▼▼▼
Liu Feng: Cosine은 최근 며칠 동안 Lendf.me의 도난 자금(미화 약 2,500만 달러)을 회수하는 데 관여했습니다.수십 시간의 경험에 대해 말씀해 주시겠습니까?
코사인: 첫 번째 단계는 위협 상황 및 공격 내역을 신속하게 파악하여 취약점의 가장 정확한 원인을 신속하게 제공할 수 있도록 하는 것입니다. Lendf.Me의 핵심 코드와 이 취약점이 발생하기 위해서는 ERC777 토큰 기반의 조합으로 조합해야 합니다. 취약점의 특성과 공격 방법을 알고 나면 공격자가 체인에서 얼마나 많은 자산을 훔쳤는지 쉽게 알 수 있습니다.
두 번째 단계는 회복 방법에 대해 생각하는 것입니다. 4월 19일 오후, dForce, Xinghuo 및 imToken의 보안 팀이 오프라인으로 집결하고 SlowMist의 보안 팀과 원격으로 연결하여 "임시 보안 팀"을 구성하여 자산 복구를 시작했습니다. 정보의 양이 방대하고 복잡하기 때문에 중앙 집중식 토론은 신속하게 정보 대칭을 달성하고 속도를 높일 수 있습니다.
지난 4월 20일, '임시 보안팀'은 해커들이 공격 전후에 남긴 흔적을 바탕으로 해커의 정확한 모습을 파악하는 데 성공했고, 국내외 다양한 자원과 교차 비교를 통해 돌파구 단서를 확보하기 시작했다. 닫습니다. 4월 21일 오후, 골든 48시간 내에 심한 압력을 받은 해커는 dForce와 적극적으로 소통하고 일부 자산을 반환하기 시작했습니다. 통신을 계속한 결과 공격 3일 만에 모든 자산을 성공적으로 복구했다. 이 프로세스는 "임시 보안 팀"에서 핵심적인 역할을 수행했을 뿐만 아니라 암호화 커뮤니티의 많은 친구들로부터 직간접적인 도움을 받았습니다.
Liu Feng: Lendf.me에 대한 공격과 관련하여 모두가 배워야 할 교훈은 무엇입니까?
코사인: 모든 새로운 것은 진화 과정에서 보안 위험이 있습니다. 이것이 진화의 법칙입니다. 위험이 빠를수록 위험이 커지고 결국 죽거나 상대적으로 안정적인 균형을 이루는 경향이 있습니다.
이러한 심리적 준비를 바탕으로 DeFi를 살펴보겠습니다. 기술 보안 위험, 비즈니스 보안 위험 및 규정 준수 보안 위험과 같은 몇 가지 중요한 위험이 있습니다. 간단히 확장해 보겠습니다(이더리움을 예로 들어).
1. 기술 보안
우선, 퍼블릭 체인 자체가 충분히 테스트되고 안전한지, 이더리움이 기본적으로 이 점을 충족하는지 확인하고, 스마트 계약의 설계가 충분히 안전한지, Solidity가 너무 만족하지 않는지 확인하고, 관련 표준(예: ERC20, 223, 721, 777 등) 구현이 충분히 안전한지 여부에서 가장 큰 문제는 "기능"이 "결함"이 되는 경우가 많다는 것입니다. 예를 들어 OpenZeppelin은 매우 좋습니다.마지막으로 프로젝트 당사자의 개발을 살펴보십시오.보안 관행이 정말 엄격한지 여부를 말하기는 매우 어렵습니다.분명히 개발 품질이 고르지 않습니다.
2. 비즈니스 보안
사업은 모기지 대출, 플래시 론, 거래 등과 같은 DeFi 설계에 달려 있습니다. 가격이 폭락하거나 폭등하면 어떻게 해야 합니까? 갑작스러운 대량 이체, 어떻게 대처해야 할까요? 제3자 보안 위험(예: 제3자 토큰에 대한 액세스, 제3자와의 연결 등)을 해결하는 방법은 무엇입니까?
3. 규정 준수 및 보안
회색 또는 검은색 테두리가 있는 DeFi, 일부 국가의 법 집행 기관에 의해 실수로 쓰러지거나 스스로 도망친다면?
또한 사용자의 관점과 관련된 몇 가지 특별한 판단이 추가됩니다.
1. 프로젝트 당사자는 강력한 보안 팀 또는 보안 경험이 풍부한 핵심 인력을 보유하고 있습니다.
2. 프로젝트 당사자는 지난 6개월 이내에 제3자 전문 보안 기관의 감사를 받았으며 보안 감사 결과가 공개되었습니다.
3. 프로젝트 당사자는 타사 전문 보안 기관과 장기적이고 지속적이며 긴밀한 협력 관계를 유지합니다.
4. 프로젝트 파티의 핵심 구성원은 안전에 대해 솔직하고 개방적인 태도를 가지고 실수를 인정하고 안전을 최우선으로 하는 용기를 가지고 있습니다.
