DeFi 부문이 계속해서 돈과 사용자를 유치함에 따라 전 세계의 악의적인 행위자들은 계속해서 DeFi를 선택하기에 무르익고 제대로 보호되지 않는 매력적인 대상으로 보고 있습니다.
지난 몇 달 동안 저는 DeFi 프로토콜의 가장 주목할만한 익스플로잇을 추적해 왔으며 그 중 적어도 XNUMX개는 스마트 계약 결함의 결과인 것 같습니다.
예를 들어, 해커는 Wormhole을 공격하여 300억 달러 이상, Qubit Finance(80천만 달러), Meter(4.4만 달러), Deus(3만 달러), TreasureDAO(100개 이상의 NFT), 마지막으로 Agave 및 Hundred Finance를 훔쳤습니다. , 총 11만 달러의 손실을 입었다. 이러한 모든 공격은 상당한 금액의 돈을 훔치는 결과를 가져왔고 프로젝트에 큰 피해를 입혔습니다.
많은 표적 프로토콜이 암호화폐의 평가절하, 사용자의 불신, DeFi 및 스마트 계약의 보안에 대한 비판 및 유사한 부정적인 결과를 보았습니다.
공격 중에 어떤 유형의 익스플로잇이 발생했습니까?
당연히 이러한 각각의 경우는 고유하며 취약성과 결함에 따라 각 개별 프로젝트를 해결하기 위해 다양한 유형의 익스플로잇이 사용되었습니다. 예를 들면 논리 오류, 재진입 공격, 가격 조작을 통한 플래시론 공격 등이 있습니다. 나는 이것이 DeFi 프로토콜이 점점 더 복잡해짐에 따라 코드의 복잡성으로 인해 모든 결함을 제거하기가 점점 더 어려워지는 결과라고 생각합니다.
또한 각각의 사건을 분석하면서 두 가지를 발견했습니다. 첫 번째는 해커가 매번 엄청난 양, 즉 수백만 달러 상당의 암호 화폐를 가까스로 탈출했다는 것입니다.
이 "급한 날"은 보상이 가치가 있다는 것을 알기 때문에 해커가 프로토콜을 연구하는 데 필요한 시간을 할애할 수 있는 인센티브를 제공합니다. 즉, 해커는 감사자보다 결함을 찾는 데 훨씬 더 많은 시간을 할애합니다.
두 번째로 눈에 띄는 점은 경우에 따라 해킹이 실제로 매우 간단했다는 것입니다. Hundred Finance 공격을 예로 들어 보겠습니다. 토큰이 프로토콜에 추가되는 경우 일반적으로 복합 포크에서 찾을 수 있는 잘 알려진 버그를 사용하여 프로젝트가 공격을 받았습니다. 해커가 해야 할 일은 이러한 토큰 중 하나가 Hundred Finance에 추가될 때까지 기다리는 것입니다. 그 후에는 몇 가지 간단한 단계를 수행하여 익스플로잇을 사용하여 돈을 얻기만 하면 됩니다.
DeFi 프로젝트는 스스로를 보호하기 위해 무엇을 할 수 있습니까?
앞으로 이러한 프로젝트가 악의적인 행위자로부터 스스로를 보호할 수 있는 최선의 방법은 감사에 집중하는 것입니다. 주의해야 할 사항을 알고 있는 숙련된 전문가가 더 깊이 있고 더 잘 수행합니다. 그러나 감사에 의존하기 전에도 프로젝트가 할 수 있는 또 다른 일이 있습니다. 즉, 책임 있는 개발자가 만든 좋은 아키텍처가 있는지 확인하는 것입니다.
이는 대부분의 블록체인 프로젝트가 오픈 소스이므로 코드가 복사되고 재사용되는 경향이 있기 때문에 특히 중요합니다. 개발하는 동안 속도를 높이고 코드를 무료로 사용할 수 있습니다.
문제는 결함이 있는 것으로 밝혀지고 원래 개발자가 취약점을 파악하고 수정하기 전에 복사되는 경우입니다. 수정 사항을 발표하고 구현하더라도 이를 복사한 사람들은 뉴스를 보지 못할 수 있으며 코드가 취약한 상태로 남아 있습니다.
감사가 실제로 얼마나 도움이 될까요?
스마트 계약은 블록체인 기술에서 실행되는 프로그램으로 작동합니다. 따라서 결함이 있고 버그가 포함되어 있을 수 있습니다. 앞서 언급했듯이 계약이 복잡할수록 개발자의 점검을 통해 한두 가지 결함이 빠져나갈 가능성이 커집니다.
불행히도 이러한 결함을 수정할 수 있는 쉬운 솔루션이 없는 상황이 많이 있습니다. 따라서 개발자는 시간을 들여 코드가 제대로 수행되고 결함이 즉시 또는 최소한 가능한 한 빨리 발견되도록 시간을 들여야 합니다.
여기에서 감사가 필요합니다. 코드를 테스트하고 개발 진행 상황과 테스트를 적절하게 문서화하면 대부분의 문제를 조기에 제거할 수 있기 때문입니다.
물론 감사조차도 코드에 문제가 없을 것이라고 100% 보장할 수는 없습니다. 아무도 할 수 없습니다. 해커가 자신에게 유리하게 사용할 수 있는 가장 작은 취약점을 파악하는 데 몇 달이 걸리는 것은 우연이 아닙니다. 완벽한 코드를 만들어 유용하게 만들 수는 없습니다. 특히 신기술의 경우에는 더욱 그렇습니다.
감사는 문제의 수를 줄이지 만 실제 문제는 해커의 공격을받는 많은 프로젝트에 감사가 전혀 없다는 것입니다.
따라서 아직 개발 프로세스에 있는 모든 개발자와 프로젝트 소유자는 보안이 감사를 통과하는 것으로부터 시작되지 않는다는 것을 기억해야 합니다. 그러나 그것은 분명히 거기에서 시작됩니다. 코드 작업 잘 설계된 아키텍처가 있고 숙련되고 근면한 개발자가 작업하는지 확인하십시오.
모든 것이 테스트되고 잘 문서화되었는지 확인하고 모든 리소스를 마음대로 사용하십시오. 예를 들어, 버그 현상금은 해커의 관점에서 사람들이 코드를 체크아웃할 수 있는 좋은 방법이며, 새로운 관점에서 접근 방법을 찾는 사람의 관점은 프로젝트를 보호하는 데 매우 중요할 수 있습니다.
HashEx의 Gleb Zykov의 게스트 게시물
Gleb은 연구 기관에서 소프트웨어 개발 경력을 시작했으며 그곳에서 강력한 기술 및 프로그래밍 배경 지식을 얻었고 러시아 비상 상황부에서 사용할 다양한 유형의 로봇을 개발했습니다.
나중에 Gleb은 자신의 기술 전문 지식을 IT 서비스 회사인 GTC-Soft에 도입하여 Android 애플리케이션을 설계했습니다. 그는 수석 개발자가 된 후 회사의 CTO가 되었습니다. GTC에서 Gleb은 수많은 차량 모니터링 서비스와 Uber와 같은 프리미엄 택시 서비스 개발을 주도했습니다. 2017년 Gleb은 국제 블록체인 감사 및 컨설팅 회사인 HashEx의 공동 설립자가 되었습니다. Gleb은 CTO(최고 기술 책임자)의 직책을 맡고 있으며 회사 고객을 위한 블록체인 솔루션 및 스마트 계약 감사 개발을 주도하고 있습니다.
출처: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/