2026년 5월, 보안 연구원 테일러 혼비가 앤트로픽의 클로드 오푸스 4.8을 사용하여 2022년부터 존재해 온 지캐시의 치명적 버그를 발견했다. 취약점은 지캐시의 '오차드(Orchard)' 실드 풀에 적용된 영지식 증명 회로의 '건전성(soundness)' 버그였다.

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
2026년 5월 28일, 앤트로픽(Anthropic)은 자사의 최첨단 AI 모델 '클로드 오푸스 4.8(Claude Opus 4.8)'을 대중에게 공개했습니다. 불과 24시간도 채 지나지 않아, 실드 랩스(Shielded Labs)의 의뢰로 지캐시 프로토콜 감사를 수행하던 독립 보안 연구원 **테일러 혼비(Taylor Hornby)**가 이 모델을 이용해 4년간 드러나지 않았던 치명적인 취약점을 찾아냈습니다 .
이 발견은 긴급 패치와 대중 공개로 이어졌고, 결국 ZEC의 가치를 약 40~50% 증발시킨 시장 폭락을 촉발했습니다 . 이 사건은 최첨단 거대 언어 모델(LLM)이 실제 운영 중인 영지식 증명 프로토콜에서 중대한 암호학적 취약점을 발견한 최초의 공식 확인 사례로 기록되었습니다
.
테일러 혼비는 단순히 클로드 오푸스 4.8에게 "버그를 찾아줘"라고 묻지 않았습니다. 그는 모델의 추론 능력을 활용하여 지캐시의 오차드(Orchard) 실드 풀 회로 로직을 체계적으로 추적하는 '지캐시 풀스택 오디터(Zcash Full-Stack Auditor)' 라는 맞춤형 프레임워크를 구축했습니다 . 이 도구를 통해 혼비는 지캐시의 비공개 거래를 보호하는 복잡한 헤일로2(Halo2) 기반 영지식 증명 시스템을 분석하도록 AI를 유도할 수 있었습니다.
5월 29일, 이 프레임워크는 2022년 5월 오차드 도입 이후 여러 차례의 공식 감사에서 인간 감사자들이 놓쳤던 논리적 불일치를 찾아냈습니다 . 혼비는 이론적인 약점을 문서화하는 데 그치지 않고, AI 지원 접근 방식을 통해 로컬 테스트 환경에서 실제로 가짜 ZEC를 발행하는 데 성공하는 작동 익스플로잇을 작성했습니다
. 모델 공개 하루 만에 이뤄낸 이 발견 속도는 AI가 보안 연구에서 달성할 수 있는 성과의 패러다임 전환을 극명하게 보여줍니다
.
중요한 점은, 이 돌파구가 숙련된 인간 전문가와 최첨단 모델 간의 협업이었다는 사실입니다. AI는 방대한 코드베이스 전반에서 체계적인 추론과 패턴 인식을 제공했고, 인간 연구원은 문제를 정의하고 감사 도구를 구축했으며 결과를 검증했습니다 .
이 취약점은 지캐시의 실드 거래를 위한 핵심 프라이버시 메커니즘인 오차드 실드 풀 회로의 중대한 '건전성(soundness)' 버그였습니다 . 영지식 증명 시스템에서 '건전성'이란, 거짓 명제에 대해 유효한 증명을 생성하는 것이 계산적으로 불가능해야 함을 의미합니다. 오차드 회로에는 이 속성을 파괴하는 불완전한 제약 조건이 포함되어 있었습니다.
구체적으로, 헤일로2 가젯 크레이트(Gadgets Crate) 깊숙한 곳의 한 값이 실제 기준점에 고정되지 않아 수학적으로 유효하지 않은 입력값이 타원 곡선 검사를 통과할 수 있었습니다 . 쉽게 말해, 거래 입력을 검증해야 하는 장치가 실제로는 아무런 규칙도 강제하지 않고 있었던 셈입니다
. 그 결과, 공격자는 실드 풀 내에서 무제한의 위조 ZEC를 생성할 수 있는 유효한 영지식 증명을 위조할 수 있었습니다.