5. 프로젝트 당사자는 안전 작업에 대한 경외심과 존경심으로 가득 차 있습니다.
위의 5가지 사항을 기반으로 입소문, 실제 사용자 수, 데이터 투명성, 보안 투명성 등과 같은 몇 가지 사실을 확장할 수 있습니다.
Liu Feng: 모두가 DeFi 제품을 기꺼이 사용하고 있습니다.그 이유는 그들이 중앙 집중식 금융 서비스 플랫폼의 보안에 대해 걱정하고 DeFi를 통해 평화를 추구하기를 희망하기 때문입니다. 그런데 올해 들어 디파이 플랫폼과 제품들이 잇달아 공격을 받아 오히려 디파이에 대한 불신이 생기고 있어 조금 안타깝습니다.
Yu Xian: 제 생각은 다릅니다. 역사를 살펴보겠습니다.
자세한 내용은 여기에서 확인하세요.https://hacked.slowmist.io/
중앙화와 탈중앙화의 매우 심각한 역사적 사례가 있다고 볼 수 있겠지만, 사실 이것 때문에 신뢰를 꺾을 필요는 없다. 앞으로는 더 많은 DeFi + CeFi 하이브리드가 등장할 것입니다. 또한 DeFi는 반드시 완전히 탈중앙화될 필요는 없으며 이는 제 개인적인 의견입니다.
나는 해커다 내 눈에는 이것들이 절대적으로 안전하지 않고 약점이 많지만 모든 해커가 나쁜 것은 아니다 우리는 보안의 방향으로 발전하기를 희망하지만 싸울 때 충분한 공격적 사고를 가져야 한다.
Liu Feng: 청중이 DeFi 계약 감사가 얼마나 중요한지 물었습니다. 충분히 안전합니까? 감사를 받은 defi 프로젝트는 신뢰할 수 있습니까?
Cosine: DeFi 보안 감사는 보안 전략의 두 번째 계층이고, 첫 번째 계층은 프로젝트 측 비즈니스인 DeFi 개발의 보안입니다. DeFi 보안 감사는 두 번째 계층에서 많은 문제를 방지하고 보안 방어 수준을 더 높은 수준으로 향상시킬 수 있습니다. 그러나 그 다음에는 세 번째 계층이 있는데, 업데이트 반복의 지속적인 작업 보안으로, 주의하지 않으면 문제가 될 수 있습니다. 보안 감사를 거친 프로젝트는 사람들을 더 편안하게 만들 수 있다고 말할 수 있지만 블랙 스완, 즉 미래의 공격이 있어야 합니다. 따라서 보안 감사가 반년 이상 지난 경우에는 주의를 기울여야 합니다.
Liu Feng: 청중은 잘 알려진 DeFi 프로토콜의 대부분이 어떤 형태로든 중앙에서 제어된다고 질문했습니다.
코사인: 이것은 인간 본성의 문제이며, 일부는 기술로 해결할 수 있고 일부는 해결할 수 없습니다. 기술적으로는 DAO와 유사한 방식으로 제어되지만 이것은 새로운 문제를 야기할 것이며 DAO의 효율성이 너무 낮으면 문제가 될 것입니다. 그러나 프로젝트 측에서 최소한 한 가지는 투명성, 자산의 투명성, 권한의 투명성, 의사 결정의 투명성 등 커뮤니티가 볼 수 있도록 해야 합니다.
Liu Feng: 청중이 질문했습니다. 사용자와 계약 사이에 미들웨어를 구축하는 솔루션이 있으며 이 미들웨어는 보안 처리에 사용됩니까?
Cosine: 이것에 대해 잘 모르겠습니다. 실험이 필요하지만 최근에 아이디어가 있습니다. 살펴보실 수 있습니다.https://firewallx.io/
이 방화벽은 EOS 메인 네트워크에 구축되며 핵심은 스마트 계약의 실현입니다. 이더리움에서는 더 복잡한 ERC777도 동일하게 수행할 수 있지만 여전히 테스트가 필요합니다.
Liu Feng: 청중이 묻습니다. 코드 보안 문제는 거의 불가피합니다.DeFi가 큰 손실을 피하기 위해 더 성숙한 위험 제어 메커니즘으로 보완되어야 합니까? DeFi의 매력은 탈중앙화와 스마트 컨트랙트이기 때문에 공격을 당한 후의 수리와 복구는 사람 간의 게임인 것 같습니다.
Yu Xian: 복구하기 어렵지만 더 흥미로운 점은 여러 국가의 사법 및 법 집행 절차가 암호 화폐를 지원하기 시작했기 때문에 올해 성공률이 높아질 수 있다는 것입니다.
오늘 밤 Math Show #001 이벤트에 참가한 "show" 친구들에게 매우 감사하고 DeFi에 대한 보안 지식의 향연을 제공하고 블록체인. 슬로우 미스트가 점점 더 좋아지기를 바랍니다.
