BTC0.020
ETH0.020
HTX0.020
SOL0.020
BNB0.020
BTC0.020
ETH0.020
HTX0.020
SOL0.020
BNB0.020
DeFi 생태학적 보안 파노라마에 대한 기사 개요 1개
BlockSec
09-01 04:00
本文约4452字,阅读全文需要约18分钟
보안 문제는 매년 수십억 달러의 손실을 초래하며 DeFi 생태계에 장기적으로 심각한 위협이 됩니다.

원저자: BlockSec

소개

DeFi의 개발이 금융 환경을 지속적으로 변화시키면서 보안은 항상 DeFi 생태계가 직면한 주요 과제였습니다. 보안 문제로 인해 매년 수십억 달러의 자산 손실이 발생합니다.

Chainalytic에 따르면 DeFi 해킹 공격으로 인해 2023년에 11억 달러 이상의 자산 손실이 발생했습니다. 이 수치는 2022년에 비해 감소했지만 2023년에는 새로운 DeFi 공격 동향이 나타났습니다. 예를 들어 Curve, KyberSwap 등 오랫동안 안전하게 운영되어 온 일부 유명 프로토콜도 공격을 받았습니다. 또한 Flashbots Relay와 같은 인프라 취약성을 표적으로 삼는 정교한 공격이 등장했습니다.

보안 사고 대시보드 데이터에 따르면 2024년 상반기에 50건 이상의 해커 공격이 발생하여 $100,000 이상의 손실이 발생했습니다.

최근 해커 공격 (출처: 보안 사고 대시보드)

🔗 https://app.blocksec.com/explorer/security-incidents

보안은 DeFi 프로토콜 개발에 매우 중요합니다. 일부 프로토콜은 수십억 달러에 달하는 사용자 자산을 관리하며, 보안 사고로 인해 사용자에게 심각한 손실이 발생할 수 있습니다. 일부 경우에는 도난당한 자금을 (부분적으로) 회수할 수 있지만(예: 오일러 공격) 이에 대해 전적으로 희망을 걸 수는 없습니다. 모든 공격 사건은 DeFi에 대한 사용자의 신뢰를 약화시킵니다.

업계에서는 보안 강화를 위한 다양한 방안을 제시하고 있지만, DeFi 보안에는 아직 개선의 여지가 많습니다. 긍정적인 측면에서는 코드 감사가 커뮤니티의 합의가 되었으며, 대부분의 프로토콜은 온라인에 접속하기 전에 감사되므로 스마트 계약 취약점으로 인한 공격 위험을 줄이는 데 도움이 됩니다. 그러나 코드 감사만으로는 모든 보안 문제를 해결하기에 충분하지 않습니다. 코드 감사는 계약 업그레이드, 구성 변경 및 외부 종속성으로 인해 발생하는 취약점으로 인한 공격을 방지할 수 없습니다. 이러한 제한 사항을 고려하여 일부 프로토콜은 운영 모니터링 및 공격 탐지 시스템과 같은 보다 적극적인 솔루션을 채택하기 시작했습니다.

이 기사에서는 DeFi 보안 파노라마를 이해하기 위해 출시 전, 출시 후 및 공격 대응 단계에서 프로토콜이 취할 수 있는 보안 조치에 대한 개요를 살펴보겠습니다. 각 유형의 보안 이니셔티브와 주요 공급업체/제품, 장단점을 자세히 살펴보겠습니다. 이 기사가 커뮤니티가 DeFi 보안의 현재 상태를 더 잘 이해하고 혁신적인 보안 솔루션에 영감을 주는 데 도움이 되기를 바랍니다.

DeFi 보안 파노라마

DeFi 프로토콜의 보안 조치는 프로토콜이 출시되기 전부터 출시된 후까지 프로토콜의 전체 수명 주기에 걸쳐 실행되어 프로토콜 자체와 작동 중에 보안을 보장해야 합니다. 잠재적인 공격에 대비하여 예방 조치와 대응 계획을 마련하는 것도 중요합니다. 독자들이 현재 어떤 DeFi 보안 솔루션을 이용할 수 있는지 명확하게 이해할 수 있도록 관련 공급업체(제품)를 다음과 같은 범주로 구분했습니다.

