[Xangle Digest]
※해당 컨텐츠는 외부에서 기발간 된 컨텐츠입니다. 컨텐츠에 대한 추가적인 주의사항은 본문 하단에서 확인해주세요.
목차
개요
소개
통계 분석: 우리는 실제로 교훈을 적용하고 있을까?
개인정보 보호 위협: 개인 키 노출로 인한 수백만 달러의 손실
렛저(Ledger) 라이브러리 유출 사건
소급적 버그 바운티 협상
KyberSwap 해킹 사건
ERC-2771 취약점: 시한폭탄
기관들의 적용, 언제쯤 이뤄질까?
2023 at CertiK
개요
- 2023년 가상자산 업계에서는 총 751건의 보안 사건이 발생했으며, 이로 인한 손실이 1,840,879,064달러에 달했습니다.
- 이는 2022년의 총 37억 달러에 비해 51% 감소한 수치이며, 사건 당 평균적으로 약 245만 달러의 손실이 발생했습니다.
- 손실이 가장 큰 상위 10건의 사건만으로도 총 11.1억 달러의 손실이 발생했습니다. 하지만 사건 당 중앙값 손실액은 101,132달러로, 평균 손실액보다는 훨씬 낮았습니다.
- 2023년 가장 큰 손실은 11월에 발생했으며, 45건의 사건 사고로 인해 364,340,035달러의 손실이 발생했습니다.
- 3분기에는 183건의 해킹, 사기, 취약점 악용 사례로 인해 총 686,558,472달러의 손실이 발생하여 가장 큰 피해를 입은 분기로 기록되었습니다.
- 개인 키 유출은 가장 큰 공격 벡터로 작용하였고, 이로 인해 단 47건의 사건만으로도 880,892,924달러의 손실이 발생했습니다. 개인 키 유출로 인한 사건은 2023년 전체 사건 사고 중 6.3%에 불과했지만, 그로 인한 손실은 같은 해 전체 손실액의 거의 절반을 차지하였습니다.
- BNB 체인에서는 가장 많은 사건 사고가 발생했으며, 총 387건의 해킹, 사기 및 취약점 악용 사건으로 1.34억 달러의 손실이 발생했습니다. 이는 사건 당 평균적으로 346,253달러의 손실을 의미합니다.
- 반면, 이더리움에서는 총 224건의 사건이 발생했지만, 이로 인해 6.86억 달러의 손실이 발생했으며, 사건 당 평균적으로 300만 달러의 피해를 입었습니다.
- 크로스체인 간의 상호 운용성 문제는 여전히 업계의 큰 문제점으로 남아 있습니다. 이 문제는 여러 체인의 보안에 영향을 미쳐 총 35건의 사건이 발생했고, 이로 인한 총 손실은 약 7.99억 달러에 달했습니다.
- 'Hack3d 2023 Web3.0 보안 보고서'에서는 지난 한 해 동안 발생한 주요 보안 사고, Web3.0의 전반적인 방향성을 결정하는 이야기와 트렌드, 그리고 업계의 현재 상황과 앞으로 12개월 동안의 전망에 대해 깊이 있게 다루고 있습니다.
소개
2023년에는 Web3.0 분야에서 해킹, 사기, 그리고 악용으로 발생한 손실이 51% 감소했지만, 여전히 18억 달러라는 상당한 손실액을 기록했습니다. 이러한 상황을 감안하여, 이 보고서에서는 큰 손실을 초래한 주요 보안 사건 및 악용 사례에 대해 깊이 있게 분석하고 있습니다.
2023년 가상자산 업계는 법적 및 규제적인 압박을 상당히 받았습니다. 이 중 대표적인 사례로는 미국 증권거래위원회(SEC)가 가장 큰 가상자산 거래소인 코인베이스와 바이낸스에 대해 기소를 시작한 것입니다. SEC의 이러한 움직임은 이전에는 소규모 플랫폼이나 개인을 주요 대상으로 하던 것에서 벗어나, 가상자산 업계의 주요 참여자들을 겨냥하고 있다는 것을 시사합니다.
또한, 올해는 바이낸스 CEO 자오 창펑 (CZ)이 미국 법무부와의 43억 달러에 이르는 합의 이후 CEO 자리에서 사임한 해로도 기억될 것입니다. 현재 CZ는 1.75억 달러 상당의 보석금을 담보로, 2월의 판결을 기다리고 있습니다.
한편, FTX 사건은 삼 뱅크맨-프리드(Sam Bankman-Fried)가 사기와 자금 세탁 등 7가지 혐의에 대해 11월에 유죄 판결을 받음으로써, 해결 방향으로 한 단계 더 나아갔습니다. 그러나, FTX의 채권자들은 아직도 자신들의 자산을 회수하지 못한 상태입니다.
4분기에는 가상자산의 가격이 반등하여, 18개월간의 하락세를 보였던 시장에서 긍정적인 변화를 가져왔습니다. '베어 마켓은 건설의 시기'라는 말이 있듯이, 이 기간 동안 우리는 기술부터 규제에 이르기까지 여러 분야에서 중요한 발전을 이루었습니다.
지난 한 해를 돌아보며, 우리는 이룩한 성과를 기리고, 실수를 인정하며, 미래에 대한 밝은 기대를 가져야 합니다.
먼저, 가상자산을 이끌어가는 불굴의 인물들에게 존경의 마음을 전합니다. 그들은 규제 강화, 널리 퍼진 회의론, 그리고 가끔씩 발생하는 90%의 가치 하락에도 불구하고 앞으로 나아가고 있습니다. 이러한 온체인 참여자들은 혁신과 위험의 최전선에 서 있으며, 실제로 새로운 시스템의 '테스트 대상'이라고 할 수 있습니다.
그들은 블록체인 기술의 잠재력을 인식하고, 초기 채택 단계에서 필요한 위험을 감수하기 어려운 사람들에게 직접적인 증거를 제공하고 있습니다. 사용의 어려움, 보안 취약점, 그리고 제품과 시장 간의 강력한 적합성을 확립하는 과정에서의 다양한 도전을 극복하면서, 그들의 인내심은 계속해서 시험 받고 있습니다. 더욱이, 그들은 업계 외부의 기존 참가자들로부터 자주 회의적인 시각을 겪어야 하며, 실패는 과장되고 성공은 경시하는 경향에 대응해야 합니다.
다양한 장애물에도 불구하고, 이 분야에서의 미래성장을 위한 길이 계속 열려 있습니다. 초기 참여자들은 에어드랍으로 인한 높은 수익과 기술 혁신의 최전선에서의 경험 같은 독특한 기회를 누리게 됩니다. 이들의 노력은 산업을 구축하는 데 중요한 역할을 하며, 미래의 참여자들에게 기반을 제공하고 있습니다. 이들은 최첨단 기술 발전을 주도하고, 지식과 가치를 축적하는 과정에서 기쁨을 느끼며, 이 두 가지 요소는 앞으로의 주기에서 지수적으로 성장할 것입니다.
