"지갑의 ETH가 사라졌습니다!"
오늘 DeFinance의 설립자인 Arthur는 자신이 스피어 피싱 공격을 받았다고 소셜 미디어에 밝혔습니다. Arthur는 이메일에서 Defiance Capital 협력 자산 관리 플랫폼의 공식 주소와 유사한 PDF 문서를 클릭하여 그의 핫 월렛을 도난당하고 400ETH가 넘는 많은 NFT 및 기타 자산을 손실했습니다.
Web3.0의 세계는 안전하지 않은 것 같고 우리의 온체인 자산은 모든 곳에서 위협을 받는 것 같습니다. 실제로 상위 계층의 관점에서 온체인 애플리케이션은 애플리케이션 로직의 허점을 고려해야 할 뿐만 아니라 배포된 체인의 합의 계층의 잠재적인 공격 경로(선점 등)도 고려해야 합니다. . 또한 상호 작용의 프런트 엔드를 확인하고 다양한 피싱 링크를 방지하기 위해 눈을 크게 뜨고 있어야 합니다. 가장 치명적인 점은 트랜잭션이 청산이 보장되면 롤백 비용이 매우 높다는 것입니다. 이런 식으로 Web3.0의 전반적인 보안 수준은 Web2.0보다 좋지 않습니다.
그러나 낮은 수준의 관점에서 이론적으로 말하면 Web3.0은 실제로 더 안전해야 합니다. 예를 들어, 체인의 분산형 병렬 실행은 체인의 애플리케이션을 위한 신뢰할 수 없는 실행 환경을 만듭니다. Web2.0 애플리케이션에서 자주 발생하는 DoS 공격도 Gas 메커니즘으로 해결됩니다. 프로토콜의 오픈 소스는 또한 사용자가 DYOR를 사용하기 전에 "권한"을 부여합니다.
이 기사는 암호화된 지갑 ZenGo인 Tal Be'ery에서 Web3.0의 고유한 보안 이점을 자세히 설명하고 기존 문제에 대한 잠재적 솔루션을 제안합니다. Rhythm Research Institute는 전문을 다음과 같이 번역했습니다.
모든 Web3 보안이 현재 기술 분야에서 가장 큰 웃음거리 중 하나이고 Web3가 작년에 보안 침해로 인해 100억 달러 이상 손실을 입었기 때문에 이것이 우스꽝스럽게 들린다는 것을 압니다. 그러나 현재 상황은 연속적이기보다는 단계적이어야 한다고 생각하며 Web3 애플리케이션이 더욱 성숙해지면 보안에서 많은 "전통적 애플리케이션"을 능가할 것입니다.
Web3의 정의
이미지 설명
Web3 삼각형
Web3를 정의한 후 주로 스마트 계약의 보안을 포함하는 보안에 대해 논의할 수 있습니다. 간단히 하기 위해 이더리움의 스마트 계약에 대해서만 논의할 것이지만 결론은 다른 유사한 시스템과 블록체인에도 적용된다고 생각합니다.
Web3 보안에는 고유한 이점이 있습니다.
맬웨어, 서비스 거부 공격 및 기타 유형의 공격에 Web3 소프트웨어 환경이 없다면 얼마나 업그레이드될지 상상해 보십시오. 보안 유토피아를 실현하는 Web3를 살펴보겠습니다.
- Web3는 신뢰할 수 있는 실행 문제를 해결합니다. 기존 애플리케이션의 경우 신뢰할 수 있는 실행은 해결되지 않은 주요 문제입니다. 현재 애플리케이션은 소프트웨어(운영 체제) 및 하드웨어(프로세서 및 펌웨어)의 실행 환경을 신뢰해야 합니다. 이 신뢰가 맬웨어 또는 악의적인 프로세서를 이식할 수 있는 하드웨어 공급망 공격에 의해 위반되는 경우 공격자가 제어권을 얻을 수 있습니다. Web3는 실행의 분산화를 통해 이 근본적인 보안 문제를 해결합니다. 모든 블록체인 노드는 web3 코드를 병렬로 실행하고 실행 결과에 동의해야 합니다. 실행 엔진 자체에 시스템적 위험이 없는 한(예: 이더리움의 EVM 자체에 취약성이 있음) 공격자는 대부분의 블록체인 노드를 멀웨어로 감염시켜 실행을 방해하는 "51% 컴퓨팅 파워 공격"을 실행해야 합니다.
