GHSA-QR2G-P6Q7-W82M: GHSA-qr2g-p6q7-w82m: Coinbase x402 SDK (Solana)에서 중요한 결제 검증 우회
발행: (2026년 3월 7일 PM 08:10 GMT+9)
4 분 소요
원문: Dev.to
Source: Dev.to
취약점 개요
취약점 ID: GHSA-QR2G-P6Q7-W82M
CVSS 점수: 9.9 (Critical)
공개일: 2026-03-07
Coinbase x402 SDK의 Solana (SVM) 결제 검증에 심각한 취약점이 존재합니다. 이 결함은 자동 HTTP 402 결제를 검증하는 중개자 역할을 하는 facilitator 컴포넌트에 위치합니다. Solana 구현에서 Ed25519 암호 서명을 올바르게 검증하지 않아 공격자가 결제 요구 사항을 우회할 수 있게 되며, 블록체인에 거래를 정산하지 않고도 유료 API, 컴퓨팅 리소스 또는 디지털 상품에 무단으로 접근할 수 있습니다. 이 취약점은 @x402/svm npm 패키지, x402 PyPI 패키지 및 Go SDK에 영향을 미칩니다.
TL;DR
Coinbase x402 SDK의 Solana 결제 검증 로직에 치명적인 결함이 있습니다. 공격자는 결제 서명을 위조하여 프로토콜을 사용하는 API 및 서비스에 대한 수수료를 회피할 수 있습니다. 영향을 받는 버전은 다음과 같습니다:
- npm: < 2.6.0
- Python: < 2.3.0
- Go: < 2.5.0
모든 facilitator는 즉시 업그레이드가 필요합니다.
Exploit Status
⚠️ POC Available
기술 세부 정보
- CWE ID: CWE‑347
- 공격 벡터: 네트워크
- 영향받는 프로토콜: Solana (SVM)
- 패치 날짜: 2026-03-07
영향을 받는 시스템
@x402/svm을 사용하는 Node.js 애플리케이션x402를 사용하는 Python 애플리케이션github.com/coinbase/x402/go를 사용하는 Go 애플리케이션
| 구성 요소 | 영향을 받는 버전 | 수정된 버전 |
|---|---|---|
@x402/svm (npm) | < 2.6.0 | 2.6.0 |
x402 (PyPI) | < 2.3.0 | 2.3.0 |
github.com/coinbase/x402/go | < 2.5.0 | 2.5.0 |
완화 전략
- 모든 x402 SDK 구성 요소를 최신 패치 버전으로 즉시 업그레이드합니다.
- 단일 IP에서 온 체인 거래량에 대응되지 않는 반복 서명이나 대량 요청과 같은 의심스러운 활동에 대해 접근 로그를 검토합니다.
- 즉시 패치를 적용할 수 없는 경우, Solana (SVM) 결제 지원을 일시적으로 비활성화하고 EVM‑전용 결제로 전환합니다.
조치 단계
- x402 facilitator 역할을 하는 모든 서비스를 식별합니다.
- Node.js / TypeScript 프로젝트
npm install @x402/svm@latest # installs version 2.6.0 or higher - Python 프로젝트
pip install x402 --upgrade # installs version 2.3.0 or higher - Go 프로젝트
# edit go.mod to require the patched version go get github.com/coinbase/x402/go@v2.5.0 - 모든 facilitator 서비스를 재시작하여 새로운 로직을 로드합니다.