기관들이 블록체인 기술을 점차 인정함에 따라 그 잠재력이 점점 더 눈에 띄게 됩니다. 우리는 금융, 게임, 예술, 그리고 디지털 경험 등의 분야에서 블록체인 기술이 가져올 혁신적인 변화를 예상하고 있습니다.
2024년 1월 초에는 최대 10개의 비트코인 ETF(상장 지수 펀드) 승인이 예정되어 있어, 매우 긍정적인 전망을 보이고 있습니다. 2023년 하반기에 미국 증권거래위원회(SEC)는 비트코인 ETF 제안에 대해 철저한 검토를 진행하였고, 특히 블랙록(BlackRock), ARK, 피델리티(Fidelity) 등의 대형 기업들의 신청에 대한 검토 기간을 연장하였습니다. 이 결정은 워싱턴 D.C. 회로법원이 그레이스케일 인베스트먼트(Grayscale Investments)의 거절된 신청에 대한 재검토를 명령한 이후에 이루어진 것입니다. 법원은 SEC가 이전에 승인했던 비트코인 선물 ETF와 현물 비트코인 ETF가 '실질적으로 유사하다'는 이유로 그레이스케일의 비트코인 ETF 신청을 거부한 것이 부적절하다고 판결하였습니다.
SEC의 결정과 무관하게, 그 결정이 1월 10일까지 발표되어야 하며, 가상자산 업계는 변동성을 겪으면서도 지속적으로 성장하고 성숙해 나갈 것입니다. 디지털 전환의 최전선에 서 있는 CertiK은 이 변화를 주도하고 있습니다. 우리 모두는 각자의 역할을 충실히 수행하며, CertiK의 목표는 Web3.0 세계를 보호하는 것입니다.
현재까지 CertiK은 4200개 이상의 기업과 협력하여 7만 개 이상의 블록체인 코드 취약점을 탐지했으며, 3700억 달러 이상의 자산을 보호했습니다. 우리의 미션은 계속되고 있으며, 2023년에는 SkyInsights 가상자산 컴플라이언스 및 리스크 관리 플랫폼의 출시와 같은 중요한 성과를 달성했습니다. 이 플랫폼은 디지털 보안 강화에 대한 우리의 지속적인 헌신을 상징하는 중요한 이정표입니다. 또한, 애플과 삼성의 업데이트에서 우리의 모바일 기기 보안 기여가 인정받았는데, 이는 우리가 기술 생태계에 미치는 영향을 강조하였습니다. 추가로, SUI로부터 받은 중요한 버그 바운티 포상금은 우리의 보안 조치의 효과를 입증하였습니다. 이런 성과들은 우리가 Web3.0 세계의 보안과 신뢰성 강화에 대한 지속적인 헌신을 보여주고 있습니다.
업계의 미래는 전보다 밝아보이지만, 여전히 해결해야 할 도전 과제들이 남아 있습니다. 18억 달러는 작년에 비해 크게 줄었지만, 여전히 상당한 금액입니다.
CertiK Hack3d 보고서는 보안 분야의 핵심 이슈를 독자들이 이해할 수 있도록 도와주는 것을 목표로 합니다. 2023년에는 Web3.0에서 700건 이상의 보안 사건이 발생했는데, 이 중에는 엑시트 스캠 사건만 300건에 가까웠습니다. 이처럼 대량의 사건들을 일일이 분석할 수는 없기에, 이 보고서는 시스템 취약점과 산업의 대응 능력에 초점을 맞추었습니다.
먼저, 보안 상의 손실 감소가 자산 가치 하락과 어떤 연관성이 있는지 분석하였고, 이를 통해 전체 산업이 어떠한 교훈을 얻고 있는지를 조사하였습니다. 또한, 개인 키 유출이라는 지속적인 문제를 강조하였습니다. 이는 암호 관리 문제가 블록체인 기술이 등장하기 이전부터 있었던 것이며, 그 문제가 여전히 심각하다는 것을 보여줍니다. 최근 Ledger 사건은 피싱과 공급망 공격의 위험성을 명확히 보여주었고, 우리의 버그 바운티 추적 연구는 공격이 발생한 후 자금 회수 방법의 효율성을 확인하였습니다. 그 다음으로, KyberSwap 해킹 사건을 분석하였고, 두 가지 특정 표준을 통합하는 과정에서 발생한 프레임워크 수준의 취약점을 조사하였습니다. 마지막으로, 2023년에 기관들이 블록체인을 어떻게 채택하였는지, 그 추세가 어떻게 진행되었는지를 살펴보았습니다.
이러한 경향과 사건들은 현재 우리가 직면하고 있는 도전들을 명확하게 보여주지만, 더 중요한 것은, 이들이 Web3.0 산업의 집단적인 대응능력과 적응성을 보여준다는 것입니다. 이는 어려운 상황에도 불구하고, Web3.0 산업이 더욱 강화된 디지털 미래를 향해 지속적으로 발전하고 있다는 것을 의미합니다.
통계 분석: 우리는 실제로 교훈을 적용하고 있을까?
2023년에 업계의 자산 손실이 2022년 대비 51% 감소한 원인에 대한 분석이 필요합니다. 자산 가치 하락이 이에 영향을 미친 가능성을 고려하면서, 총 잠금량(TVL)과 Web3.0에서 발생한 해킹, 사기, 취약점 악용에 따른 손실 사이의 관계를 연구할 예정입니다.
TVL은 탈중앙화 금융(DeFi)의 핵심 지표 중 하나로, 탈중앙화된 금융 프로토콜에 예치된 자산의 가치를 측정합니다. 이는 DeFi 상품에 대한 수요를 반영하는 중요한 척도입니다.
DeFi 프로토콜에 예치된 토큰 중 대부분은 스테이블코인이지만, 다른 토큰들도 상당히 많아 이들은 시장 변동성에 노출되어 있습니다. 그러므로, TVL은 전체 시장 상황과 사용자 수요에 크게 영향을 받습니다. 이 지표는 단순히 시장 자본화 수준을 표현하는 것을 넘어서, DeFi 영역의 실질적인 활동 참여와 성장을 측정하는 데에 유용합니다. 가상자산의 총 시장 규모가 주로 자산 가치를 반영하는 반면, TVL은 DeFi 생태계 내에서 실제로 얼마나 많은 자본이 활용되고 있는지에 대한 인사이트를 제공합니다.