출시 전 보안

프로토콜이 온라인 상태가 되기 전에 취할 수 있는 보안 조치에는 코드 감사, 공식 검증 및 보안 테스트가 포함됩니다.

코드 감사 서비스 및 대회

코드 감사는 프로토콜 보안을 보장하기 위해 커뮤니티에서 인정하는 관행입니다. 이 과정에서 보안업체는 동결된 코드에 대해 반자동 검토, 즉 코드의 일반적인 취약점을 자동으로 스캔한 후 복잡한 취약점을 수동으로 검토하게 된다. 대표적인 감사업체로는 OpenZeppelin, ChainSecurity, BlockSec 등이 있다.

또한 감사 경쟁 플랫폼도 있습니다. 감사 서비스를 직접 제공하는 감사 회사와 달리 이러한 플랫폼은 감사 요구 사항을 공개적으로 게시하고 커뮤니티의 보안 연구원을 감사 경쟁에 참여하도록 유도하며 프로토콜 취약점을 발견한 참가자에게 보상을 할당합니다. 감사 경쟁 플랫폼에는 Code 4 rena, SHERLOCK, Cantina, Secure 3 등이 포함됩니다. 각 플랫폼은 취약점 심각도 수준, 배포 보상 및 참여 기준에 약간의 차이가 있습니다.

코드 감사는 프로토콜 보안을 위한 첫 번째 방어선입니다. 그러나 여기에는 몇 가지 제한 사항도 있으므로 평판이 좋은 회사에서 감사한 많은 프로토콜이 여전히 해커로부터 안전하지 않습니다.

  • 첫째, 정적 코드 감사는 프로토콜 종속성으로 인해 발생하는 보안 문제를 해결할 수 없으며 이는 DeFi 프로토콜의 구성 가능성으로 인해 더욱 악화됩니다.

  • 둘째, 코드 감사 과정에서 일부 문제가 충분한 관심을 받지 못했습니다. 예를 들어, 정확성 상실은 감사자와 계약 당사자가 간과할 수 있는 일반적인 문제입니다. Hundred Finance 및 Channels Finance 사건이 발생하고 나서야 커뮤니티는 정밀도 손실이 보안에 미치는 영향을 완전히 깨닫게 되었습니다.

  • 마지막으로, 고품질 코드 감사는 여전히 부족한 리소스로, 현재 지속적이고 대규모로 제공할 수 있는 대학이 거의 없는 보안, 금융, 컴퓨터 공학 지식을 갖춘 학제간 인재가 필요합니다. 따라서 일부 계약에 대해서는 감사가 이루어지지만 감사서비스를 제공하는 감사인의 전문성이 부족합니다.

정식 검증

“공식 검증은 수학적 방법을 사용하여 일부 공식 사양이나 속성을 기반으로 시스템의 정확성 또는 부정확성을 입증합니다.” 공식 검증을 통해 DeFi 프로토콜의 동작이 공식 사양을 준수하는지 확인할 수 있습니다. 예를 들어, Certora가 개발한 Prover는 DeFi 프로토콜의 공식 검증을 수행할 수 있습니다. 개발자는 규칙(사양)을 제공하고 증명자는 가능한 모든 프로그램 상태를 탐색하고 결과를 규칙과 비교하고 취약점을 식별합니다.

공식 검증의 가장 큰 장점은 수십억 개의 자산을 관리하는 DeFi 프로토콜의 정확성을 수학적으로 증명할 수 있는 능력입니다. 그러나 실제 적용에 있어 몇 가지 제한 사항으로 인해 널리 채택되는 데 방해가 됩니다.

  • 첫째, 사양은 개발자가 제공해야 하며, 이를 위해서는 개발자가 프로토콜의 예상 동작에 대한 자세한 문서를 보유해야 하며 대부분의 개발자는 이 분야의 전문가가 아닙니다.

