소개: OKX Web3 Wallet은 다양한 유형의 온체인 보안 문제에 대한 특별한 답변을 제공하기 위해 "보안 특별 문제" 칼럼을 특별히 기획했습니다. 사용자 주변에서 일어나는 가장 실제 사례를 통해 보안 분야의 전문가나 기관과 협력하여 다양한 관점에서 질문을 공유하고 답변함으로써 안전한 거래 규칙을 얕은 것부터 심층적으로 정리하고 요약하여 사용자 안전 강화를 목표로 합니다. 교육 및 사용자가 개인 키와 지갑 자산의 보안을 스스로 보호하는 방법을 배우도록 돕습니다.

DeFi 세계의 가장 큰 매력은 누구나 '거대한 고래'가 될 수 있는 잠재력을 가지고 있다는 것입니다.

그러나 "거대 고래"조차도 용감하지 못합니다. 고기를 먹더라도 때로는 "맞을"수 있습니다.

따라서 체인에서 플레이할 때는 안전이 최우선입니다.

안 그러면 처음부터 다시 시작해야 해요~

이번 호는 보안 특집 05호로, 블록체인 보안의 선구자인 BlockSec과 OKX Web3 지갑 보안팀을 특별호로 초대하여 이를 곧 시작하거나 앞으로 시작하게 될 모든 사용자 및 프로젝트 당사자에게 실무적 가이드의 관점에서 공유합니다. "거대한 고래". DeFi 헤징 가이드. 예를 들어 감사 보고서를 읽는 방법, DeFi 프로젝트 위험, 프로젝트 당사자 또는 고래 사용자의 사전 평가를 위해 일반적으로 사용되는 지표 및 매개변수, 모니터링 인식 기능 구축 방법, DeFi 보안 보호 규칙 등을 놓치지 마세요!

BlockSec 보안 팀: BlockSec은 세계 최고의 "풀 스택" 블록체인 보안 서비스 제공업체로 현재 MetaMask, Liquid, Uniswap Foundation, Forta, PancakeSwap, Puffer 등 유명 프로젝트 당사자를 포함하여 300개 이상의 고객에게 서비스를 제공하고 있습니다. 등, 화이트햇을 통해 구조된 금전적 손실은 2천만 달러 이상을 회복했습니다.

BlockSec CEO이자 공동 창업자인 Zhou Yajin은 저장대학교의 컴퓨터 교수이자 Aminer가 선정한 세계에서 가장 영향력 있는 학자입니다. 그는 50개 이상의 주요 논문을 발표했으며 10,000회 이상의 인용을 받았습니다. CTO이자 공동 창립자인 Wu Lei는 저장대학교의 컴퓨터 교수이자 Paidun의 전 공동 창립자입니다. 그는 팀을 이끌고 여러 유명 프로젝트에서 수십 개의 제로데이 취약점을 발견했습니다. 제품 이사 Raymond는 Tencent 및 360에서 보안 제품을 담당해 왔습니다.

OKX Web3 지갑 보안 팀: 안녕하세요 여러분, 이 소식을 공유하게 되어 매우 기쁩니다. OKX Web3 보안팀은 스마트 계약 보안 감사, 지갑 보안 기능 구축, 온체인 프로젝트 보안 모니터링 등 Web3 분야에서 OKX의 다양한 보안 기능 구축을 주로 담당하여 사용자에게 다양한 측면을 제공합니다. 상품보안, 자금보안, 거래보안 등 보호 서비스는 블록체인 전체의 보안 생태계를 유지하는데 기여합니다.

Q1: 사용자들이 실제로 겪었던 여러 DeFi 위험 사례를 공유해 주세요.

BlockSec 보안팀: DeFi는 상대적으로 안정적이고 높은 자산 수익을 제공하기 때문에 많은 대규모 투자자의 참여를 유도했습니다. 유동성 개선을 위해 많은 프로젝트 당사자들도 적극적으로 대규모 투자자를 유치해 정착할 예정이다. 예를 들어, 일부 대규모 투자자가 DeFi에 엄청난 양의 자산을 예치한다는 뉴스 보도를 자주 접합니다. 물론, 이러한 거대 고래들은 안정적인 수익을 얻는 것 외에도 DeFi 프로젝트에 참여할 때 몇 가지 위험에 직면하게 됩니다. 다음으로 업계의 공개 DeFi 위험 사례를 공유합니다.

사례 1: 2022년 PolyNetwork 보안 사고에서는 총 6억 달러 이상의 자산이 공격을 받았습니다. 선우에도 1억 달러가 들어 있었다고 한다. 공격자가 나중에 돈을 갚아 사건이 성공적으로 해결됐지만 선우도 사건을 기념하기 위해 체인에 기념비를 세우겠다고 밝혔지만 이 과정은 반드시 이뤄져야 한다. 매우 고통스러웠습니다. 현재 발생하는 보안 사고 중 소수는 좋은 결과를 가져오지만 대다수는 운이 좋지 않습니다.

사례 2: 잘 알려진 DEX SushiSwap은 2023년에 공격을 받았습니다. 대규모 사용자인 0x Sifu는 330만 달러 이상의 손실을 입었습니다. 그의 손실만으로도 전체 손실의 약 90%를 차지했습니다.

사례 3: 올해 3월 발생한 Prisma 보안 사고에서 총 손실액은 1,400만 달러였습니다. 이러한 손실은 17개 지갑 주소에서 발생했으며 지갑당 평균 손실액은 820,000달러였지만 손실의 80%는 4명의 사용자가 차지했습니다. 도난당한 자산의 대부분은 아직 복구되지 않았습니다.

최종 분석에서 DeFi, 특히 메인 네트워크의 DeFi는 가스 수수료를 무시할 수 없기 때문에 자산이 특정 규모에 도달해야만 실제로 혜택을 얻을 수 있습니다(에어드롭 보상 제외). 따라서 DeFi 프로젝트의 주요 TVL은 다음과 같습니다. 일반적으로 거대 고래가 기여하며 일부 프로젝트에서는 고래의 2%가 TVL의 80%를 기여합니다. 보안사고가 발생하면 이들 거대고래들이 필연적으로 대부분의 손실을 감수하게 된다. "거대고래가 고기를 먹는 모습만 볼 수 있는 것이 아니라 때로는 맞기도 합니다."

OKX Web3 지갑 보안 팀: 온체인 세계의 번영과 발전으로 인해 사용자가 직면하는 DeFi 위험 사례도 날로 증가하고 있습니다. 온체인 보안은 항상 사용자에게 가장 기본적이고 중요한 요구 사항이 될 것입니다.