2023년 말 현재, DeFi의 TVL은 약 500억 달러입니다. 이는 2021년 11월의 최고점인 1700억 달러보다는 낮지만, 올해 10월의 최저점인 360억 달러보다는 40% 증가한 수치입니다.
출처:DeFiLlama
2023년에 보안 이슈로 인한 손실이 2022년 대비 감소한 추세는, 2023년의 시간 가중 평균 TVL이 2022년에 비해 대략 46% 감소한 것과 일치하는 현상입니다.
그렇다면, 이런 상관성이 2023년의 손실 감소를 설명하는 유일한 요인일까요? 아니면 다른 가능성도 있을까요?
그리고 이것이 자산 가치 상승 시에 해킹이나 사기로 인한 손실 금액이 다시 새로운 최고치를 찍을 수 있다는 것을 의미하는 건가요?
데이터를 살펴보자면:
이 산점도는 월별로 발생한 Web3.0의 해킹과 사기에 대한 손실과 DeFi의 TVL 간의 상관 관계를 보여줍니다. 이는 2020년 6월, DeFi가 처음으로 10억 달러의 TVL 임계값을 넘은 시점부터 2023년 11월까지의 41개월을 다룹니다.
TVL 값은 매월 마지막 날의 DeFiLlama 데이터셋에서 추출하였고, 해킹과 사기로 인한 가치 손실은 CertiK 데이터셋의 월별 총액을 기준으로 계산하였습니다.
TVL과 월별 손실 사이에는 R2 값이 0.31인 양의 상관 관계가 있습니다. 이는 DeFi의 TVL 변화가 월별 손실의 변동성 중 약 31%를 통계적으로 설명한다는 것을 보여줍니다. TVL은 자산 평가와 사용자 수요를 모두 반영하는 지표입니다. 추세선의 양의 기울기는 TVL이 증가함에 따라 보안 사건으로 인한 손실도 증가하는 경향을 보여주지만, 이는 엄밀히 말해 비례 관계는 아닙니다. 또한, 이 상관 관계는 통계적으로* 유의미하지만, TVL만으로는 변동성의 69%를 설명하지 못하므로, 생태계 내 손실에 영향을 미치는 다른 요인들도 중요하다는 것을 나타냅니다.
*우리의 분석 결과, F 통계량은 17.65로 나타났고, 이로 인해 매우 작은 p값인 0.000144를 얻었습니다. 이러한 낮은 p 값은 무의미한 귀무 가설을 기각하며, 우리의 연구 결과가 우연히 일어난 것이 아니라는 것을 보여줍니다. TVL의 회귀 계수는 2.417e-12로, TVL의 변화가 보안 사건으로 인한 총 손실에 영향을 줄 가능성이 있다는 것을 나타냅니다. 실제로 TVL 변수의 p 값은 0에 가깝기 때문에, TVL과 손실 사이에는 통계적으로 유의미한 관계가 있다고 확신할 수 있습니다. 더욱이, 계수 주변의 95% 신뢰 구간은 이러한 결과를 더욱 뒷받침합니다.
이 분석의 R2 값인 0.31은 매월 발생한 보안 사고로 인한 손실을 가상자산의 총 시가총액과 비교한 동일한 분석에서 얻은 0.22의 R2 값보다 약 50% 높습니다.
결국, 보안 사건으로 인한 손실과 DeFi의 총 잠금량(TVL) 사이의 연관성은, 손실과 전체 가상자산 시장 자본금 사이의 연관성보다 더 강하다는 것을 알 수 있습니다.
이는 TVL이 전체 가상자산 시장 자본금을 평가하는 것보다 DeFi 부문 내 손실의 동향을 이해하는 데 더 효과적인 지표임을 나타냅니다. 시장 자본금은 가상자산 산업의 시장 가치를 대략적으로 보여주지만, TVL은 DeFi 프로토콜 내에서 자산이 활발하게 참여하고 실시간으로 이용되는 정도를 구체적으로 반영합니다. TVL과의 더 강한 상관 관계는 DeFi 활동과 투자자 행동이 보안 환경에 미치는 직접적인 영향을 강조합니다. 이런 인사이트는 프로토콜의 복잡성, 사용자 행동, 보안 조치의 효과성 같은 DeFi 특유의 요인들이 보안 사건으로 인한 손실 가치와 더 밀접하게 연관되어 있음을 보여주며, 이는 전체 시장 자본금이 나타내는 보다 광범위한 매크로 트렌드보다 중요하다는 것을 시사합니다.
시장 상황, 즉 불마켓이나 베어마켓의 흐름은 사용자와 공격자 모두에게 DeFi 플랫폼의 매력에 결정적인 영향을 미칩니다. 불마켓에서는 활동이 활발해지고 자산 가치가 상승함에 따라, 공격자에게 더 큰 이익을 제공하는 목표가 되어 보안 사건의 빈도와 규모가 증가하는 경향이 있습니다. 그러나 베어마켓 기간에는 자산과 재무 가치가 감소하여 공격의 파장이 줄어들지만, 일부 참여자들의 절박함은 더 공격적인 전략을 촉발할 수 있습니다.
DeFi의 TVL과 해킹 및 사기로 인한 손실 간의 관계가 보안 사건으로 인한 가치 손실 변동의 대략 1/3만을 설명한다는 사실을 인지하는 것이 중요합니다. 이는 명확히 다른 요인들이 작용하고 있음을 보여주며, Web3.0에 참여하는 사람들이 큰 영향력을 발휘할 수 있음을 나타냅니다.
예를 들어, 주요한 해킹이나 사기 사건이 발생할 때마다, 전체 산업의 지식 기반은 성장하게 됩니다. 프로토콜들은 과거의 실수에서 교훈을 얻어, 효과적인 보안 조치를 도입하고 높은 경계 수준을 유지하는 문화를 형성합니다. 버그 바운티 프로그램의 활용 증가, 코딩 관행의 개선, 그리고 배포 전에 실시하는 종합적인 보안 감사와 실시간 모니터링 등의 리스크 완화 전략이 널리 적용되는 것은, 이 산업이 계속해서 학습하고 적응하고 있다는 것을 입증합니다. 플랫폼과 프로토콜이 진화하고 알려진 취약점을 해결함에 따라, 공격자들은 지속적으로 그들의 방법을 세밀화하고, 더 첨단한 기술을 활용하여 더 새롭고 덜 알려진 약점을 찾아내게 됩니다. 이러한 오픈소스 간의 치열한 경쟁은 사건 발생률을 결정하는 중요한 요인으로 간주되어야 합니다.