  • 둘째, 프로토콜을 자주 업그레이드하려면 사양을 업데이트하고 프로토콜을 재평가해야 할 수 있으며 일부 프로토콜은 많은 시간과 에너지를 투자하지 못할 수도 있습니다.

이러한 제한에도 불구하고 우리는 프로토콜, 특히 아직 시간 테스트를 거치지 않았고 많은 양의 사용자 자산을 관리하지 않는 새로운 프로토콜이 공식 검증을 받아야 한다고 믿습니다. 그러나 정형검증의 운용성을 어떻게 향상시키고 채택률을 높이는지는 오늘날에도 여전히 큰 과제로 남아 있습니다.

보안 테스트

보안 테스트는 테스트 사례를 사용하여 프로토콜의 잠재적인 문제를 발견합니다. 수학적 방법을 통해 프로토콜의 정확성을 증명하는 공식 검증과 비교하여 보안 테스트는 일반적으로 특정 입력 데이터(공식 검증의 기호 입력 대신)를 사용하므로 더 효율적이지만 다소 덜 포괄적입니다.

Foundry는 인기 있는 스마트 계약 개발 및 테스트 프레임워크입니다. 개발자는 Foundry에서 테스트를 수행할 수 있으며 DeFi 프로토콜에 대한 차등 테스트, 불변성 테스트 및 차등 테스트도 수행할 수 있습니다. 다른 보안 테스트 도구로는 Tenderly와 Hardhat이 있습니다.

출시 후 보안

프로토콜이 온라인 상태가 된 후 취할 수 있는 보안 조치에는 버그 바운티(Bug Bounty), 공격 탐지 및 운영 모니터링이 포함됩니다.

버그 바운티

Bug Bounty는 프로토콜과 보안 연구원 간의 격차를 해소합니다. 프로토콜은 현상금 범위와 보상 금액을 자세히 설명하는 Bug Bounty 플랫폼에 현상금 프로그램을 출시합니다. 보안 연구원은 프로토콜의 제로데이 취약점을 보고하여 보상을 받습니다. Immunefi는 대표적인 Web3 Bug Bounty 플랫폼입니다.

공격 감지

공격 탐지 플랫폼은 트랜잭션을 스캔하여 악성 트랜잭션을 식별합니다. 특히 이러한 플랫폼은 프로토콜과 상호 작용하는 모든 거래에서 악의적인 행동을 검사하고, 악의적인 거래가 식별되면 시스템에서 경고를 트리거합니다.

예를 들어, BlockSec Phalcon은 모든 메모리 풀과 온체인 트랜잭션을 스캔하여 트랜잭션의 행동 특성을 분석하여 악의적인 행동(예: 악의적인 계약 및 악의적인 제안)을 식별합니다. 이는 비정상적인 추세를 찾기 위해 모든 거래의 모든 세부 사항을 잠 못 이루고 모니터링하는 경비원과 같습니다. 이는 이러한 거래에서 행동 패턴을 추출하고 재무 모델(은행이 사기를 탐지하는 데 사용하는 것과 유사)을 사용하여 잠재적인 공격을 식별합니다. 유사한 시스템에는 Hypernative 및 Hexagate의 제품이 포함됩니다. 또한 Ironblocks의 Venn Security Network는 여러 소스의 탐지 결과를 집계할 수 있는 분산형 인프라를 제공합니다.

운영 모니터링

이름에서 알 수 있듯이 운영 모니터링 프레임워크는 프로토콜이 활성화된 후 프로토콜의 운영 보안을 모니터링합니다. 예를 들어 관리자 키 변경, 스마트 계약 배포 및 업데이트를 실시간으로 모니터링하고 풀 요청의 보안 취약점을 자동으로 감지할 수 있습니다. OpenZeppelin Defender 플랫폼은 개발자가 스마트 계약을 안전하게 작성, 배포 및 실행하는 데 도움을 줄 수 있습니다. BlockSec Phalcon은 계약 업그레이드, 안전한 지갑 거래(예: 시작, 새로 서명, 실행), 액세스 제어 및 거버넌스 관련 위험을 모니터링할 수 있습니다. 또한 실시간 모니터링 시스템인 포타 네트워크(Forta Network)를 통해 사용자는 로봇 모니터링 프로토콜을 생성하거나 기존 로봇에 가입해 피싱 등 보안 위협에 대한 알림을 받을 수 있다.

