스테이블코인 발행업체에 관한 법률에서 기인한 것으로, 이사회는 자회사에서 스테이블코인을 발행하려는 규제 은행들의 신청을 처리하는 시스템에 대해 60일간의 공개 의견 수렴 기간을 열기로 투표했습니다. 이 기관은 임시 의장인 트래비스 힐이 이끌고 있으며, 그는 도널드 트럼프 대통령이 영구 의석 후보로 지명한 인물입니다. 기관은 의견을 수집하고 검토한 후 최종 규칙을 발표할 예정입니다. 화요일 제안, 축소된 이사회 세 명의 전원 승인으로, 신청서 접수 절차를 수립하고 120일 승인 기간 내 검토하며 거절된 신청자들을 위한 항소 절차를 제공하게 됩니다. "해당 제안에 따르면, FDIC는 맞춤형 신청 절차를 채택하여 법적 요소에 근거해 신청자의 제안 활동의 안전성과 건전성을 평가하는 동시에 신청자에 대한 규제 부담을 최소화할 것입니다," 힐이 말했다, 상원의회가 최대한 이번 주에 임명을 확정할 수 있는 인물. 미국 스테이블코인 혁신 지도 및 설립법(GENIUS 법안)은 의회에서 승인된 최초의 주요 암호화폐 법안으로, 디지털 자산 부문 거래에 필수적인 달러 연동 토큰인 스테이블코인을 발행하고자 하는 기업들을 위한 복잡한 규제 체계를 마련했다. 보험 가입 예금기관의 경우, FDIC가 지정된 규제 당국이다. — 제시 해밀턴 더 읽기.

캘린더

• 2026년 2월 10-12일: 컨센서스, 홍콩
• 2026년 2월 17일-21일: EthDenver, 덴버
• 2026년 3월 30일~4월 2일: EthCC, 칸
• 2026년 4월 15-16일: 파리 블록체인 위크, 파리
• 2026년 5월 5일-7일: 컨센서스, 마이애미