불마켓의 도래는 DeFi의 강화된 보안 프로토콜에 대한 핵심적인 시험입니다. 우리는 100%의 위험을 완전히 제거하길 기대하지 않습니다. 그것은 지속적으로 최첨단 혁신을 추진하는 이 산업에 대해 현실적이지 않은 목표일 것입니다. 그러나 우리가 할 수 있는 것은 TVL과 해킹, 사기로 인한 손실 간의 연관성을 지속적으로 줄여나가는 것입니다, 이는 결국 우리의 보안에 대한 도전에 대응하는 능력을 향상시키는 것을 의미합니다. 이러한 능력은 Web3.0이 "보안 성숙도" 단계에 도달했는지를 판단하는 중요한 지표입니다.
개인정보 보호 위협: 개인 키 노출로 인한 수백만 달러의 손실
2023년, Web3.0 세계는 여전히 중대한 위협인 개인 키 노출 문제와 싸우고 있었습니다. 총 손실의 50%, 즉 8.8억 달러를 차지하는 이러한 피해는 안전한 개인 키 관리의 중요성을 강하게 일깨워주었습니다. 이러한 손실은 전체 보안 사건 중 단 6.3%에 해당하는 47건의 사건에서 발생했지만, 그럼에도 불구하고 전체 손실의 거의 절반을 차지했습니다.
2023년에 발생한 10건의 가장 큰 보안 사건 중 6건이 개인 키 유출로 인해 발생했다는 점은 주목할 만합니다.
특히 이해 7월에 Multichain이 겪은 공격 사건은 1.25억 달러의 손실을 초래했습니다. 이 사건이 공개되면서 Multichain이 주장한 탈중앙화와 달리, CEO가 다자간 계산 서버와 개인 키를 전적으로 통제하고 있다는 사실이 밝혀졌습니다. CEO가 체포된 이후, 이 중앙화된 통제 방식이 드러나면서 Multichain의 크로스체인 브릿지에 묶여있던 15억 달러의 TVL을 회수할 수 없게 되었습니다. 더욱이 자금이 알려지지 않은 지갑으로 이동하기 시작하면서 사용자들의 상황은 더욱 악화되었습니다. 이 사건은 개인 키를 한 곳에서 집중적으로 관리하는 방식이 본질적으로 취약하다는 것을 잘 보여줍니다.
이러한 리스크를 막기 위해, CertiK은 기업용 개인 키 자체 호스팅 서비스 제공업체인 Safeheron과 파트너십을 맺었습니다. 이 협력을 통해 새로운 검증 메커니즘이 개발되었으며, 이를 통해 사용자들이 프로젝트가 안전한 개인 키 관리 시스템을 통합했는지 확인할 수 있게 되었습니다. 이런 노력은 많은 Web3.0 프로젝트들이 스마트 컨트랙트나 개별 계정 주소를 통해 무심코 단일 실패 지점을 생성하는 경우, 매우 중요한 선제적인 조치가 됩니다.
우리는 보안 감사 과정에서 중앙화의 위험성을 강조하고 있지만, 필요한 해결책을 시행하는 것은 결국 프로젝트 소유자의 책임입니다. Safeheron과의 협력을 통해 보안 업체와 최종 사용자 모두가 프로젝트의 주소가 키 보관 솔루션에 의해 안전하게 보호되고 있는지 검증할 수 있는 인터페이스가 도입되었습니다. 이로 인해 투명성이 높아지고, 탈중앙화 조치가 실제로 이루어졌는지 확인할 수 있게 되었습니다.
개인 키 관리 모범 사례
- 다중 서명 지갑: 다중 서명 지갑을 활용하여 여러 당사자 간에 제어권을 분산시켜 단일 실패 지점의 리스크를 줄입니다.
- 하드웨어 지갑: 개인 키가 평문으로 노출되는 것을 방지하기 위해, 고급 키 저장 및 암호화 작업에 하드웨어 지갑을 사용하는 것을 고려하시기 바랍니다.
- 안전한 백업 절차: 개인 키의 백업을 안전한 오프라인 환경, 예를 들어 금고나 보관함 등에 보관하는 것이 좋습니다.
- 접근 제어 정책: 엄격한 접근 제어 정책을 정의하여 오직 권한이 부여된 직원만이 개인 키에 액세스할 수 있도록 합니다.
- 암호화된 저장: 개인 키를 암호화된 형식으로 저장하되, 가능한 강력한 암호화 표준을 사용하는 것이 좋습니다.
- 감사 및 모니터링: 개인 키의 사용을 정기적으로 감사하고 모니터링하여 무단 접근이나 이상 징후를 감지합니다.
- 장기 보관을 위한 콜드 지갑: 장기 보관을 위해 콜드 지갑(오프라인 저장)을 사용하여 개인 키의 온라인 노출 위협을 최소화합니다.
- 직원 교육: 모든 관련 직원들에게 키 관리에 대한 교육을 제공하며, 보안과 기밀성의 중요성을 강조합니다.
- 다자간 계산 (MPC): 개인 키의 관리를 위해 다자간 계산 방식을 고려하는 것이 좋습니다. 이 방식을 통해 전체 키를 한 쪽에게 노출시키지 않고도 키 공유를 가능하게 합니다.
- 개인 키 관리 서비스 이용: 전문적인 개인 키 관리 서비스나 솔루션을 활용하세요. 이는 특히 기업 프로젝트 운영에서 산업 표준을 준수하는 것을 보장하기 위해 중요합니다.
더 읽기:
- What are Public and Private Keys?
Web3 Mobile Wallet Apps: A Secret Key Protection Perspective - What is Multi-Party Computation (MPC)?
- Exploring the Efficiency of MPC Algorithms in Crypto Wallets
- Multi-Party Computation (MPC) in Wallets: A Review of Current Strategies
렛저(Ledger) 라이브러리 유출 사건
2023년 동안 Web3.0 세계에서는 Wallet drainers가 지속적으로 큰 위협으로 작용했습니다. 이들은 악성 소프트웨어나 스크립트 형태로, 사기꾼들이 피해자의 지갑에서 자신의 지갑으로 자산을 '전송'하는 것을 가능하게 합니다. 일반적으로, 사기꾼들은 피싱 웹사이트나 사기성 애플리케이션 등을 이용해 사용자들을 속이고, 그들로부터 권한을 얻습니다.
우리는 이 분야에서 활동하는 주요 행위자들을 찾아냈는데, 이들은 수천 명의 사용자를 대상으로 사기를 치고 수백만 달러를 훔쳤습니다. 일반적으로 하드웨어 지갑의 사용을 권장하며, 완전히 검증되지 않은 사이트에 토큰 권한을 부여하는 것을 피해야 합니다. revoke.cash와 같은 사이트는 권한을 부여한 사이트를 관리하는 데 도움을 줄 수 있습니다. 더 이상 사용하지 않거나 알 수 없는 권한은 취소하는 것이 좋습니다.