공격 대응

공격 차단, 자동 대응, War Room, 공격 원인 분석, 공격자 자금 흐름 추적 등 공격 발생 후 자동으로 실행되거나 긴급하게 실행되는 보안 조치입니다.

이 5가지 대응 방안 중 공격 차단은 특히 주목할 만한데, 자동 대응 플랫폼을 통해 공격이 발생하기 전에 사전에 차단하고 손실을 0으로 줄일 수 있기 때문입니다.

War Room을 구축하고, 공격 원인을 분석하고, 자금 흐름을 추적하는 것은 공격 이후에 취하는 대응 조치로서 손실을 줄이고 향후 유사한 공격을 예방하는 데 도움이 되지만 복구하기 어려운 큰 손실을 초래했을 수 있습니다. . 또한, 프로젝트의 평판이 손상되고 사용자 신뢰가 상실되면 광범위한 부정적인 결과를 초래할 수 있습니다. 위험은 어디에나 있고 예방하기 어려운 것처럼 보이지만 프로젝트 당사자는 수동적으로 대응할 필요가 없으며 사전에 예방 조치를 취할 수 있으며 이는 더욱 권장되는 접근 방식이기도 합니다.

공격 차단

공격 탐지는 해커 공격에 대해 배울 수 있는 중요한 채널이지만, 해커 공격에 맞서 싸우려면 탐지만으로는 충분하지 않습니다. 자동화된 공격 차단 기능이 없으면 수동 대응 조치를 취하기에는 너무 늦은 경우가 많기 때문입니다. KyberSwap, Gamma Strategies 및 Telcoin 공격을 예로 들어 보겠습니다. 이러한 프로토콜은 공격 후 몇 분 또는 몇 시간 후에 대응 조치를 취했습니다. 이 기간 동안 해커는 여러 번의 공격 거래를 시작하여 막대한 양의 자산을 훔쳤습니다. 지난 7월 Velocore 및 Rho 공격으로 인해 Linea 및 Scroll 체인 전체가 작동이 중단되면서 L2 체인의 중앙화 문제에 대한 사용자의 관심이 높아졌습니다.

공격 차단은 조기 탐지와 자동 선제라는 두 가지 핵심 기술을 기반으로 해커 공격을 자동으로 방지합니다. 조기 탐지란 공격 트랜잭션이 체인에 업로드되기 전과 메모리 풀 단계에 있는 동안 공격 트랜잭션을 식별할 수 있음을 의미합니다. 자동 프론트 러닝은 공격 트랜잭션이 체인에 업로드되기 전에 프론트 러닝 트랜잭션을 제출하여 프로토콜을 정지시켜 공격 트랜잭션의 실행을 방지하는 것입니다. 이 방법은 공격이 실제로 발생하기 전에 차단하여 손실을 방지합니다.

이 카테고리에서 BlockSec Phalcon은 이러한 핵심 기술을 갖춘 유일한 제품입니다. 해커가 공격 트랜잭션을 시작한 후 Phalcon의 공격 모니터링 엔진은 트랜잭션을 사전에 감지하고 사용자에게 공격 경고를 푸시하며 정지 프로토콜을 자동으로 선점하여 손실을 0으로 줄일 수 있습니다. 이 제품의 공격 차단 성능은 과거 20여 차례의 화이트햇 레스큐에서 검증돼 2천만 달러 이상의 자산을 절감한 바 있다.

자동 응답

공격 차단 플랫폼 외에도 Phalcon, Hexagate, Hypernative 등의 플랫폼도 공격 발생 시 자동으로 대응할 수 있습니다.

