원제: "DeFi 공격을 막으려면 어떻게 해야 할까요? "

스마트 계약은 탈중앙화, 신뢰가 필요 없음, 신뢰 없음 등과 같은 많은 기능을 제공했지만 인적 작업을 제거한 후 스마트 계약이 하늘을 열면 해커가 자산을 가져갈 수 있습니다. DeFi의 인기와 채택률이 증가하고 프로젝트 당사자가 혼합되어 예리한 눈으로 자산을 보호하는 방법이 점점 더 중요해지고 있습니다.

이 영상은 2021년 이후 DeFi 공격 사례를 간략하게 분석하고 예방 방법을 제안합니다. 간단하고 이해하기 쉽습니다.

현재 DeFi 부문에는 두 가지 특징이 있습니다. 하나는 전례 없는 수준으로 치솟고 있다는 것입니다. 규제가 제대로 이루어지지 않았고 스마트 계약을 운영하고 사용자를 유치할 리소스나 기술을 갖춘 사람이 거의 없습니다. 이 두 가지 요인으로 인해 이 영역은 공격자에게 매우 매력적입니다.

이러한 공격은 정확히 어떻게 발생합니까? 자신을 보호하는 방법? 우리는 어떤 프로토콜에 특별한 주의가 필요한지 이해하기 위해 역학을 조사하고 DeFi에서 가장 큰 공격의 예를 제공할 것입니다.

가장 짧은 DeFi 개요

DeFi는 대출 및 이자 수익과 같은 블록체인 기반 금융 서비스를 제공합니다. 요점은 DeFi가 포괄적이고 허가가 필요 없다는 것입니다. 시민권, 사회적 지위 및 신용 기록에 관계없이 누구나 DeFi를 이용할 수 있습니다. DeFi는 스마트 계약에서 실행되기 때문에 신뢰할 수 없습니다. 모든 이용 약관이 사전에 설명되고 코드로 작성되었으며 이제 사람의 개입 없이 실행할 수 있습니다. 여기서 사용자가 신뢰할 수 있는 유일한 것은 프로토콜 팀이 좋은 코드를 작성하는 능력입니다. 차례로 대부분의 프로젝트가 오픈 소스이기 때문에 감사와 커뮤니티는 일반적으로 이를 확인합니다.

그러나 이것이 어떻게 조작의 여지를 남겨두는가?

공격자는 DeFi의 불안정성을 어떻게 악용할 수 있습니까?

DeFi 해킹은 누군가 프로토콜의 취약성을 악용하여 프로토콜에 잠긴 자금에 액세스하는 것입니다. 이를 달성하기 위한 세 가지 주요 "전략"은 다음과 같습니다.

DeFi 프로젝트는 매우 빠르게 만들어지며 팀은 항상 코드를 철저히 확인할 시간이 없습니다. 해커는 이러한 취약점을 악용했습니다.

DeFi의 모든 프로토콜에는 고유한 메커니즘, 사용자가 자금을 잠그는 방법 및 보상을 받는 방법이 있습니다. 때때로 프로토콜의 창립자는 이러한 메커니즘이 어떻게 남용되어 수익성 있는 허점으로 변할 수 있는지 알지 못합니다.

일부 팀은 고의로 문제를 만듭니다. 지분을 팔고 토큰을 버리는 방식으로 프로젝트에서 막대한 영향력을 남용합니다(커뮤니티는 이를 알아채지 못합니다).

DeFi에서 가장 일반적으로 사용되는 두 가지 공격 방식

DeFi에서 가장 널리 사용되는 두 가지 메커니즘인 카펫 풀링 및 플래시 론 공격을 살펴보겠습니다.

양탄자를 당기기 - 아무도 기대하지 않을 때 유동성 철수

"카펫 풀"에서는 소유자 또는 개발자가 갑자기 풀에서 유동성을 인출하여 패닉을 일으키고 모든 사람이 자산을 매각하도록 강요합니다. 기본적으로 출구 사기입니다. 프로젝트에 대한 설립자의 지분이 높을수록 더 의심스럽습니다. "카펫 풀링"은 DeFi에서 논의되는 중앙화 위험 중 하나입니다.