2023년 12월 14일, 가상자산 하드웨어 지갑의 주요 제조업체인 렛저가 사이버 보안 위협에 직면하게 되었습니다. 전직 직원 한 명이 정교한 피싱 공격에 당해 공격자가 렛저 지갑과 웹사이트를 연결하는데 사용되는 'Ledger Connect Kit'에 접근하는 것을 허용하게 되었습니다. 이로 인한 총 손실은 61만 달러로, 공격자에게는 상대적으로 적은 금액이었지만, 렛저의 명성에 미친 피해는 정확히 측정하기 어렵습니다.
이 성공적인 피싱 공격은 직원의 NPMJS 계정, 즉 자바스크립트(JavaScript) 패키지 생태계에서 중요한 노드의 제어권을 공격자에게 넘긴 것입니다. 이로 인해 공격자들은 렛저의 NPMJS에 악성 파일을 업로드할 수 있었습니다.
출처: X @SuhailKakar
해당 파일은 합법적인 업데이트처럼 보이도록 디자인되었지만, 악성 페이로드를 포함하고 있었습니다. 이 코드는 특히 Connect Kit를 이용하는 다양한 dApps과 렛저 지갑 간의 상호 작용을 대상으로 했습니다.
파일이 배치되자마자, 감염된 Ledger Connect Kit는 트로이 목마로 작동하기 시작했습니다. 사용자들이 렛저 하드웨어 지갑을 해당 dApp들에 연결하려 할 때, 그들은 이 취약점에 무의식 중에 노출되었습니다. 악성 코드는 사용자의 지갑과 애플리케이션 사이에 안전한 연결을 형성하는 대신, 가짜 WalletConnect 프로토콜을 통해 연결을 재지정하였습니다.
출처: X @apoorvlathey
이 공격이 대략 5시간 동안 활성화되어 있었지만, 자금이 유출된 기간은 2시간 미만이었습니다.
렛저는 이를 발견한 후 40분 이내에 업데이트를 배포하였습니다. 이 수정은 NPMJS 업데이트를 통해 악성 코드를 제거하고 비활성화하는 것을 포함하였고, 이로써 공격으로 인한 즉각적인 위협을 효과적으로 제거하였습니다.
이번 공격은 다음과 같은 몇 가지 주요 트렌드로 인해 지속적으로 위협받고 있다는 것을 입증합니다:
- Web3.0에서의 지속적이고 광범위한 중앙화의 영향
- Web 2.0 시스템(이 경우 NPMJS)이 Web3.0 플랫폼과 아키텍처에 미치는 영향
- 피싱이 여전히 효과적인 공격 벡터로 작용함
블록체인과 가상자산의 탈중앙화된 이념에도 불구하고, NPMJS 계정과 소프트웨어 라이브러리( 예를 들면 Ledger Connect Kit)와 같은 생태계 내 요소들이 중앙화된 취약점을 나타냅니다. 더욱이, 단 한 명의 직원 계정에 대한 성공적인 피싱 공격만으로도 다양한 사용자와 dApps에 영향을 미치는 보안 사고를 일으킬 수 있었습니다.
Ledger Connect Kit의 이번 취약점 공격은 블록체인의 탈중앙화 이념과 소프트웨어 개발 및 유지보수의 실질적인 현실을 균형있게 조화시키는 것이 내재적으로 어려운 과제임을 상기시켜줍니다.
더 읽기:
소급적 버그 바운티 협상
2023년에는 '소급적 버그 바운티'라는 새로운 트렌드가 등장했습니다. 이 트렌드에 따라, 총 36건의 사건에서 2.19억 달러가 반환되었는데, 이는 전체 18억 달러의 손실 중 12%에 해당합니다. 더욱이, 2023년에 협상을 통해 환수된 금액은 전년 대비 54%나 증가한 수치를 기록했습니다.
'소급적 버그 바운티'라는 용어는 약간의 비꼬는 의미가 담겨 있습니다. 공격이 성공한 후의 협상은 대체로 공격자에게 크게 유리하기 때문입니다. 이런 협상을 본질적으로 강요로 보는 사람들이 많지만, 어떤 입장을 가지든 간에 부인할 수 없는 사실은 여러 프로토콜들이 '그레이 햇' 보상을 성공적으로 협상하여 도난당한 자금의 상당 부분을 회수했다는 것입니다.
2023년, Euler Finance는 가장 큰 손실을 보인 보안 사건 중 두 번째로 기록되었습니다. 이 사건은 3월에 발생하여 총 1.97억 달러의 손실을 가져왔습니다. 이 공격은 악의적인 플래시론을 이용하였고, Euler의 donateToReserves() 함수가 다섯 개의 독립적인 풀을 목표로 삼았습니다. 공격자는 Euler의 mint() 함수를 통해 고레버리지의 적자 상태를 만들어내고, 같은 거래에서 자신의 포지션을 청산하여 대량의 파생 eToken을 획득했습니다. 이후 풀은 완전히 비워졌습니다. 도난당한 자금은 대부분 DAI, WETH, WBTC, stETH, USDC로 구성되어 있었으며, 이후에 이들은 ETH와 DAI로 전환되었습니다.
해킹 사건 발생 후, Euler Finance는 공격자를 잡는 데 도움이 되는 정보에 대해 100만 달러의 현상금을 걸었고, 도난당한 자금의 반환을 요구하였습니다. 처음에는 공격자가 도난당한 일부 자금을 Tornado Cash로 이동시키는 것을 통해 Euler Finance의 요구를 무시하는 듯 보였습니다. 그러나 이후에, "Jacob"이라는 이름으로 자신을 소개한 공격자가 Euler와 연결된 이더리움 주소로 메시지를 보내, 대화를 시작할 의향이 있다는 것을 나타내었습니다. 또한 그는 도난당한 자산의 나머지를 계속 유지하려는 의도는 없다고 밝혔습니다.
3월 25일부터 28일까지, 해커는 총 84,951 ETH를 반환하였고, 이는 대략 1.478억 달러에 해당합니다. 또한, DAI 스테이블코인으로는 약 2990만 달러를 반환하였습니다. 이 해커는 자신의 행동에 대한 후회를 표현하며, 이로 인해 타인의 재산, 직업, 그리고 생활에 미친 영향을 인정하였습니다. 그는 자금 반환을 늦게 한 이유를 자신의 안전을 고려한 결과라고 주장하였습니다.
Euler 팀은 이번 상황에 대해 긍정적인 반응을 보였습니다. 해커가 "적절한 조치"를 취했다는 것을 인정하며, 해커를 체포하는 데 도움이 될 수 있는 추가 정보 수집을 중단하겠다고 발표하였습니다. 더불어, 100만 달러의 현상금 제시도 더 이상 이어나가지 않겠다고 밝혔습니다.