이러한 플랫폼에 가입하면 사용자는 다양한 프로토콜 위험에 대한 모니터링 및 대응 조치를 설정할 수 있습니다. 거래가 모니터링 규칙을 위반하는 경우 시스템은 사용자가 미리 설정한 대응 조치(예: 프로토콜 일시 중지)를 자동으로 시작하여 손실을 줄입니다. 그러나 일부 플랫폼에는 공격 탐지 엔진이 없기 때문에 시스템에서 직접 공격 트랜잭션을 식별하고 사용자에게 알릴 수 없습니다. 대신 사용자는 트랜잭션을 공격으로 판단할 수 있는 조건을 사용자 정의해야 합니다. 공격 트랜잭션의 특성은 매우 복잡하고 사용자(종종 계약 개발자)가 반드시 충분한 보안 지식을 갖고 있지 않기 때문에 이는 사용자에게 매우 어려운 일입니다.

전쟁실

프로토콜이 공격에 직면할 때 War Room을 구축하는 것이 특히 중요합니다. 이는 프로토콜이 상황을 이해하고 적시에 커뮤니티와 정보를 동기화하며 리소스를 효과적으로 통합하여 대응 조치를 취하는 데 도움이 되며, 이는 여러 분야의 전문가의 긴밀한 협력이 필요합니다.

SEAL 911은 "사용자, 개발자 및 보안 연구원이 긴급 상황에서 신뢰할 수 있는 보안 전문가와 직접 연결할 수 있도록 지원"하도록 설계되었습니다. 사용자는 SEAL 911 텔레그램 봇(https://t.me/seal_911_bot)을 통해 이 서비스를 받을 수 있으며, 프로젝트가 공격을 받을 경우 보안 문제를 처리하기 위해 War Room을 신속하게 구성할 수 있습니다.

공격 원인 분석

프로토콜이 공격을 받으면 스마트 계약 내 취약점, 취약점이 어떻게 악용되었는지 등 문제의 원인을 식별하는 것이 중요합니다. 공격 거래를 분석하려면 Phalcon Explorer , OpenChain 및 Tenderly를 모두 사용해야 합니다.

자금 흐름 추적

자금 흐름 추적이란 체인에서 공격자의 초기 자금과 공격 수익을 추적하여 관련 주소와 개체를 찾는 것을 의미합니다. 이러한 자산이 중앙화된 기관(예: 중앙 거래소 및 기타 기관 수준 기관)으로 이동하는 경우 법 집행 기관에 연락하여 자금 동결을 도울 수 있습니다.

Chainalytic, TRM Labs, ARKHAM, ELLIPTIC 및 MetaSleuth가 이 분야의 대표적인 회사/제품입니다. 예를 들어 MetaSleuth는 크로스체인 자금 흐름을 자동으로 추적하고 풍부한 주소 태그를 제공할 수 있습니다. ARKHAM은 프로토콜 당사자가 공격자의 재정 흐름을 추적하는 데 도움이 되는 커뮤니티 구성원에게 인센티브를 제공하기 위해 조사 포상금을 게시할 수 있는 커뮤니티를 구축했습니다.

안전 교육 자료

지식은 최선의 방어선입니다. 앞서 언급한 보안 공급업체 및 제품 외에도 DeFi 보안에 중요한 또 다른 유형의 역할이 있습니다. 바로 교육 플랫폼입니다. 이러한 플랫폼에서 제공하는 리소스나 정보는 DeFi 실무자와 사용자가 보안 지식을 깊이 이해하고, 보안 인식을 향상시키며, 보안 기술을 배양하는 데 도움이 될 수 있으며 DeFi 보안 개발을 촉진하는 데 중요한 역할을 합니다. 우리는 이러한 플랫폼에 경의를 표하며 주목할 만한 몇 가지 사항을 아래에 공유합니다.

  • SΞCURΞUM: 이더리움 보안에 중점을 둔 Discord 커뮤니티로, 정기적으로 스마트 계약 보안 대회 "Secureum RACE"를 개최합니다.

    🔗 https://x.com/TheSecureum

  • 보안 사고 대시보드: 이 플랫폼은 손실이 $100,000를 초과하는 실시간 공격 사고를 집계 및 업데이트하고 손실 금액, 영향을 받은 체인, 취약성 유형, 공격 원인 분석 및 PoC와 같은 세부 정보를 제공합니다.