오차드 거래는 그 특성상 비공개로 설계되었기 때문에, 위조된 코인은 체인 상에서 진짜 코인과 구별이 불가능합니다 . 블록체인을 감사하여 가짜 발행량을 확인할 방법이 전혀 없는 것이죠. 이 버그는 2022년 5월 오차드가 도입된 이후로 약 4년간 아무도 모르게 존재했습니다
.
결정적으로, 실드 랩스는 오차드의 프라이버시 특성과 결함의 성격 때문에 이 취약점이 실제로 악용되었는지 여부를 암호학적으로 입증할 방법이 전혀 없다고 밝혔습니다 . 이 불확실성은 사건 공개 후 불안감을 증폭시키는 핵심 요인이 되었습니다.
혼비가 지캐시 오픈 개발 랩(Zcash Open Development Lab)에 버그를 보고한 후, 대응은 신속하게 이루어졌습니다 :
윌콕스는 대중 발표 이전에 패치가 성공적으로 배포되었기 때문에, 공개 후 악용으로 인한 자금 손실은 발생하지 않았다고 확인했습니다 . 이러한 "패치 먼저, 공개는 나중에"라는 접근 방식은 표준적인 취약점 관리 관행을 따랐지만, 발견부터 네트워크 전반의 하드포크까지 단 3일밖에 걸리지 않은 속도는 이례적이었습니다.
긴급 수정 이후, 실드 랩스는 앤트로픽에 제한된 환경의 최첨단 모델 '미토스(Mythos)' 를 사용하여 별도의 전체 프로토콜 감사를 요청했습니다. 2026년 6월 12일 기준으로 해당 감사 결과 프로토콜에 추가적인 중대한 취약점은 존재하지 않음이 확인되었습니다 . 이 포괄적인 검토는 신뢰 회복에 일부 도움이 되었지만, 패치 이전 악용 가능성에 대한 근본적인 불확실성은 여전히 남아 있었습니다.
6월 4일 취약점이 대중에 공개되자 시장은 가혹하게 반응했습니다. ZEC 가격은 이후 며칠간 약 40~50% 폭락했으며, 여러 보도들은 코인이 "불과 몇 주 전 훨씬 높은 수준에서" 급락했다고 전했습니다 . 여러 소식통이 31%에서 50%까지 하락 폭을 언급했지만, 가장 널리 인용된 수치는 약 40~50%입니다
.
이러한 매도세는 여러 측면에서 공포를 반영했습니다. 첫째, 주요 프라이버시 코인에서 무한하고 탐지 불가능한 위조가 가능하다는 버그의 심각성이 프로토콜 보안 보장에 대한 근본적인 신뢰를 훼손했습니다. 둘째, 수년간의 인간 주도 공식 감사가 놓친 결함을 AI 모델이 찾아냈다는 사실은 이더리움을 포함한 다른 암호화폐의 취약점에 대한 불안감을 증폭시켰습니다 . 셋째, 버그가 이미 악용되었는지 영원히 알 수 없다는 불확실성은 기술적 수정만으로는 메울 수 없는 신뢰 결핍을 남겼습니다
.
트레이더들은 암호화폐 업계에서 가장 유명한 프라이버시 네트워크 중 하나의 보안성을 재평가했고, 가격은 신속하고 가혹하게 재조정되었습니다 .
이번 지캐시 사태는 중요 소프트웨어 보안에서 AI의 이중 용도 잠재력을 보여주는 분수령으로 널리 평가됩니다 .
방어적 가치는 명확합니다. 전문가의 조작과 결합된 AI 모델이 4년 동안 인간 감사자들이 놓친 파멸적인 버그를 모델 출시 하루 만에 찾아냈습니다 . 이는 최첨단 AI가 복잡한 암호학적 시스템에 대한 보안 감사의 속도, 깊이, 완전성을 극적으로 향상시킬 수 있음을 입증합니다. 후속으로 미토스가 프로토콜의 나머지 부분을 무사 통과시킨 감사는 AI 주도의 지속적인 감사가 중요한 인프라의 표준 관행이 될 미래를 시사합니다
.