- Web3는 인젝션 공격에 면역입니다. 기존 웹 애플리케이션의 경우 모든 매개변수가 문자열로 전송됩니다. 이 설계 결함은 SQL 삽입 및 명령 삽입을 포함하여 대부분의 기존 웹 응용 프로그램 취약점의 중심에 있으며, 이를 통해 공격자는 예상치 못한 입력을 조잡한 웹 응용 프로그램에 몰래 넣을 수 있습니다. 반대로 Web3의 강력한 유형 특성으로 인해 이러한 예기치 않은 입력(예: 숫자가 예상되는 문자열)은 즉시 실패하며 Web3 응용 프로그램은 특별한 준비 작업을 수행할 필요가 없습니다.
-Web3는 서비스 거부 공격에 더 강합니다. 이러한 공격은 일반적으로 "두뇌 능력"에 의존하지 않고 봇넷 군대의 "무자비한 힘"에 의존하기 때문에 지능적이지는 않지만 더 저렴한 비용으로 공격 대상에게 쓰레기를 보냅니다. 하지만 기존 웹 애플리케이션에서는 여전히 주요 문제로 남아 있습니다. 반대로 Web3 응용 프로그램은 블록체인이 과도한 사용을 방지하기 위해 높은 거래 수수료를 설정하여 DoS 공격자가 시작할 방법이 없기 때문에 이 문제를 겪지 않습니다.
위의 사항 외에도 Web3는 다른 측면(예: 소프트웨어 공급망 공격에 대응)에서 우수한 보안을 보여주었습니다. 그러나 위의 사항을 수행하는 것만으로도 이미 상당히 강력합니다.
그러나 위에서 언급한 기술적 이점 외에도 Web3는 완전한 개방성과 투명성으로 인해 개념적 의미에서 몇 가지 보안 이점을 가지고 있습니다. Web3가 출현하기 오래 전에 개방형 보안의 개념은 보안 분야에서 "숨겨진 보안"보다 더 많은 이점이 있다고 믿는 많은 옹호자들이 있었습니다. Web3는 개방형 보안의 개념을 극단으로 가져갑니다. Web3에서는 규칙에 따라 코드가 오픈 소스일 뿐만 아니라 정의에 따라 바이너리가 블록체인에서 공개되고 게시된 소스 코드의 결과로 검증 가능합니다. 또한 정의에 따라 모든 코드 실행(트랜잭션)은 공개되며 누구나 확인하고 검토할 수 있습니다.
이론상의 이점은 실제적인 이점이 아닙니다.
Web3의 보안이 이론적으로 기존 애플리케이션보다 훨씬 낫다면 실제로는 DeFI 애플리케이션이 여전히 기존 뱅킹 애플리케이션만큼 안전하지 않은 이유는 무엇입니까?
Web3 보안 자체가 나쁘기 때문이 아니라 공격자가 해킹으로 더 쉽게 돈을 벌 수 있는 적대적인 환경에서 작동하기 때문이라고 생각합니다. Web3 애플리케이션은 블록체인의 자금 이체가 거의 즉각적이고 변경 불가능하기 때문에 항상 "유동성 자금"을 다루고 있습니다. 공격자가 현금을 인출하기 전에 복구할 수 있습니다.