출처: X @eulerfinance
공격 발생 후의 대응에서 소급적 버그 바운티 협상은 종종 중요한 역할을 하곤 했습니다. 이런 접근법은 성공 여부에 따라 다양한 결과를 가져왔지만, Web3.0 프로젝트는 이에 의존할 수 없습니다. 취약점을 악용하여 이익을 창출하기 전에, 화이트 햇 해커들이 취약점을 발견하고 제공하도록 동기부여 할 만한 보상을 지급하는 종합적인 버그 바운티 플랫폼이 필수적입니다.
더 읽기:
- A Grey Area: Retroactive Bug Bounty Negotiations
- Shifty Negotiations: Are Projects Still Benefiting From Negotiating With Their Attackers?
- Euler Finance Incident Analysis
KyberSwap 해킹 사건
2023년 11월 22일, 크로스 체인 탈중앙화 거래소(DEX)인 KyberSwap이 플래시론을 이용한 정교한 공격에 피해를 입어, 여러 블록체인에서 약 4700만 달러 상당의 자산이 유출되었습니다.
플래시론: 탈중앙화 금융(DeFi)에서 대출자가 큰 금액의 가상자산을 담보 없이 빌릴 수 있는 대출 유형으로, 그 대출은 같은 거래 블록 내에서 상환되어야 합니다. 만약 대출이 단일 거래 내에서 상환되지 않으면, 대출은 일어나지 않은 것처럼 되돌려지며, 이로 인해 취해진 모든 행동이 원상복구됩니다. 이러한 독특한 특징은 플래시론을 DeFi 공간에서의 다양한 금융 조작, 예를 들어 차익 거래, 담보 교환, 자체 청산 등에 유용하게 만듭니다.
KyberSwap의 모델은 Uniswap v3에 영감을 받아, 중앙화 유동성 마켓 메이커를 도입하여 유동성 제공자(LPs)가 특정 가격 범위 내에서, "틱(Tick)"이라고 불리는, 유동성을 추가할 수 있게 했습니다. 각 LP 위치는 이러한 풀 내에서 유동성이 대체 불가능하게 되면서 고유하게 추적되었습니다.
틱(Tick): 탈중앙화 거래소의 유동성 풀 내의 특정 가격 점입니다. 유동성 제공자는 이러한 이산 가격 수준에서 풀에 유동성을 추가할 수 있어, 일련의 집중된 유동성 영역을 생성합니다. 각 틱은 가격 임계값을 나타내며, 유동성은 풀의 가격이 이러한 틱의 범위 내에 있을 때만 활성화됩니다. 이 메커니즘은 자본 이용의 효율성을 높이고, 유동성 공급자가 참여하길 원하는 가격 범위를 더 잘 제어할 수 있도록 합니다.
KyberSwap 해킹은 동일한 방법을 이용한 여러 차례의 공격을 포함하고 있었습니다. 설명을 위해 USDC-ETHX 페어를 살펴보겠습니다. 공격자는 우선 Uniswap에서 플래시론을 통해 500 ETHx를 대출하였고, 이를 이용해 KyberSwap v2 재투자 토큰(KS2-RT) 풀을 공격하였습니다. 공격자는 큰 규모의 ETHx를 USDC로 거래하여, 풀의 유동성을 모두 소진시키고, 이로 인해 풀의 현재 틱 값이 크게 증가하였습니다.
이 과정 후 풀에는 ETHX와 USDC가 소량만 남게 되었고, 이때 공격자는 새로운 유동성 풀을 좁은 틱 범위 내에서 생성하였습니다. 이는 인위적으로 증가시킨 가격 범위를 이용하기 위한 전략적인 배치였습니다. 그 후, 그들은 이 범위에서 유동성을 일부 제거하였지만, 그 다음의 거래를 조종하기 위해 충분한 양은 남겨 두었습니다.
공격자가 해당 범위에서 단독으로 유동성을 제공하며 이루어진 ETHx와 USDC 간의 스왑은 처음에는 다소 이상하게 보였습니다. 그러나 이는 사실상 다음 공격 단계를 위한 계획된 작업이었습니다. KyberSwap의 computeSwapStep() 함수는 스왑이 특정 틱 범위를 넘는지를 판단하는 역할을 하지만, 이 함수는 공격자의 정밀한 입력 금액에 의해 조작되었습니다. 이런 조작은 함수가 다음 가격을 업데이트하는 것을 방지하며, 풀 내에 인위적인 유동성을 생성하게 만들었습니다.
결국, 공격자는 스왑을 역으로 수행하여 USDC를 ETHx로 교환하였습니다. 이로 인해 가격이 하락하고, 인위적으로 생성된 유동성을 활용해 풀에서 USDC를 빼앗아 이익을 얻을 수 있었습니다. 이런 방식은 여러 체인에 걸쳐 다양한 KyberSwap 페어에서 반복적으로 사용되어, 각각에서 상당한 손실을 초래하였습니다.
공격 이후, 해커는 매우 특이한 일련의 요구사항을 제시하였습니다:
관계자 및 관심 있는 모든 사람들께,
현재 Kyber(프로토콜/DAO)와 Kyber(회사)에 대한 불확실한 시기 동안 여러분의 관심과 인내심에 감사드립니다. 아래에는 우리가 합의해야 할 사항에 대해 자세히 기술하였습니다.
요구 사항은 다음과 같습니다:
* Kyber(회사)에 대한 완전한 경영 통제
*입법 변경을 위해 거버넌스 메커니즘(KyberDAO)에 대한 일시적인 전체 권한 및 소유권. 이 권한은 현재 제 지갑 주소로 충분합니다.
*회사 및 프로토콜의 설립, 구조, 운영, 수익, 이익, 비용, 자산, 부채, 투자자, 급여 등에 관한 모든 문서와 정보
*모든 Kyber(회사) 자산의 양도. 이는 온체인 및 오프체인 자산을 모두 포함하며, 주식, 자본, 토큰(KNC 및 비-KNC), 파트너십, 블로그, 웹사이트, 서버, 비밀번호, 코드, 소셜 채널, 그리고 Kyber의 모든 창의적 및 지적 재산 등을 포함하지만 이에 한정되지 않습니다.
요구사항이 충족되면 다음과 같은 사항을 제공하겠습니다:
*경영진들에게는 공정한 평가를 바탕으로 회사에서의 지분을 매입해 드릴 것입니다. 여러분의 미래의 활동을 응원합니다. 여러분은 잘못한 것이 없습니다. 단지 작은 실수일 뿐, 누구에게나 일어날 수 있는 단순한 운의 문제입니다.