    🔗 https://app.blocksec.com/explorer/security-incidents

  • Rekt: DeFi 뉴스로 알려진 다크 웹은 DeFi 익스플로잇, 해킹 및 사기에 대한 심층 분석을 제공합니다.

    🔗 https://rekt.news/

  • RugDoc: DeFi 보안 및 교육 커뮤니티. 플랫폼은 프로젝트 위험 평가 정보를 제공하며, DeFi 생태학과 기술을 소개하는 RugDocWiKi 플랫폼도 보유하고 있습니다.

    🔗 https://rugdoc.io/

  • DeFiHackLabs: Web3 보안 커뮤니티는 Web2 보안 인재가 Web3 분야에 진출할 수 있도록 지원하는 데 전념하고 있습니다. DeFiHackLabs 웨어하우스는 전 세계적으로 2,000명이 넘는 회원과 약 200명의 화이트 해커를 보유하고 있습니다.

    🔗 https://x.com/DeFiHackLabs

  • Solodit: 이 플랫폼은 Web3 감사 회사로부터 과거 감사 보고서를 수집합니다.

    🔗 https://solodit.xyz/

  • Ethernaut: Web3/Solidity를 기반으로 하는 게임입니다. 플레이어는 CTF와 마찬가지로 Ethereum 계약의 취약점을 식별해야 합니다.

    🔗 https://ethernaut.openzeppelin.com/

결론

보안 문제는 매년 수십억 달러의 손실을 초래하며 DeFi 생태계에 장기적으로 심각한 위협이 됩니다. 현재 대부분의 보안 조치는 프로젝트가 온라인 상태가 되기 전의 보안 문제에 중점을 두고 있습니다. 그러나 보안에는 “만약의 총알”이 없습니다. 프로토콜 개발의 다양한 단계에서는 프로토콜의 전체 수명 주기에 걸쳐 보안을 보장하기 위한 상응하는 조치가 있어야 합니다.

프로젝트가 온라인화 된 후 업계가 보안의 중요성을 인식하고 프로토콜 위험을 모니터링하고 공격을 자동으로 차단하는 조치를 취하기를 바랍니다.

또한 DeFi 생태계가 사용자의 자산 보안을 더 잘 보호하기 위해 보안 우선 합의를 형성할 수 있기를 바랍니다.

안전
DeFi
BlockSec
作者文库
推荐文章
草根逆袭实录|从一无所有到A8,「天晴」如何从打螺丝成为OKX头部节点?
한 시간 전
草根逆袭实录|从一无所有到A8,「天晴」如何从打螺丝成为OKX头部节点?
코드는 원죄인가? 토네이도 캐시 페널티에 대한 통제력과 책임을 상실하는 개발자의 딜레마
한 시간 전
코드는 원죄인가? 토네이도 캐시 페널티에 대한 통제력과 책임을 상실하는 개발자의 딜레마
규제 혁신: CFTC, "Crypto Sprint" 출시, 현물 규정 준수 거래 채널 공식 개설
한 시간 전
규제 혁신: CFTC, "Crypto Sprint" 출시, 현물 규정 준수 거래 채널 공식 개설
Odaily 단독 인터뷰 | 100배 동전 열풍의 이면: LBank의 Czhang이 혁신, 전략, 미래 전망에 대해 이야기합니다.
2시간 전
Odaily 단독 인터뷰 | 100배 동전 열풍의 이면: LBank의 Czhang이 혁신, 전략, 미래 전망에 대해 이야기합니다.
Bybit의 공동 창립자이자 CEO인 벤 저우가 연중 기조 연설에서 암호화폐에 대한 새로운 청사진을 제시했습니다.
2시간 전
Bybit의 공동 창립자이자 CEO인 벤 저우가 연중 기조 연설에서 암호화폐에 대한 새로운 청사진을 제시했습니다.
중국 최고 부자 CZ를 상장하게 이끈 사람은 누구였을까?
5시간 전
중국 최고 부자 CZ를 상장하게 이끈 사람은 누구였을까?