해킹

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

해킹

橙皮书

2020-04-21 04:09

本文约1868字，阅读全文需要约7分钟

이 공격이 암호화폐 서클과 DeFi 업계의 모든 사람들에게 교훈을 줄 수 있기를 바랍니다.

편집자 주: 이 기사의 출처는오렌지북(ID: chengpishu), 승인을 받아 Odaily에서 재인쇄했습니다.

편집자 주: 이 기사의 출처는

오렌지북(ID: chengpishu)

, 승인을 받아 Odaily에서 재인쇄했습니다.

얼마 전에 나는 아주 간단한 블로그를 만들었고 그것을 개인 일기를 쓰는 데 사용하고 싶었습니다. 코드는 매우 간단하게 작성되고 낙서되어 게시됩니다. 하루 후, 웹사이트의 쿠키에 저장된 세션이 암호화되지 않았고 프런트 엔드에서 쉽게 파싱할 수 있다는 사실을 발견했습니다. 하지만 제가 저지른 실수는 민감한 정보를 세션에 저장한 것이었습니다.

소프트웨어 세계에는 수많은 함정이 있습니다. 가장 간단한 웹 사이트를 예로 들면 SQL 삽입, XSS 공격, 타사 쿠키 재사용을 사용한 CSRF 공격, 사진 또는 파일 업로드 취약성 등 모든 종류의 치명적인 속임수가 준비되어 있습니다. 초보자는 처음으로 떨리는 작은 범선을 바다로 항해하는 선원처럼 인터넷에 첫 번째 웹 사이트를 설정합니다. 그는 앞길에 수많은 폭풍, 빙산 및 바다 괴물이 매복하고 있음을 모릅니다.

대부분의 경우 이러한 위험은 환상적이라는 것입니다. 물론 배의 허점은 항상 존재하지만 폭풍과 바다 괴물이 반드시 나타나는 것은 아닙니다. 결국 폭풍과 바다 괴물도 매우 바쁘기 때문에 만물을 싣고 돌아 오는 어선을 전복 시키거나 부유 한 상인의 화물선을 약탈하는 등 공격 할 가치가있는 사람 만 공격합니다.

따라서 일부 사람들은 소프트웨어 공학이 다른 "하드 공학"과 같지 않다고 말하는 것이 당연합니다. 토목 공학에 실수가 있으면 건물이 무너지고 도로가 무너지고 인명 손실이 발생합니다. 소프트웨어가 중단됩니까? 최대 반나절 동안 웹 사이트를 중단하십시오.

물론 이 문장은 사실 틀린 말이다. 소프트웨어가 세상을 먹고 있습니다. 코드는 전 세계 어디에나 있습니다. 오늘날 소프트웨어의 취약점은 웹사이트나 앱뿐만 아니라 비행기와 로켓의 제어 시스템도 나타냅니다. 보잉은 여객기 소프트웨어를 더 저렴한 제3자에게 아웃소싱했고, 결국 항공우주 역사에 피비린내 나는 BUG를 남겼습니다.

Dijkstra도 비슷한 이야기를 했습니다[1]. 1969년 아폴로가 달에 착륙한 후 그는 우주선 소프트웨어 담당자에게 왜 그렇게 많은 코드를 정확하게 작성할 수 있는지 물었고, 상대방은 의외로 고백했습니다. 발사 5일 전에 달에서 궤도를 계산했습니다. lander. 코드에서 오류가 발견되었습니다. 이 코드 줄은 달의 중력 방향을 뒤집었습니다. 유치해야 할 것은 혐오스러운 것으로 판명되었습니다.

군사 소프트웨어 및 항공 소프트웨어 외에도 이제 블록체인이라는 또 다른 분야가 있습니다. 본질적으로 통화 및 금융과 연결되어 있는 Crypto는 소프트웨어 세계에서 코드 보안이 얼마나 중요한지 다시 한 번 느끼게 합니다.

어제는 중국 DeFi 서클의 어두운 날이었습니다. dForce의 대출 플랫폼인 Lendf.Me가 해킹을 당해 자산 2,500만 달러를 잃었습니다. 해커는 ERC777 표준과 Lendf.Me 계약의 결합된 취약점을 악용하고 재진입 공격을 사용하여 허공에서 imBTC를 생성하고 imBTC를 빌렸습니다. 플랫폼에서 다른 통화, 약탈. dForce 사건 바로 전날 Uniswap은 유사한 방법으로 공격을 받았습니다. ERC 777 표준의 취약점은 2019년 6월 OpenZeppelin에서 발표했지만 주목받지 못했습니다.

이 이벤트는 DeFi 개발의 중요한 노드가 될 것입니다. 사건은 여전히 진행 중이며 자산을 복구하고 사용자 손실을 최소화 할 수 있는지 여부는 후속 진행에 따라 다르지만 이미 다양한 암호 그룹이 논쟁을 벌이고 있습니다. 여기에 너무 많은 교훈이 있습니다. 많은 사람들이 DeFi에 대한 자신감을 잃고, DeFi가 사이비 개념이라고 생각하고, 지난 몇 년 동안 이더리움(주요 퍼블릭 체인이기도 함)이 탈중앙화 금융에 대해 이야기한 이야기를 의심할 것입니다. DeFi 상품에 자산을 투입하기를 꺼리고 중앙 집중식 금융 상품을 선호하는 사용자도 많습니다.

이러한 싸움은 정상입니다. DeFi는 레고이자 허니팟입니다.지금부터 미래까지 항상 소수의 해커 그룹이 내부의 금화를 캐내려고 노력할 것입니다. 모든 금융 시스템은 그러한 과정을 거쳐야 하며 벗어날 수 없습니다. 시험을 통과하고 결국 살아남는 사람은 주류로 진출할 수 있는 기회를 갖게 될 것이며 보다 안정적인 금융 인프라가 될 것입니다.