사례 1: PlayDapp 권한 있는 계정 개인 키 유출 사고. 2024년 2월 9일부터 12일까지 이더리움 기반 PlayDapp 게임 플랫폼이 개인 키 유출로 인해 공격을 받았습니다. 공격자는 승인 없이 17억 9천만 개의 PLA 토큰을 주조하고 훔쳤으며 그 결과 약 3,235만 달러의 손실이 발생했습니다. 공격자는 PLA 토큰에 새로운 발행자를 추가하고 대량의 PLA를 발행하여 여러 온체인 주소와 거래소에 퍼뜨렸습니다.

사례 2: 헤지 파이낸스 공격. 2024년 4월 19일, Hedgey Finance는 Ethereum 및 Arbitrum에서 심각한 보안 침해를 당해 약 4,470만 달러의 손실을 입었습니다. 공격자는 계약에 사용자 입력 유효성 검사가 부족하다는 점을 악용하여 취약한 계약에 대한 권한을 얻어 계약에서 자산을 훔칩니다.

Q2: 현재 DeFi 분야에 존재하는 주요 리스크 유형을 요약해 주실 수 있나요?

OKX Web3 Wallet 보안팀: 실제 사례를 바탕으로 현재 DeFi 분야에서 흔히 발생하는 4가지 위험 유형을 정리했습니다.

범주 1: 피싱 공격. 피싱 공격은 합법적인 법인이나 개인인 것처럼 가장하여 피해자를 속여 개인 키, 비밀번호 또는 기타 개인 데이터와 같은 민감한 정보를 제공하도록 하는 일반적인 유형의 사이버 공격입니다. DeFi 공간에서 피싱 공격은 일반적으로 다음과 같은 방식으로 수행됩니다.

1) 가짜 웹사이트: 공격자는 실제 DeFi 프로젝트와 유사한 피싱 웹사이트를 만들어 사용자를 속여 인증에 서명하거나 거래를 전송하도록 합니다.

2) 사회 공학 공격: 트위터에서 공격자는 모방이 많은 계정을 사용하거나 프로젝트 팀 Twitter 또는 Discord 계정을 탈취하여 허위 프로모션이나 에어드랍 정보(실제로는 피싱 링크)를 게시하여 사용자를 대상으로 피싱 공격을 수행합니다.

3) 악성 스마트 계약: 공격자는 겉보기에 매력적으로 보이는 스마트 계약이나 DeFi 프로젝트를 게시하여 사용자를 속여 액세스 권한을 승인하도록 하여 자금을 훔칩니다.

카테고리 2: 러그풀. 러그풀(Rugpull)은 DeFi 분야의 독특한 사기로, 프로젝트 개발자가 대규모 투자를 유치한 후 갑자기 자금을 인출하고 사라져 투자자의 자금을 모두 휩쓸어가는 현상을 말합니다. Rugpull은 일반적으로 분산형 거래소(DEX) 및 유동성 채굴 프로젝트에서 발생합니다. 주요 증상은 다음과 같습니다.

1) 유동성 인출: 개발자가 사용자의 투자를 유도하기 위해 유동성 풀에 대량의 유동성을 제공한 후 갑자기 모든 유동성을 인출하여 토큰 가격이 폭락하고 투자자가 큰 손실을 입게 됩니다.

2) 가짜 프로젝트: 개발자는 거짓 약속과 높은 수익을 통해 사용자를 투자로 유인하기 위해 합법적인 것처럼 보이는 DeFi 프로젝트를 만들지만 실제로는 실제 제품이나 서비스가 없습니다.

3) 계약 권한 변경: 개발자는 백도어나 스마트 계약의 권한을 사용하여 언제든지 계약 규칙을 변경하거나 자금을 인출할 수 있습니다.

카테고리 3: 스마트 계약 취약점. 스마트 계약은 블록체인에서 실행되는 자체 실행 코드이며 일단 배포되면 변경할 수 없습니다. 스마트 계약에 허점이 있으면 심각한 보안 문제가 발생할 수 있습니다. 일반적인 스마트 계약 취약점은 다음과 같습니다.

1) 재진입 취약점: 공격자는 마지막 호출이 완료되기 전에 취약한 계약을 반복적으로 호출하여 계약 내부 상태에 문제를 일으킨다.

2) 논리 오류: 계약 설계 또는 구현의 논리 오류로 인해 예상치 못한 동작이나 취약점이 발생합니다.

3) 정수 오버플로: 계약이 정수 연산을 올바르게 처리하지 않아 오버플로 또는 언더플로가 발생합니다.

4) 가격조작 : 공격자는 오라클 머신의 가격을 조작하여 공격을 수행한다.

5) 정밀도 손실: 부동 소수점 또는 정수 정밀도 문제로 인한 계산 오류입니다.

6) 입력 유효성 검사 부족: 사용자 입력이 완전히 유효성 검사되지 않아 잠재적인 보안 문제가 발생할 수 있습니다.

범주 4: 거버넌스 위험. 거버넌스 리스크는 프로젝트의 핵심 의사결정 및 통제 메커니즘과 관련됩니다. 악의적으로 사용될 경우 프로젝트가 예상 목표에서 벗어나게 될 수 있으며, 심지어 심각한 경제적 손실과 신뢰 위기로 이어질 수도 있습니다. 일반적인 위험 유형은 다음과 같습니다.

1) 개인키 유출

일부 DeFi 프로젝트의 특권 계정은 EOA(외부 소유 계정) 또는 다중 서명 지갑에 의해 제어됩니다. 이러한 개인 키가 유출되거나 도난당할 경우 공격자는 마음대로 계약이나 자금을 조작할 수 있습니다.

2) 거버넌스 공격

일부 DeFi 프로젝트는 분산형 거버넌스 솔루션을 채택하지만 여전히 다음과 같은 위험이 있습니다.

·거버넌스 토큰 차용: 공격자는 거버넌스 토큰을 대량으로 빌려 단시간에 투표 결과를 조작합니다.

·다수 투표권 통제: 거버넌스 토큰이 소수의 손에 고도로 집중되어 있는 경우, 이 사람들은 집중된 투표권을 통해 전체 프로젝트의 의사결정을 통제할 수 있습니다.

Q3: DeFi 프로젝트의 보안 및 위험 수준을 초기에 평가하기 위해 어떤 차원이나 매개변수를 사용할 수 있습니까?

BlockSec 보안팀: DeFi 프로젝트에 참여하기 전에 프로젝트에 대한 전반적인 보안 평가를 수행하는 것이 매우 필요합니다. 특히 상대적으로 자금이 많은 참가자의 경우 필요한 보안 실사가 자금의 안전을 최대한 보장할 수 있습니다.

첫째, 프로젝트 당사자가 감사를 받았는지, 보안 평판이 좋은 감사 회사에서 감사를 받았는지, 여러 감사 회사가 참여했는지, 최신 코드가 감사되었습니다. 일반적으로 온라인에서 실행되는 코드가 보안 평판이 좋은 여러 보안 회사의 감사를 받으면 보안 공격의 위험이 크게 줄어 듭니다.