*새로운 체제 하의 직원들에게는 급여를 두 배로 지급할 것입니다. 현재 많은 직원들이 그럼에도 불구하고 떠나고 싶어할 것이라는 것을 이해합니다. 머무르고 싶지 않은 직원들에게는 질문 없이 12개월치 퇴직금과 모든 혜택, 그리고 새로운 경력을 찾는 데 도움을 제공해 드릴 것입니다.
*토큰 소지자와 투자자들에게는 이 조약에 따라 여러분의 토큰은 가치를 잃지 않게 될 것입니다. 이것이 충분히 매력적이지 않습니까? 앞으로 더 나아가 저의 관리 하에 Kyber는 완전히 새로운 모습을 갖게 될 것입니다. 더 이상 7번째로 인기 있는 DEX가 아니라, 완전히 새로운 암호화 프로젝트가 될 것입니다.
* 유동성 제공자(LPs) 여러분: 여러분은 최근 시장 활동에 따른 환급을 받게 될 것입니다. 환급 금액은 여러분이 손해를 보신 금액의 50%로 결정될 것입니다. 이는 여러분이 원하시는 금액보다는 적을 수 있지만, 실제로 받을 수 있는 금액보다는 많습니다. 이는 제가 할 수 있는 최상의 제안이며, 동시에 유일한 제안입니다.
12월 10일까지 제 요구사항이 충족되지 않는다면, 이 협상은 무효됩니다.
또한, 206개의 주권 국가 중 어느 하나가 이 문제에 대해 저에게 연락하면, 이 협상은 취소됩니다. 이 경우, 환급 총액은 0이 될 것입니다.
Kyber는 가장 초기에 시작되어 오랫동안 운영되어 온 DeFi 프로토콜 중 하나입니다. 아무도 이 프로토콜이 갑자기 무너지는 것을 원치 않을 것입니다.
관리 권한 이전을 돕기 위해, Telegram을 통해 저에게 연락해 주시기 바랍니다. (@Kyber_Director)
감사합니다.
Kyber Director
KyberSwap은 도난당한 금액의 90%를 반환하면 해커가 남은 10%를 보유할 수 있도록 해커에게 보상금을 제안하였습니다. 그러나, 해커가 즉시 이에 응하지 않자, KyberSwap은 법적 조치를 위협하며 법 집행기관을 동원해 상황을 심화시켰습니다.
해커는 팀 측으로부터 더욱 존중받는 태도를 요구하였습니다. 또한 KyberSwap의 경영진이 그들에게 충분히 예의를 갖추지 않는다면, 협상을 지연시키겠다고 위협하였습니다.
해커는 온체인 메시지에서 다음과 같이 전했습니다:
"저는 협상에 나서기를 희망하였습니다. 그러나 대신 경영진으로부터는 대체로 위협과 시한, 그리고 불쾌한 태도를 받았습니다... 만약 저를 향한 적대적인 행동이 계속된다면, 모두가 더욱 친근하게 대화할 수 있는 분위기가 형성될 때까지 협상을 중단할 수 있습니다."
출처:Etherscan
공격자와의 협상이 교착상태에 빠진 상황에도 불구하고, KyberSwap은 도난당한 자금 중 일부를 성공적으로 회수하였습니다. 이번 공격에 관여한 프런트러닝 봇 운영자들이 467만 달러를 반환한 것입니다. 동시에, KyberSwap은 자체 재산에서 보상금 계획을 추진하여, 보안 취약점으로 인해 피해를 입은 사용자들에게 재정적 보상을 제공하기로 결정하였습니다. 이 보상금은 손실된 자산의 달러 가치와 동일한 금액으로, 이를 통해 사용자들의 손실을 보전하고 KyberSwap의 사용자에 대한 약속을 입증하려는 목표를 가지고 있습니다.
더 읽기:
ERC-2771 취약점: 시한폭탄
2023년 12월 7일, 공격자들은 TIME 프로토콜을 이용하여 89.5 ETH의 손실을 초래하였습니다. 이들은 'Forwarder 컨트랙트'라는 시스템을 악용하였는데, 이 시스템은 일반적으로 신뢰받는 제3자가 거래를 대신 실행하는 역할을 합니다. 공격자들은 이 시스템을 통해 $TIME 토큰을 소각하는 방식으로 작용하였습니다. 이 사건의 원인은 'Forwarder 컨트랙트'가 ERC-2771 표준을 적용하면서 발생한 오류로 확인되었습니다. ERC-2771 표준은 사용자 친화적인 dApp과의 상호작용을 강화하기 위해 가스 비용을 보조하는 것을 목표로 설계되었습니다.
ERC-2771 표준은 사용자가 이더리움 가스비 없이 dApp과 상호작용할 수 있게 해서 사용자 경험을 최적화합니다. 그러나, 이런 편리함은 동시에 해결해야 할 복잡한 문제들을 불러옵니다.
ERC-2771 표준의 취약점은 주로 거래 중계 처리 방식에 있다는 것이 핵심입니다. 이 표준의 목표는 메타 트랜잭션을 허용함으로써, 제3자가 거래에 필요한 가스비용을 대신 지불할 수 있게 하는 것입니다. 그러나 거래의 처리와 검증 방식에서 문제가 발생하며, 이로 인해 실제로 거래를 시작한 사람의 신원이 헷갈리게 되거나 잘못 표시되는 문제가 생깁니다. TIME 토큰 사건에서 발생한 보안 문제는 이 표준의 거래 처리 메커니즘에 있는 취약점에서 나온 것으로, 특히 ERC2771Context와 Multicall 컨트랙트에 관한 취약점이 주요한 원인이었습니다. 이 취약점은 공격자가 거래 발송자의 주소를 위장할 수 있게 해줍니다.
이 취약점을 활용하기 위해, 공격자는 trustedForwarder 검사를 조작하는 트랜잭션을 세심하게 작성해야 합니다. 이 검사는 ERC2771Context가 거래의 실제 발신자를 확인하는 데 사용되는 것입니다. 이렇게 함으로써, 공격자는 컨트랙트가 거래가 신뢰할 수 있는 주소에서 이루어졌다고 생각하게 만들 수 있지만, 실제로는 그렇지 않습니다. 이런 잘못된 인식은 컨트랙트 내에서 허가되지 않은 행동을 유발할 수 있습니다.
TIME의 verify 함수는 거래의 발신 주소와 서명자를 잘못 동일시하는 결함이 있는 로직 검사를 포함하고 있었습니다. 이로 인해 공격자가 이 주소를 속여 원래는 제한되어야 할 거래들을 승인할 수 있었습니다.