시작 방법은 다음과 같습니다. 창립자들은 몇 가지 멋진 보상을 제공하는 기본 토큰이 포함된 새로운 플랫폼을 발표했습니다. 그런 다음 팀은 토큰이 ETH, DAI 또는 기타 주요 통화와 쌍을 이루는 Uniswap과 같은 분산형 거래소에 유동성 풀을 만듭니다. 사용자는 높은 수익률을 얻을 수 있으므로 더 많은 유동성을 가져오도록 권장됩니다. 토큰 가격이 상승하면 설립자는 유동성을 철회하고 사라집니다.

개발자가 큰 이해 관계를 갖는 것은 좋지 않지만 그렇게 하더라도 프로젝트를 보호할 수 있는 방법이 있습니다. 개발자는 향후 날짜까지 종료할 수 없도록 하는 절차를 설정할 수 있습니다. 이것은 프로젝트에 대한 신뢰를 크게 증가시킵니다.

플래시 론 공격 - 유동성 고갈 및 제거

"플래시론"이란 무엇입니까? 이를 통해 사용자는 담보 없이 매우 짧은 기간에 무제한으로 돈을 빌릴 수 있습니다. 사용자는 다음 블록이 채굴되기 전에 대출금과 이자를 상환해야 하며 채굴에는 단 몇 초밖에 걸리지 않습니다. 사용자가 대출금을 상환하지 않으면 거래가 종료되지 않고 빌린 자금을 사용자로부터 가져갑니다.

플래시 론의 주요 용도 중 하나는 차익 거래입니다. 다른 플랫폼의 자산 가격 차이에서 이익을 얻는 것입니다. 예를 들어 이더리움의 가격은 A 거래소에서 $2,000, B 거래소에서 $2,100입니다. 사용자는 $2,000 상당의 플래시 대출을 받고 A 거래소에서 ETH를 사고 B 거래소에서 판매할 수 있으며 사용자의 이익은 $100에서 가스 수수료와 대출 수수료를 뺀 것입니다.

플래시 론의 무제한 특성은 악용의 길을 열어줍니다. 다음은 플래시 론 공격의 일반적인 체계입니다.

• 공격자는 $100,000 상당의 토큰 A 200개(토큰 A 하나당 $500)를 빌립니다.

• 그런 다음 A/B 유동성 풀에서 토큰 B를 공격적으로 구매합니다. 이로 인해 토큰 B의 가격이 상승하는 반면 토큰 A는 하락하여 현재 가치가 $100에 불과합니다.

• 토큰 B가 급등하면 공격자는 이를 토큰 A에 $100에 다시 판매합니다. 이제 초기 200개 토큰에 비해 1000개 토큰 A(5배 가격 하락 후)를 감당할 수 있습니다.

• 그러나 공격자는 이 스마트 계약에서 토큰 A의 가격을 낮출 뿐입니다. 플래시 론의 대금업자는 여전히 토큰 A를 $500에 구매합니다. 따라서 공격자는 200 토큰 A로 대출금을 상환하고 나머지 800을 가져갑니다.

보시다시피 플래시론은 실제 해킹 없이 탈중앙화 거래소의 본질을 활용합니다. 그들은 단순히 토큰 A를 버리고 풀 유동성의 상당 부분을 제거하여 기본적으로 유동성 공급자의 자금을 훔칩니다.

2021년의 주요 DeFi 공격

1. The Meerkat Finance 해커 그러나 이것은 비정상적으로 냉소적인 방식으로 전형적인 양탄자 당기기입니다. Meerkat Finance는 풀링된 자금을 소유자가 사용할 수도 없는 유동성 채굴 프로토콜입니다. 공격 직전(프로젝트 시작 하루 후!) 그들은 프로토콜을 업그레이드하고 액세스 권한을 얻었으며 Meerkat Finance의 모든 소셜 미디어 계정과 웹 사이트를 삭제하고 1,300만 달러 상당의 스테이블 코인과 1,700만 달러 상당의 73,000 BNB를 탈취했습니다. 2. 알파호모라 플래시론 공격

위험이 증가하고 있습니다! 올해 2월 Alpha Homora 공격에서는 3,700만 달러가 도난당했습니다. 2020년 10월에 출시된 대출 플랫폼은 최근 버전 V2로 업그레이드되었습니다. Alpha Homora V2 풀에서 공격자는 수백만 개의 스테이블 코인을 빌리고 빌려주어 가치를 부풀리고 공격자에게 막대한 이익을 가져다 주었습니다.