둘째, 프로젝트 당사자가 실시간 보안 모니터링 시스템을 구축하는지 여부에 따라 다릅니다. 보안 감사를 통해 보장되는 보안은 정적이며 프로젝트가 온라인 상태가 된 후 발생하는 동적 보안 문제를 해결할 수 없습니다. 예를 들어 프로젝트 당사자가 프로젝트의 주요 운영 매개변수를 부적절하게 조정하고 새 풀을 추가하는 등의 문제가 발생했습니다. 프로젝트 당사자가 실시간 보안 모니터링 시스템을 채택하는 경우 운영 중 안전 요소는 그러한 솔루션을 채택하지 않는 프로토콜보다 높을 것입니다.

셋째, 프로젝트 당사자가 비상 상황 시 자동 대응 능력을 갖추고 있는지 여부에 달려 있다. 이 기능은 오랫동안 커뮤니티에서 무시되었습니다. 우리는 여러 보안 사고에서 프로젝트 측이 자동 기능 회로 차단기(또는 자금에 민감한 작업을 위한 회로 차단기)를 구현하지 못한 것을 발견했습니다. 프로젝트 당사자들은 긴급 상황 시 보안 사고를 처리하기 위해 대부분 수동적인 방법을 사용하는데, 이 방법은 비효율적이거나 심지어 비효과적인 것으로 입증되었습니다.

넷째, 프로젝트 당사자의 외부 의존성과 외부 의존성의 견고성에 달려 있습니다. DeFi 프로젝트는 가격, 유동성 등과 같이 제3자 프로젝트에서 제공하는 정보에 의존합니다. 따라서 외부 의존성 수, 외부 의존성 프로젝트의 보안성, 외부 의존성 이상 데이터에 대한 모니터링 및 실시간 처리 여부 등의 관점에서 프로젝트의 보안을 평가할 필요가 있다. 일반적으로 외부에 의존하는 프로젝트 당사자가 주요 프로젝트 당사자이고 외부 프로젝트의 비정상적인 데이터에 대한 내결함성과 실시간 처리 기능을 갖춘 프로젝트가 더 안전합니다.

다섯째, 프로젝트 당사자가 상대적으로 좋은 커뮤니티 거버넌스 구조를 가지고 있는지 여부입니다. 여기에는 프로젝트 당사자가 주요 이벤트에 대한 커뮤니티 투표 메커니즘을 갖추고 있는지 여부, 민감한 작업이 다중 서명으로 완료되는지 여부, 다중 서명 지갑이 커뮤니티 중립적 참여를 도입하는지 여부, 커뮤니티 안전 위원회가 있는지 여부 등이 포함됩니다. 이러한 거버넌스 구조는 프로젝트의 투명성을 향상시키고 프로젝트에서 사용자 자금이 약탈될 가능성을 줄일 수 있습니다.

마지막으로 프로젝트 당사자의 과거 이력도 매우 중요합니다. 프로젝트 팀과 핵심 프로젝트 구성원에 대한 배경 조사가 필요합니다. 프로젝트 팀의 핵심 구성원이 여러 차례 공격을 받았거나 과거 프로젝트에서 러그풀(ruggull)과 같은 나쁜 기록을 가지고 있었다면 해당 프로젝트의 보안 위험은 상대적으로 높을 것입니다.

즉, DeFi 프로젝트에 참여하기 전에 사용자, 특히 대규모 참가자는 프로젝트가 온라인화되기 전 코드 보안 감사부터 실시간 보안 모니터링 및 프로젝트 종료 후 자동 대응 능력 구축까지 연구를 잘 수행해야 합니다. 온라인을 통해 프로젝트 측 투자 및 보안의 보안성을 검토하고, 프로젝트에 투자된 자금의 안전성을 보장하기 위해 외부 의존도, 거버넌스 구조, 프로젝트 당사자의 과거 이력 등의 관점에서 조정 작업이 이루어져야 합니다.

OKX Web3 Wallet 보안팀: DeFi 프로젝트의 보안이 100% 보장될 수는 없지만 사용자는 다음 차원의 교차 조합을 통해 DeFi 프로젝트의 보안 및 위험 수준을 초기에 평가할 수 있습니다.

1. 프로젝트 기술안전

1. 스마트 계약 감사:

1) 해당 프로젝트가 여러 감사회사로부터 감사를 받았는지, 감사회사의 평판과 경험이 좋은지 확인하세요.

2) 감사 보고서에 보고된 문제의 수와 심각도를 확인하여 모든 문제가 해결되었는지 확인합니다.

3) 프로젝트에서 배포한 코드가 감사된 코드 버전과 일치하는지 확인합니다.

2. 오픈 소스 코드:

1) 프로젝트의 코드가 오픈 소스인지 확인하세요. 오픈 소스 코드를 통해 커뮤니티 및 보안 전문가가 이를 검토할 수 있어 잠재적인 보안 문제를 발견하는 데 도움이 됩니다.

2) 개발팀 배경: 프로젝트 개발팀의 배경과 경험, 특히 블록체인 및 보안 분야에서의 경험, 팀의 투명성 및 공개 정보 수준을 이해합니다.

3) 버그 포상금 프로그램: 프로젝트에 보안 연구원이 취약점을 보고하도록 장려하는 버그 포상금 프로그램이 있습니까?

3. 재정적, 경제적 안정

1) 잠긴 자금의 양: 스마트 계약에 잠긴 자금의 양을 확인하십시오. 잠금이 높을수록 프로젝트의 신뢰도가 높다는 것을 의미할 수 있습니다.

2) 거래량 및 유동성: 프로젝트의 거래량 및 유동성을 평가합니다. 유동성이 낮으면 가격 조작 위험이 높아질 수 있습니다.

3) 토큰 경제 모델: 토큰 분배, 인센티브 메커니즘, 인플레이션 모델을 포함한 프로젝트의 토큰 경제 모델을 평가합니다. 예를 들어, 토큰 보유량이 과도하게 집중되어 있는지 등이 있습니다.

4. 운영 및 관리 보안

1) 거버넌스 메커니즘: 프로젝트의 거버넌스 메커니즘, 분산형 거버넌스 메커니즘이 있는지, 커뮤니티가 중요한 결정에 투표할 수 있는지 여부를 이해하고, 거버넌스 토큰의 배포 및 투표권 집중 등을 분석합니다.

2) 위험 관리 조치: 프로젝트에 위험 관리 조치 및 비상 계획이 있고 잠재적인 보안 위협 및 경제적 공격에 대처하는 방법이 있습니까? 또한, 프로젝트 투명성과 커뮤니티 소통 측면에서 프로젝트 당사자가 정기적으로 프로젝트 진행 보고서와 보안 업데이트를 게시하는지, 커뮤니티와 적극적으로 소통하고 사용자 문제를 해결하는지 등을 확인할 수 있습니다.