단순히 모델에게 질문을 던지는 대신 맞춤형 에이전트 프레임워크를 구축한 혼비의 접근 방식은, 가장 강력한 방어적 응용이 AI를 체계적인 보안 워크플로에 통합함으로써 나온다는 점도 보여주었습니다.
공격적 의미도 마찬가지로 엄중합니다. 이 버그를 찾아낸 동일한 능력은 악의적인 행위자가 기계적인 속도로 제로데이 취약점을 발견하고 악용하는 데 무기화될 수 있습니다 . 만약 화이트 해커보다 먼저 블랙햇 그룹이 유사한 기술을 지캐시에 적용했다면, 패치가 배포되기도 전에 무제한의 위조 코인을 조용히 발행하여 유동성을 빼내고 사라질 수 있었을 것입니다.
블룸버그(Bloomberg)는 이번 사건이 "AI 해킹 위협의 규모"를 보여준다고 평가했습니다 . 또한 여러 매체들은 AI 속도로 발견되는 취약점에 대해 현재의 책임 있는 공개 규범이 적절히 조정되어 있는지에 대한 시급한 의문을 제기하고 있습니다
. AI가 몇 시간 만에 중요한 결함을 찾아낼 수 있다면, 적대적 악용 전에 조정된 패치를 위한 시간적 여유가 붕괴되기 때문입니다.
보안 연구원들은 이것이 이론적인 우려가 아니라고 경고합니다. 지캐시 사건은 최초로 공식 확인된 사례일 뿐, 마지막 사례는 아닐 것이 거의 확실합니다 .
이 모든 사건 중 가장 괴로운 점은 아마도 해소될 수 없는 불확실성일 것입니다. 지캐시가 프라이버시 코인이기 때문에, 4년의 수명 동안 이 버그가 악용되었는지 암호학적으로 입증할 수 있는 방법이 없습니다 . 개발팀은 악용 가능성이 "낮다"고 판단했지만, 말 그대로 확인이 불가능하다는 점을 인정했습니다
. 이는 지캐시뿐만 아니라, 발견되기 전 조용히 악용될 수 있는 결함이 존재할 수 있는 모든 프라이버시 보호 시스템에 지속적인 신뢰 문제를 야기합니다.
이번 지캐시 사건은 암호화 프로토콜의 보안이 주기적인 인간 감사에만 의존할 수 있었던 시대의 종말을 알립니다. AI 지원 취약점 발견은 이제 그 모든 비대칭적 힘을 지닌 채 입증된 능력이 되었습니다.
프로토콜 개발자들에게 의미는 분명합니다. 최첨단 AI 모델을 지속적인 보안 검토 파이프라인에 통합하는 것은 더 이상 선택이 아닌 필수입니다. 적대 세력도 분명히 그렇게 할 것이기 때문입니다. AI 커뮤니티에게 이번 사건은 공격 측에 용도 변경될 수 있는 능력을 배포할 때 사려 깊은 접근이 필요하다는 점을 재확인시켜 줍니다. 더 넓은 암호화폐 생태계에 있어서는, 가장 엄격하게 검토된 시스템조차 몇 시간 만에 AI가 찾아낼 수 있는 치명적인 결함을 품고 있을 수 있다는 냉혹한 경고 역할을 합니다.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2026년 5월, 보안 연구원 테일러 혼비가 앤트로픽의 클로드 오푸스 4.8을 사용하여 2022년부터 존재해 온 지캐시의 치명적 버그를 발견했다.
2026년 5월, 보안 연구원 테일러 혼비가 앤트로픽의 클로드 오푸스 4.8을 사용하여 2022년부터 존재해 온 지캐시의 치명적 버그를 발견했다. 취약점은 지캐시의 '오차드(Orchard)' 실드 풀에 적용된 영지식 증명 회로의 '건전성(soundness)' 버그였다.
이 사건은 AI가 사이버 보안 영역에서 방어 감사는 극적으로 가속하는 동시에 동일한 능력이 제로데이 공격에 무기화될 수 있음을 보여준 이중 용도의 분수령이 되는 사례다.