3. EasyFi 개인 키 도난

4월에 Polygon 기반 대출 프로토콜 EasyFi는 사상 최악의 DeFi 해킹 중 하나를 겪었습니다. 한 해킹에서 네트워크 관리자의 개인 키가 도난당하여 공격자가 회사 자금에 액세스할 수 있었습니다. 7,500만 달러 상당의 EASY 토큰 300만 개가 도난당했습니다. 또한 EasyFi 금고에서 600만 달러 상당의 스테이블 코인이 도난당했습니다.

4. 안장 금융 차익 거래 착취

특히 이번에는 또 다른 플래시 대출 공격이 있습니다. 래핑된 자산 및 스테이블 코인 거래를 위한 Curve와 유사한 프로토콜인 Saddle Finance가 출시 하루 만인 2021년 1월 21일 해킹을 당했습니다. 일련의 차익 거래 공격을 통해 공격자는 단 6분 만에 거의 8비트코인의 유동성을 성공적으로 획득했습니다. 이는 풀의 스마트 계약에 있는 버그 때문일 수 있습니다. 공격자는 스테이블 코인의 가격을 너무 높게 올려 0.09 BTC 상당의 토큰 하나를 3.2 BTC 상당의 다른 토큰으로 교환했습니다.

취약한 프로토콜을 선택하지 않는 방법은 무엇입니까?

"일시 대출"은 항상 예기치 않게 발생하며 사람들은 항상 "카펫 당김" 가능성을 미리 볼 수 없습니다. 그러나 이러한 권장 사항을 따르면 사용자는 의심스러운 징후에 더 많은 주의를 기울이고 금전적 손실을 방지할 수 있습니다. 주의:

• 팀과 그 명성. 창립자와 개발자는 누구입니까? 팀이 공개되나요? 신뢰할 수 있는 암호화 프로젝트에 참여한 적이 있습니까? 그렇지 않다면 반드시 나쁜 것은 아니지만 걱정할 필요가 있습니다.

• 볼트에 액세스합니다. 이 팀이 존재합니까? 어느 정도? 창업자 소유권이 너무 높으면 위험 신호가 아닙니다.

• 기업 자금에 대한 다중 서명 액세스. 이는 개발자가 라이브러리에 대한 다중 서명 액세스를 활성화하고 팀 외부의 누군가가 일부 서명을 소유하는 경우 "카펫 풀링"을 방지하는 데 도움이 될 수 있습니다.

• 수명과 이동성. 개발자가 1년 정도 자금을 잠그면 사용자는 적어도 해당 기간이 끝날 때까지 팀이 종료되지 않는다는 것을 안심할 수 있습니다.

공격으로부터 DeFi를 보호하기 위해 어떤 조치가 시행되고 있습니까?

• DeFi가 성숙함에 따라 풀에는 상당한 양의 유동성이 있으며 풀의 많은 양의 유동성은 플래시 론 공격의 위험을 줄이는 데 주요 요인이 될 수 있습니다.

• 플래시 대출 최대 한도는 공격을 허용하지 않습니다.

• 스마트 계약의 보안 감사는 취약하고 잘못 구성된 계약을 위한 여지를 만듭니다.

• 더 나은 규제는 취약한 프로토콜을 고의로 공개하는 것을 방지하는 데 도움이 될 것입니다.

• 요약하다

요약하다

DeFi는 무허가 및 무신뢰 도구를 사용하여 단기간에 막대한 수입을 창출하는 금융을 혁신했습니다. 그러나 수많은 취약점이 공격자와 악의적인 개발자에 의해 악용되는 경우가 많습니다. 모든 공격에는 보안을 개선하기 위한 프로토콜이 필요하며 이것이 DeFi 해킹이 업계 성장을 돕는 방법입니다.

Source：https://medium.com/the-capital/defi-attacks-and-ways-to-avoid-them-4b827ef456be