5. 시장 및 커뮤니티 평가

1) 커뮤니티 활동: 프로젝트의 커뮤니티 활동과 사용자 기반을 평가합니다. 활발한 커뮤니티는 일반적으로 프로젝트가 광범위한 지원을 받고 있음을 의미합니다.

2) 미디어 및 소셜 미디어 평가: 미디어 및 소셜 미디어에서의 프로젝트 평가를 분석하여 프로젝트에 대한 사용자 및 업계 전문가의 의견을 이해합니다.

3) 파트너 및 투자자: 프로젝트가 잘 알려진 파트너 및 투자자의 지원을 받는지 확인하십시오. 평판이 좋은 파트너 및 투자자는 프로젝트의 신뢰성을 높일 수 있지만 안전성을 판단하는 데 결정적인 요소가 될 수는 없습니다.

Q4: 사용자는 감사 보고서, 오픈 소스 상태 등을 어떻게 보아야 합니까?

BlockSec 보안 팀: 감사를 받은 프로젝트의 경우 일반적으로 프로젝트 팀이 공식 채널을 통해 커뮤니티에 감사 보고서를 게시하는 데 앞장서게 됩니다. 이러한 감사 보고서는 일반적으로 프로젝트 팀의 문서, Github 코드 저장소 및 기타 채널에 있습니다. 또한, 감사보고서의 진위여부 확인도 필요하며, 확인방법으로는 감사보고서 전자서명 확인, 2차 확인을 위해 감사업체에 연락하는 등의 방법이 있다.

그렇다면 투자자들은 그러한 감사 보고서를 받은 후 어떻게 연구합니까?

첫째, Open Zeppelin, Trail of Bits, BlockSec 및 기타 주요 감사 회사와 같이 상대적으로 보안 평판이 높은 일부 보안 회사에서 감사 보고서를 감사했는지 여부에 따라 다릅니다.

둘째, 감사보고서에 언급된 문제가 시정되었는지 여부에 따라, 시정되지 않은 경우에는 사업 당사자의 시정 사유가 충분한지 여부에 따라 결정됩니다. 또한 감사 보고서에서는 유효한 취약점 보고서와 유효하지 않은 취약점 보고서를 구별할 필요가 있습니다. 감사 보고서에 대한 통일된 업계 표준이 없기 때문에 보안 감사 회사는 자체 보안 인식을 기반으로 프로젝트 취약성 위험 등급 및 보고서를 수행합니다. 따라서 감사 보고서에서 발견된 취약점에 대한 효과적인 취약점 보고에 중점을 둡니다. 이 프로세스 동안 타사의 독립적인 평가를 수행하기 위해 자체 보안 컨설팅 팀을 참여시키는 것이 가장 좋습니다.

셋째, 프로젝트 당사자가 공개한 감사 보고서의 감사 시간이 최신 프로젝트 업그레이드 및 업데이트 시간과 일치(또는 근접)하는지 여부에 따라 다릅니다. 또한 프로젝트 당사자 코드에도 주의가 필요합니다. 감사 보고서에는 프로젝트 당사자의 현재 온라인 코드가 모두 포함됩니다. 경제적 비용과 시간 비용을 위해 프로젝트 당사자는 일반적으로 부분 코드 감사를 수행합니다. 따라서 이 경우에는 감사된 코드가 핵심 프로토콜 코드인지 여부를 판단할 필요가 있다.

넷째, 프로젝트 측에서 온라인으로 실행 중인 코드가 검증(오픈소스)되었는지, 검증된 코드가 감사보고서와 일치하는지에 따라 달라진다. 일반적으로 감사는 (온라인에 배포된 코드가 아닌) Github의 프로젝트 코드를 기반으로 이루어집니다. 프로젝트가 최종적으로 체인에 배포하는 코드가 오픈 소스가 아니거나 감사 대상 코드와 크게 다른 경우 이는 주의가 필요한 지점입니다.

한마디로 감사 보고서를 읽는 것 자체가 비교적 전문적인 문제이며, 그 과정에서 독립적인 제3자 보안 전문가를 소개하여 컨설팅 의견을 제공하는 것이 좋습니다.

OKX Web3 Wallet 보안팀: 사용자는 DeFi 프로젝트 공식 웹사이트 또는 OKLink와 같은 제3자 웹사이트를 통해 스마트 계약의 감사 보고서 및 오픈 소스 상태를 확인할 수 있습니다. 다음은 프로젝트 감사를 확인하는 일반적인 단계를 설명합니다. 보고서 및 오픈 소스 상태:

먼저 공식 공지나 홈페이지를 찾아보세요. 신뢰할 수 있는 대부분의 DeFi 프로젝트는 공식 웹사이트에 관련 문서 정보를 표시합니다. 프로젝트 문서 페이지에는 일반적으로 감사 보고서 및 프로젝트 팀 배포에 연결되는 "보안", "감사" 또는 "계약 주소" 페이지가 있습니다. 주소. 프로젝트의 공식 웹사이트 외에도 Medium, Twitter 등 공식 소셜 미디어에 감사 보고서와 배포된 계약 주소 정보도 표시하는 것이 일반적입니다.

둘째, 프로젝트 당사자의 공식 홈페이지를 열람한 후, OKLink 브라우저를 통해 프로젝트 당사자가 제공한 배포 계약 주소 정보를 조회할 수 있으며, "계약" 열에서 이 주소에 배포된 계약의 오픈 소스 코드 정보를 볼 수 있습니다. .

셋째, 프로젝트 당사자의 감사 보고서와 배포 계약의 오픈 소스 코드 정보를 얻은 후 프로젝트 당사자의 감사 보고서를 읽을 수 있습니다. 감사 보고서를 읽을 때 다음 사항에 주의해야 합니다.

1) 감사보고서의 구조를 이해하고, 감사보고서 내용에 대한 전반적인 개념을 갖습니다. 감사보고서는 크게 서론, 발견된 문제점, 해결책 및 제안, 감사결과로 구분됩니다.

2) 서문을 읽을 때 감사 보고서의 범위와 목적에 주의해야 합니다. 일반적으로 감사 보고서에는 감사 파일 제출의 Github 커밋 ID가 표시됩니다. 체인에 배포된 오픈 소스 코드와 일치합니다.

3) 발견된 문제, 솔루션 및 제안, 감사 결과를 읽을 때 프로젝트 팀이 발견된 취약점을 권장 사항대로 수정했는지, 프로젝트 당사자가 수정된 내용에 대해 후속 감사를 수행했는지에 중점을 두어야 합니다. 모든 문제가 제대로 처리되었는지 확인하세요.

4) 여러 보고서를 비교합니다. 프로젝트가 여러 번 감사된 경우 각 감사 보고서 간의 차이점을 검토하여 프로젝트의 보안 개선 사항을 이해하십시오.

Q5: DeFi 프로젝트의 보안에 대한 해커 공격 기록 및 포상금 프로그램의 참고 가치는 무엇입니까?