특히 가장 큰 은행 해킹 중 하나인 2016년 방글라데시 은행 해킹을 살펴볼 수 있습니다. 공격자는 멀웨어를 사용하여 은행에 침투하고 사기성 SWIFT 전선을 보내 10억 달러를 훔쳤습니다. 실제로 10억 달러를 얻으려면 공격자는 은행 휴무일과 일치하는 특정 날짜를 목표로 삼아 현금을 인출할 충분한 시간을 주어야 합니다. 그들은 또한 송금이 반환되기 전에 자금을 인출하기 위해 대규모 송금을 처리할 수 있는 필리핀 은행에서 미리 준비해야 합니다. 결국 공격자들은 10억 달러 중 "단지" 6천만 달러를 얻었습니다. 은행의 소프트웨어가 더 안전했기 때문이 아니라 환경이 더 관대했기 때문에 방어자들이 전신 송금을 복구할 수 있는 충분한 시간을 주었기 때문입니다.
따라서 공격자를 물리치기 위해서는 방어자를 위해 더 많은 시간을 벌어야 한다는 결론을 내릴 수 있습니다.
이를 위해서는 공격 탐지 시간을 줄이거나 트랜잭션을 되돌릴 수 있는 시간을 늘리거나 둘 다 해야 합니다.
일부 보안 회사(예: peckshield)는 위에서 언급한 블록체인 투명성과 공개 데이터를 기반으로 하는 "개방형 보안" 개념을 활용하여 해커를 미리 탐지할 수 있기 때문에 공격 탐지 시간을 개선할 수 있는 우리 커뮤니티의 능력에 대해 매우 낙관적입니다. 공격 조기 경보 최근 해킹과 사후 분석으로 판단하면 트랜잭션이 실행될 때 실시간으로 분석이 수행되는 것을 막을 수 있는 것은 없습니다(트랜잭션이 노드의 mempool에서 "소유"로 실행되는 경우에도). 이러한 고급 조기 경보 시스템을 계약에 통합하면 Forta.network와 같은 최근 프로젝트에서 알 수 있듯이 이러한 악의적인 거래를 방지하기에 충분할 수 있습니다.
오늘날에도 현금 인출은 생각보다 쉽지 않습니다. 일부 암호화 토큰은 나열된 사용자의 자산을 동결하기 위해 자체 블랙리스트를 설정했습니다. 또한 공격자는 명목 화폐로 현금화하기 위해 일반적으로 점점 더 규제되고 KYC 기능(고객 파악)을 추가하고 공격을 방지하기 위한 블랙리스트가 현금화되는 중앙 집중식 거래소에 의존해야 합니다. 그 결과 오늘날 일부 공격자들은 해킹된 자금의 대부분을 반환하고 일부만 유지하며 이러한 자금을 해킹된 응용 프로그램에서 발행한 "버그 포상금"으로 세탁하는 것을 선호합니다. 최근 압수된 비트파이넥스 해킹 자금처럼 이들 해커가 대량의 크립토를 현금화하는 것은 사실상 어렵다. 확실히, 현금화는 점점 더 어려워질 것입니다.
결론: 우리는 성공할 것이다
Web3의 보안은 충분하지 않지만 지속적으로 개선됨에 따라 향후 디지털 활동을 위한 안전한 방패가 될 가능성이 있습니다. 대부분의 혁신적인 기술과 마찬가지로 Web3의 기능이 풍부해질수록 보안 문제가 더 커지며 항상 그랬습니다. 그러나 향후 벤처 캐피탈의 재정적 지원과 성공적인 Web3 프로젝트로 인해 기존 보안 제품에서 Web3 분야로 보안 시스템 인재가 계속 쏟아져 나올 것이며 그때까지는 Web3의 보안이 충분히 활용될 수 있을 것이라고 믿습니다.
Web3 및 Crypto 기술은 컴퓨터 과학 및 경제학의 많은 분야를 포함하지만 저는 보안 분야만 이해합니다. 나는 Web3가 보안 분야에서 중대한 돌파구를 가져올 것이라고 믿으며, 내가 이해하지 못하는 다른 영역도 개선할 수 있다고 믿습니다.
원본 링크