OKX Web3 지갑 보안 팀: 해커 공격 기록 및 포상금 프로그램은 DeFi 프로젝트의 보안 평가에 대한 특정 참조 값을 제공하며 주로 다음 측면에 반영됩니다.

첫째, 해커 공격의 역사

1) 과거 취약점 공개: 공격 기록은 프로젝트에 존재했던 특정 보안 취약점을 표시할 수 있으므로 사용자는 과거에 어떤 보안 문제가 악용되었는지, 이러한 문제가 완전히 복구되었는지 이해할 수 있습니다.

2) 위험 관리 능력 평가: 프로젝트가 과거 보안 사고에 대응하는 방식은 위험 관리 및 위기 처리 능력을 반영할 수 있습니다. 선제적으로 대응하고 적시에 취약점을 수정하며 영향을 받은 사용자에게 보상하는 프로젝트는 일반적으로 보다 안정적이고 성숙한 투자 옵션으로 간주됩니다.

3) 프로젝트 신뢰성: 빈번한 보안 문제는 프로젝트에 대한 사용자의 신뢰를 약화시킬 수 있지만, 프로젝트가 실수로부터 학습하는 능력을 입증하고 보안 조치를 강화할 수 있다면 장기적인 신뢰성도 구축할 수 있습니다.

두 번째, 바운티 프로그램

DeFi 및 기타 소프트웨어 프로젝트에서 포상금 프로그램을 구현하는 것은 보안을 강화하고 잠재적인 취약점을 찾아내는 중요한 전략입니다. 이러한 계획은 프로젝트의 안전성 평가에 다양한 참조 값을 제공합니다.

1) 외부 감사 강화: 포상금 프로그램은 전 세계 보안 연구원들이 프로젝트 보안 감사에 참여하도록 장려합니다. 보안 테스트에 대한 이러한 "크라우드소싱" 접근 방식은 내부 감사에서 간과되었을 수 있는 문제를 밝혀내 잠재적인 취약점을 발견하고 해결할 가능성을 높입니다.

2) 보안 조치의 효율성 검증: 실제 포상금 프로그램을 통해 프로젝트는 실제 전투에서 보안 조치의 효율성을 테스트할 수 있습니다. 프로젝트의 포상금 프로그램이 길지만 보고된 심각한 취약점의 수가 적은 경우 이는 해당 프로젝트가 상대적으로 성숙하고 안전하다는 지표일 수 있습니다.

3) 지속적인 보안 개선: 포상금 프로그램은 지속적인 개선을 위한 메커니즘을 제공합니다. 새로운 기술과 새로운 공격 방법이 등장함에 따라 현상금 프로그램은 프로젝트 팀이 적시에 보안 조치를 업데이트하고 강화하여 프로젝트가 최신 보안 문제에 대응할 수 있도록 돕습니다.

4) 안전 문화 구축: 프로젝트에 포상금 프로그램이 있는지 여부는 물론 프로그램의 심각성과 활동도가 안전에 대한 프로젝트 팀의 태도를 반영할 수 있습니다. 활성 포상금 프로그램은 견고한 보안 문화를 구축하려는 프로젝트의 의지를 보여줍니다.

5) 커뮤니티 및 투자자의 신뢰도 향상: 포상금 프로그램의 존재와 효율성은 프로젝트가 보안을 매우 중요하게 생각한다는 점을 커뮤니티 및 잠재적 투자자에게 입증할 수 있습니다. 이는 사용자 신뢰를 향상시킬 뿐만 아니라 투자자가 보안 책임 수준이 높은 프로젝트를 선택하는 경향이 있기 때문에 더 많은 투자를 유치할 수도 있습니다.

질문 6: 사용자가 DeFi에 참여할 때 모니터링 및 인식 기능을 어떻게 구축합니까?

BlockSec 보안 팀: 고래 사용자를 예로 들면, 거대 고래는 주로 소규모 팀으로 구성된 개인 투자자 또는 투자 기관을 의미하며, 이러한 사용자는 일반적으로 강력한 보안 팀이나 자체 개발한 보안 도구를 보유하지 않습니다. 따라서 지금까지 대부분의 거대 고래는 실제로 충분한 위험 인식을 갖고 있지 않습니다. 그렇지 않으면 그렇게 큰 손실을 입지 않을 것입니다.

막대한 손실의 위험에 직면한 일부 고래 사용자는 위험을 모니터링하고 감지하기 위해 일부 공공 보안 도구에 의식적으로 의존하기 시작했습니다. 요즘에는 모니터링 제품을 만드는 팀이 많지만 선택 방법이 매우 중요합니다. 다음은 몇 가지 핵심 사항입니다.

첫째, 도구 사용 비용이 있습니다. 많은 도구는 매우 강력하기는 하지만 프로그래밍이 필요하고 사용 비용이 저렴하지 않습니다. 사용자가 계약의 구조를 파악하고 주소를 수집하는 것조차 쉽지 않습니다.

둘째, 정확성이다. 밤에 자고 있는 동안 연속으로 여러 개의 알람을 받고 싶지 않은 사람은 그 알람이 허위 알람이라는 사실을 알게 되어 실망스러울 수 있습니다. 따라서 정확성도 매우 중요합니다.

마지막으로 보안이 있습니다. 특히 이 규모의 자금에서는 도구 개발과 팀의 다양한 보안 위험을 무시할 수 없습니다. 최근 갈라 게임 공격 사건은 안전하지 않은 제3자 서비스 제공업체의 도입으로 인해 발생한 것으로 전해진다. 따라서 신뢰할 수 있는 팀과 신뢰할 수 있는 제품이 중요합니다.

지금까지 많은 고래들이 우리를 찾아왔고, 우리는 그들에게 전문적인 자산관리 솔루션을 추천하여 고래 이용자들이 자금의 안전을 보장할 뿐만 아니라 "굴착, 모금, 매도' 등의 리스크를 인지하고 있으며, 비상사태 시 자금 인출까지 가능합니다.

Q7: DeFi 참여를 위한 보안 권장 사항 및 보안 위험에 대처하는 방법

BlockSec 보안팀: 자금이 많은 참가자의 경우, DeFi 프로토콜에 참여하기 위해 가장 먼저 해야 할 일은 주체의 안전을 보장하고, 발생할 수 있는 보안 위험에 대해 상대적으로 철저한 연구를 수행한 후 투자하는 것입니다. 자금의 안전은 일반적으로 다음과 같은 측면에서 보장될 수 있습니다.

우선 사업 당사자의 안전 강조점과 투자 수준을 다방면에서 판단할 필요가 있다. 위에서 언급한 내용을 포함하여 상대적으로 철저한 보안 감사를 받았는지, 프로젝트 당사자가 프로젝트 보안 위험 모니터링 및 자동 대응 기능을 갖추고 있는지, 상대적으로 우수한 커뮤니티 거버넌스 메커니즘을 보유하고 있는지 등을 포함합니다. 이 모든 것은 프로젝트 당사자가 사용자 자금 보안에 큰 중요성을 부여하는지, 사용자 자금 보안에 대해 높은 책임감을 갖고 있는지 여부를 반영할 수 있습니다.

둘째, 자금이 많은 참여자 역시 자체 보안 모니터링 및 자동 대응 시스템을 구축해야 합니다. 투자계약상 보안사고가 발생한 후, 거액의 투자자는 프로젝트 당사자에게 모든 희망을 걸기보다는 즉시 이를 감지하고 자금을 회수하여 최대한 손실을 복구할 수 있어야 합니다. 2023년에는 Curve, KyberSwap, Euler Finance 등을 포함하여 많은 유명 프로젝트가 공격을 받은 것을 볼 수 있습니다. 불행하게도 우리는 공격이 발생했을 때 대규모 투자자들이 시의적절하고 효과적인 정보가 부족한 경우가 많으며 자체 보안 모니터링 및 비상 대피 시스템을 갖추고 있지 않다는 사실을 발견했습니다.

또한, 투자자는 투자 프로젝트 대상의 보안에 지속적으로 관심을 기울이기 위해 더 나은 보안 파트너를 선택해야 합니다. 프로젝트 팀의 코드 업그레이드, 중요한 매개변수 변경 등이든 적시에 위험을 인식하고 평가해야 합니다. 전문 보안팀과 도구의 참여 없이는 이러한 일을 달성하기가 어렵습니다.

마지막으로 개인 키를 보호해야 합니다. 빈번한 거래가 필요한 계정의 경우 온라인 다중 서명과 오프라인 개인 키 보안 솔루션을 결합하여 단일 주소 및 단일 개인 키 손실 후 단일 지점 위험을 제거하는 것이 가장 좋습니다.

투자 프로젝트가 안전 위험에 직면하면 어떻게 해야 합니까?

저는 거대 고래와 투자자 모두 보안 사고가 발생했을 때 가장 먼저 반응하는 것이 자본을 보호하는 것이어야 하며, 가능한 한 빨리 매각하는 것이 최우선이라고 믿습니다. 그러나 공격자는 매우 빠른 경우가 많고 수동 작업은 너무 늦은 경우가 많으므로 위험에 따라 자동으로 자금을 인출할 수 있는 것이 가장 좋습니다. 현재 공격 거래 발견 후 자동으로 자금을 인출할 수 있는 관련 도구를 제공하여 사용자가 먼저 대피할 수 있도록 도와줍니다.

둘째, 실제로 손실이 발생한 경우 학습 교훈 외에도 프로젝트 당사자가 보안 회사의 도움을 받아 손상된 자금을 추적하고 모니터링하도록 적극적으로 권장해야 합니다. 암호화폐 산업 전체가 보안을 중요하게 생각함에 따라 회수되는 자금의 비중이 점차 늘어나고 있습니다.

마지막으로, 대규모 투자자라면 보안 회사에 투자한 다른 프로젝트에도 비슷한 문제가 있는지 조사해 달라고 요청할 수도 있습니다. 지난해 많은 프로젝트에서 비슷한 문제가 발생해 지속적으로 공격을 받은 등 많은 공격의 근본 원인은 동일하다. 따라서 투자 포트폴리오 내 다른 프로젝트의 위험성에 대한 분석을 보안업체에 요청할 수 있으며, 위험성이 발견되면 최대한 빨리 프로젝트 당사자와 소통하거나 철회해야 합니다.

OKX Web3 Wallet 보안팀: DeFi 프로젝트에 참여할 때 사용자는 DeFi 프로젝트에 보다 안전하게 참여하고 자본 손실 위험을 줄이며 분산 금융의 이점을 누릴 수 있도록 다양한 조치를 취할 수 있습니다. 우리는 사용자 수준과 OKX Web3 지갑의 두 가지 수준에서 시작합니다.

먼저, 사용자의 경우:

1) 감사 대상 프로젝트 선택: 잘 알려진 제3자 감사 회사(예: ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK)에서 감사를 받은 프로젝트의 우선 순위를 지정하고 공개 감사 보고서를 검토하며 잠재적인 위험과 취약성을 이해합니다. 수리.

2) 프로젝트 배경 및 팀 이해: 프로젝트 백서, 공식 웹사이트, 개발팀 배경을 연구하여 프로젝트가 투명하고 신뢰할 수 있는지 확인합니다. 소셜 미디어와 개발 커뮤니티에서 팀의 활동을 팔로우하여 팀의 기술적 역량과 커뮤니티 지원에 대해 알아보세요.

3) 분산 투자: 단일 DeFi 프로젝트나 자산에 모든 자금을 투자하지 마십시오. 분산 투자는 위험을 줄일 수 있습니다. 대출, DEX, 농업 등과 같은 다양한 유형의 DeFi 프로젝트 중에서 선택하여 위험 노출을 다양화하세요.

4) 소액 테스트: 대규모 거래 전 소액 테스트 거래를 실시하여 운영 및 플랫폼의 보안을 보장합니다.

5) 정기적으로 계정 모니터링 및 비상 대응: DeFi 계정 및 자산을 정기적으로 확인하여 비정상적인 거래 또는 활동을 적시에 발견합니다. Etherscan과 같은 도구를 사용하여 온체인 거래 기록을 모니터링하여 자산 보안을 보장하세요. 이상징후를 감지한 후 계정에 대한 모든 승인 취소, 지갑 보안팀에 연락하여 지원을 요청하는 등 적시에 긴급 조치를 취하십시오.

6) 새로운 프로젝트를 주의 깊게 사용하십시오. 이제 막 시작되었거나 검증되지 않은 새로운 프로젝트에 주의하십시오. 작동과 안전성을 관찰하기 위해 먼저 테스트에 약간의 돈을 투자할 수 있습니다.

7) 거래에 주류 Web3 지갑 사용: DeFi 프로젝트와 상호 작용하려면 주류 Web3 지갑만 사용하세요. 주류 Web3 지갑은 더 나은 보안 보호를 제공합니다.

8) 피싱 공격 예방: 출처를 알 수 없는 링크나 이메일을 클릭할 때는 주의하고, 신뢰할 수 없는 웹사이트에는 개인 키나 니모닉 문구를 입력하지 말고, 방문하는 링크가 공식 웹사이트인지 확인하세요. 소프트웨어의 신뢰성을 보장하기 위해 공식 채널을 사용하여 지갑과 애플리케이션을 다운로드하십시오.

둘째, OKX Web3 지갑의 관점에서 보면:

우리는 사용자 자금을 보호하기 위해 다양한 보안 메커니즘을 제공합니다.

1) 위험 도메인 이름 탐지: 사용자가 DAPP에 접근하면 OKX Web3 Wallet은 사용자가 악성 DAPP에 접근하는 경우 사용자가 속지 않도록 차단하거나 알림을 보내 도메인 이름 수준에서 탐지 및 분석을 수행합니다. .

2) Pixiu Pan 토큰 감지: OKX Web3 지갑은 완전한 Pixiu Pan 토큰 감지 기능을 지원하고 사용자가 Pixiu Pan 토큰과 상호 작용하지 못하도록 지갑에서 Pixiu Pan 토큰을 적극적으로 차단합니다.

3) 주소 태그 라이브러리: OKX Web3 지갑은 풍부하고 완전한 주소 태그 라이브러리를 제공합니다. 사용자가 의심스러운 주소와 상호 작용하면 OKX Web3 지갑이 적시에 경고를 보냅니다.

4) 거래 사전 실행: 사용자가 거래를 제출하기 전에 OKX Web3 지갑은 거래 실행을 시뮬레이션하고 참고용으로 사용자에게 자산 및 권한 변경 결과를 표시합니다. 사용자는 결과가 기대에 부합하는지 판단하고 거래를 계속 제출할지 여부를 결정할 수 있습니다.

5) 통합 DeFi 애플리케이션: OKX Web3 지갑은 다양한 주류 DeFi 프로젝트의 서비스를 통합했습니다. 사용자는 OKX Web3 지갑을 통해 통합 DeFi 프로젝트와 안전하게 상호 작용할 수 있습니다. 또한 OKX Web3 Wallet은 사용자에게 최적의 DeFi 서비스와 가스 솔루션을 제공하기 위해 DEX 및 크로스 체인 브리지와 같은 DeFi 서비스에 대한 경로도 권장합니다.

6) 더 많은 보안 서비스: OKX Web3 지갑은 점차적으로 더 많은 보안 기능을 추가하고 더욱 발전된 보안 보호 서비스를 구축하고 있으며, 이를 통해 OKX 지갑 사용자의 보안을 더욱 효율적으로 보호할 수 있습니다.

Q8: 사용자뿐만 아니라 DeFi 프로젝트가 직면한 위험 유형과 이를 보호하는 방법은 무엇입니까?

BlockSec 보안팀: DeFi 프로젝트가 직면한 위험 유형에는 코드 보안 위험, 운영 보안 위험 및 외부 종속성 위험이 포함됩니다.

첫째, 코드 보안 위험입니다. 즉, DeFi 프로젝트가 코드 수준에서 가질 수 있는 보안 위험입니다. DeFi 프로젝트의 경우 스마트 계약은 핵심 비즈니스 로직(프론트엔드 및 백엔드 처리 로직 및 기타 기존 소프트웨어 개발 비즈니스는 상대적으로 성숙함)이며 다음을 포함하여 우리의 관심과 논의의 초점이기도 합니다.

1) 우선, 개발 관점에서 재진입 취약점 등을 방지하기 위한 Checks-Effects-Interactions 모드 등 업계에서 인정하는 스마트 계약 보안 개발 관행을 따르는 것이 필요합니다. 일반적으로 사용되는 기능을 위한 신뢰할 수 있는 타사 도구를 타사 라이브러리를 사용하여 구현하여 휠 재발명으로 인한 알 수 없는 위험을 방지합니다.

2) 두 번째 단계는 내부 테스트를 수행하는 것입니다. 테스트는 소프트웨어 개발의 중요한 부분이며 많은 문제를 찾는 데 도움이 될 수 있습니다. 그러나 DeFI 프로젝트의 경우 로컬 테스트만으로는 문제를 드러내기에 충분하지 않습니다. 이를 달성하려면 Phalcon Fork와 같은 도구를 사용하여 실제 라인에 가까운 배포 환경에서 추가 테스트를 수행해야 합니다.

3) 마지막으로 테스트가 완료된 후 평판이 좋은 제3자 감사 서비스에 연결합니다. 감사를 통해 문제가 발생하지 않는다고 100% 보장할 수는 없지만, 체계적 감사는 프로젝트 팀이 잘 알려져 있지 않거나 다른 사고 방식을 가진 개발자로 인해 종종 발생하는 다양한 알려진 일반적인 보안 문제를 찾는 데 도움이 될 수 있습니다. 부품에 접근하기가 더 어렵습니다. 물론 감사법인마다 전문성과 방향성이 다르기 때문에 예산이 허락한다면 실무에서는 2개 이상의 감사법인이 참여하는 것이 바람직하다.

둘째, 운영 보안 위험입니다. 즉, 프로젝트가 온라인 상태가 된 후 운영 중에 발생하는 보안 위험입니다. 한편으로는 아직 코드에 알려지지 않은 취약점이 있을 수 있습니다. 코드가 잘 개발되고, 테스트되고, 감사되더라도 여전히 발견되지 않은 보안 위험이 있을 수 있습니다. 이는 코드 수준의 문제를 넘어서, 소프트웨어 개발에서 수십 년간의 보안 관행을 통해 널리 입증되었습니다. 개인 키 유출, 중요한 시스템 매개변수의 잘못된 설정 등과 같이 온라인 상태가 된 후 문제가 발생하여 심각한 결과와 막대한 손실을 초래할 수 있습니다. 운영 보안 위험을 처리하기 위해 제안된 전략은 다음과 같습니다.

1) 개인키 관리 확립 및 개선: 신뢰할 수 있는 하드웨어 지갑이나 MPC 기반 지갑 솔루션 등 신뢰할 수 있는 개인키 관리 방법을 사용합니다.

2) 운영 상태 모니터링을 잘 수행하십시오. 모니터링 시스템은 특권 운영 및 프로젝트의 보안 상태를 실시간으로 인식합니다.

3) 위험에 대한 자동화된 대응 메커니즘 구축: 예를 들어 BlockSec Phalcon을 사용하면 공격이 발생할 때 자동으로 차단하여 (추가) 손실을 방지할 수 있습니다.

4) 권한 있는 작업을 수행하기 위해 안전한 다중 서명 지갑을 사용하는 등 권한 있는 작업의 단일 지점 위험을 피하세요.

셋째, 외부 의존성 위험은 다른 DeFi 프로토콜에서 제공하는 가격 오라클에 의존하는 등 프로젝트의 외부 의존성으로 인해 발생하는 위험을 의미하지만, 오라클 문제로 인해 가격 계산이 잘못된 결과를 낳게 됩니다. 외부 종속성 위험에 대한 권장 사항은 다음과 같습니다.

1) 업계에서 인정받는 신뢰할 수 있는 헤드 프로토콜 등 신뢰할 수 있는 외부 파트너를 선택하세요.

2) 운영 상태 모니터링을 잘 수행하십시오. 운영 보안 위험과 유사하지만 여기서 모니터링 대상은 외부 종속성입니다.

3) 위험에 대한 자동화된 대응 메커니즘 구축: 운영 보안 위험과 유사하지만 전체 프로토콜을 직접 일시 중지하는 대신 백업 종속성을 전환하는 등 처리 방법이 다를 수 있습니다.

또한 모니터링 역량을 구축하려는 프로젝트 당사자를 위해 몇 가지 모니터링 제안도 제공합니다.

1) 정확하게 설정된 모니터링 지점: 프로토콜에 어떤 주요 상태(변수)가 존재하고 모니터링해야 하는 위치를 결정하는 것이 모니터링 기능 구축의 첫 번째 단계입니다. 하지만 모든 측면을 포괄하는 모니터링 지점을 설정하기는 어렵습니다. 특히 공격 모니터링 측면에서는 실제 전투에서 테스트된 외부 전문 타사 공격 탐지 엔진을 사용하는 것이 좋습니다.

2) 모니터링의 정확성과 적시성 보장: 모니터링의 정확성은 FP(false positives) 및 FN(false negatives)이 너무 많아서는 안 된다는 것을 의미합니다. 정확성이 부족한 모니터링 시스템은 본질적으로 대응을 위한 전제 조건입니다. (예: 의심스러운 계약을 배포한 후 공격 거래가 체인에 업로드되기 전에 의심스러운 계약을 탐지할 수 있는지 여부), 그렇지 않으면 사후 이벤트 분석에만 사용할 수 있으므로 성능과 성능에 대한 요구 사항이 매우 높습니다. 모니터링 시스템의 안정성.

3) 자동화된 대응 역량이 필요하다. 정확한 실시간 모니터링을 기반으로 공격 차단을 위한 일시정지 프로토콜 등 자동화된 대응을 구축할 수 있다. 이를 위해서는 대응 전략을 유연하게 사용자 정의하고 프로젝트 당사자의 필요에 따라 실행을 자동으로 트리거할 수 있는 사용자 정의 가능하고 안정적인 자동 응답 프레임워크의 지원이 필요합니다.

일반적으로 모니터링 기능 구축에는 전문적인 외부 보안업체의 참여가 필요합니다.

OKX Web3 Wallet 보안 팀: DeFi 프로젝트는 주로 다음 범주를 포함하는 다양한 위험에 직면해 있습니다.

1) 기술적 위험: 주로 스마트 계약 취약점 및 네트워크 공격이 포함됩니다. 보호 조치에는 안전한 개발 관행 채택, 전문적인 제3자 감사 회사를 고용하여 스마트 계약에 대한 포괄적인 감사를 수행하고, 화이트 해커가 취약점을 발견하도록 장려하는 버그 포상금 프로그램을 설정하고, 자금 보안을 개선하기 위해 자산을 분리하는 것이 포함됩니다.

2) 시장리스크 : 주로 가격변동리스크, 유동성리스크, 시장조작리스크, 결합리스크 등을 포함합니다. 보호 조치에는 스테이블 코인 및 위험 헤징을 사용하여 가격 변동을 방지하고, 유동성 채굴 및 동적 수수료 메커니즘을 사용하여 유동성 위험을 처리하고, DeFi 프로토콜이 지원하는 자산 유형을 엄격하게 검토하고, 분산형 오라클을 사용하여 시장 조작을 방지하고, 지속적인 혁신과 최적화를 통해 포함됩니다. 경쟁 위험을 해결하기 위한 프로토콜 기능.

3) 운영 위험: 주로 인적 오류 및 거버넌스 메커니즘 위험이 포함됩니다. 보호 조치에는 인적 오류 발생을 줄이기 위한 엄격한 내부 통제 및 운영 절차 수립, 운영 효율성 향상을 위한 자동화 도구 사용, 투표 지연 및 다중 서명 메커니즘 도입 등 분산화와 보안 간의 균형을 보장하는 합리적인 거버넌스 메커니즘 설계가 포함됩니다. . 또한, 온라인 프로젝트에 대한 모니터링 및 비상계획을 수립하여 이상이 발생하는 경우 즉시 조치하여 손실을 최소화할 예정입니다.

4) 규제 위험: 법적 준수 요구 사항 및 자금 세탁 방지(AML)/고객 파악(KYC) 의무. 보호 조치에는 프로젝트가 법률 및 규제 요구 사항을 준수하도록 보장하기 위한 법률 고문 고용, 투명한 규정 준수 정책 수립, 사용자와 규제 기관 간의 신뢰를 높이기 위한 AML 및 KYC 조치의 사전 구현이 포함됩니다.

Q9: DeFi 프로젝트 당사자는 좋은 감사 회사를 어떻게 판단하고 선택합니까?

BlockSec 보안팀: DeFi 프로젝트 당사자는 어떻게 좋은 감사 회사를 판단하고 선택합니까? 다음은 참고할 수 있는 몇 가지 간단한 표준입니다.

1) 잘 알려진 프로젝트를 감사한 적이 있는지 여부: 이는 감사 회사가 이러한 잘 알려진 프로젝트로 인정받고 있음을 나타냅니다.

2) 감사 대상 프로젝트가 공격을 받았는지 여부: 이론적으로는 감사가 100% 보안을 보장할 수는 없지만, 실제 경험에 따르면 평판이 좋은 감사 회사가 감사한 대부분의 프로젝트는 공격을 받은 적이 없습니다.

3) 과거 감사 보고서를 통한 감사 품질 판단: 감사 보고서는 감사 회사의 전문성을 나타내는 중요한 지표입니다. 특히 동일한 감사 프로젝트, 동일한 감사 범위를 비교할 수 있는 경우 허점 발견의 품질에 집중할 수 있습니다( 위험 정도) 및 수량 등, 그리고 프로젝트 당사자가 취약점 발견을 일반적으로 채택하는지 여부를 확인합니다.

4) 전문 실무자: 감사회사의 인력 구성에는 학력과 전문적 배경이 포함되어 있습니다. 체계적인 교육과 전문적 경험은 감사 품질을 보장하는 데 큰 도움이 됩니다.

마지막으로, OKX Web3 Wallet '보안 특집' 칼럼 05호를 읽어주신 모든 분들께 감사드립니다. 현재 실제 사례와 위험 식별, 안전한 운영 팁을 담은 06호를 준비 중이니 많은 관심 부탁드립니다!

부인 성명

이 기사는 정보 제공의 목적으로만 작성되었으며 (i) 투자 조언 또는 투자 권장 사항 (ii) 디지털 자산 구매, 판매 또는 보유에 대한 제안 또는 권유, 또는 (iii) 금융, 회계, 법률 또는 세금 관련 조언을 제공하기 위한 것이 아닙니다. . 스테이블 코인 및 NFT를 포함한 디지털 자산을 보유하는 것은 높은 수준의 위험을 수반하며 크게 변동하거나 가치가 없게 될 수도 있습니다. 귀하의 재정 상황에 따라 디지털 자산을 거래하거나 보유하는 것이 귀하에게 적합한지 신중하게 고려해야 합니다. 관련 현지 법률 및 규정을 이해하고 준수할 책임이 있습니다.