이 사건은 큰 파장을 일으켰습니다. 이 취약점 공격으로 인해 사용자들은 ERC-2771 표준을 사용하는 dApp의 안전성에 대한 신뢰를 상실하게 되었습니다. 그러나 이는 개발자와 프로젝트에게 그들의 컨트랙트, 특히 메타 트랜잭션과 같은 복잡한 상호작용을 포함한 컨트랙트에 대한 보안 감사의 중요성을 강조하는 계기가 되었습니다.
이 취약점에 대응하여, 보안 커뮤니티는 결합하여 해당 취약점을 수정하고, 프레임워크를 강화하여 미래의 공격에 대비하는 작업을 진행하게 되었습니다.
기관들의 적용, 언제쯤 이뤄질까?
2023년에는 기관들이 블록체인 기술을 채택하는 데 있어 중요한 발전이 있었으며, 이는 2024년에 개념 증명(POCs)이 실제 운영으로 전환될 가능성을 시사합니다. 이러한 변화를 이끄는 주요 금융 기관들로는 Swift, 홍콩 금융관리국, 그리고 호주 뉴질랜드 은행 그룹(ANZ)이 있으며, 이들은 모두 블록체인 기술을 그들의 운영에 통합하는 큰 변화를 주도하고 있습니다.
글로벌 금융 메시징 네트워크인 스위프트(Swift)는 토큰화된 자산 결제에 집중하여 블록체인 간의 상호 운용성을 향한 뚜렷한 발걸음을 내딛었습니다. 2022년에 스위프트는 자체 인프라가 다양한 사설 블록체인 토큰화 플랫폼을 연결할 수 있는 능력을 선보였고, 2023년 8월에는 결제를 위해 이더리움과 같은 퍼블릭 블록체인을 포함하는 방향으로 확장을 발표하였습니다. 이는 퍼블릭 네트워크와 프라이빗 네트워크가 원활하게 운영되는 미래를 전망하게 하며, 개인과 조직들이 두 가지 모두의 이점을 활용할 수 있게 합니다.
자산 운용 규모가 1조 달러를 넘는 호주 4대 은행 중 하나인 ANZ은 2022년에 국가 최초의 사설 스테이블코인(A$DC) 출시와 크로스체인 인프라를 활용한 토큰화된 탄소 크레딧 거래를 통해 가상자산 분야로 발걸음을 내딛었습니다. 이 은행은 중앙은행 디지털 통화(CBDCs)의 가능성과 사설 부문의 혁신적인 발전, 예를 들어 결제 영역에서 현금 대체 수단으로 사용될 수 있는 토큰화된 은행 예금 등이 상호 보완적인 성격을 가지고 있음을 강조하고 있습니다.
아시아-태평양 지역에서의 혁신은 홍콩 금융관리국(HKMA)이 2월에 1억 달러의 토큰화된 녹색 채권을 발행함으로써 계속되었습니다.
Project Evergreen은 기술 발전 뿐만 아니라 미래의 규제 조정에 대한 선례를 세우는 것을 목표로 하고 있습니다. 홍콩 금융관리국(HKMA)의 자체 발행 과정에 대한 보고서는 보안, 효율성, 그리고 컴플라이언스를 동시에 고려하는 전략의 중요성을 강조하며, 기존에 구축된 시스템과의 직접적인 통합이 가장 이상적이라고 지적하였습니다.
"기존의 보유 시스템이나 결제 시스템 등과 같은 다른 기존 시스템들과의 상호 운용성은 기술적으로 복잡한 문제입니다. 그러나 이러한 장애를 극복한다면, 채권 거래의 모든 구성 요소를 블록체인에 통합시킬 수 있을 것입니다."
– 홍콩의 채권 토큰화, HKMA (pg. 21)
홍콩 금융관리국은 토큰화된 채권이 현재의 증권 규제와 부합하도록 하는 데 큰 중점을 두었습니다. 이 보고서는 블록체인 기술의 성장과 채택을 촉진하기 위해 법률 및 규제의 지속적인 업데이트가 필요하다는 점을 인지하고 있습니다. 또한, 시장 파편화의 리스크를 경계하고, 블록체인이 금융 분야 전반에 걸쳐 가진 엄청난 잠재력을 강조하고 있습니다.
이러한 발전은 전통적인 금융 분야에서 블록체인의 잠재력에 대한 이해와 수용도가 점차 성숙해지고 있다는 것을 나타냅니다. Swift의 상호 운용성 촉진 노력과 ANZ의 토큰화된 자산 및 스테이블코인으로의 진출은, 블록체인이 금융 생태계에서 실행 가능하고 필수적인 요소로서의 신뢰성이 점점 강화되고 있음을 잘 보여줍니다.
기관들이 지속적으로 혁신을 추구하고 블록체인 솔루션을 통합함으로써, 그들은 블록체인 분야로의 상당한 자본 유입을 가능하게 하는 길을 마련하고 있습니다. 토큰화는 이러한 변화의 핵심 추동력이 될 것으로 보이며, 이는 기관 투자자들의 수조 달러에 달하는 자본이 블록체인으로 유입되는 것을 예고하는 신호로 해석될 수 있습니다.
더 읽기:
- Digital Assets:From Fringe to Future, BNY Mellon
- Larry Fink’s Annual Chairman’s Letter to Investors, Blackrock
- Relevance of On-chain Asset Tokenization in 'Crypto Winter', Boston Consulting Group
2023 at CertiK
2023년은 CertiK에게 매우 중요한 한 해였습니다. 새로운 플랫폼에서 이루어지는 신규 프로젝트들에 대한 보안 서비스를 확장하며, 우리는 다음과 같은 활동들을 수행하였습니다:
- Wormhole의 Aptos 컨트랙트에서 버그를 발견하고 공개했습니다.
- 애플의 보안 업데이트에서 iOS 및 iPadOS 소프트웨어 취약점을 발견하여 애플로부터 두번이나 인정을 받았습니다. 현재까지 총 8개의 CVE를 발행하였으며, 추가로 더 많은 CVE가 준비 중입니다.
- "HamsterWheel"이라는 코드 명의 중요한 취약점을 찾아내어 Sui로부터 50만 달러의 포상금을 획득하였습니다.
- CertiK 공동 창립자인 Ronghui Gu 교수가 VMware Systems Research Award를 수상했습니다.
- SOC II Type I 컴플라이언스를 달성한 최초의 Web3 보안 감사회사로 되었습니다.
- The Open Network (TON)의 초당 거래 기록을 검증했습니다.
- 가상자산 컴플라이언스 및 리스크 모니터링 플랫폼인 SkyInsights를 출시했습니다.
- 앤트그룹(蚂蚁集团)의 혁신적인 소프트웨어 TEE(Trusted Execution Environment)인 HyperEnclave의 정형 검증을 완료했습니다.
- XRP Ledger 기반의 AMM인 XLS-30d를 보안 감사했습니다.
- 블록체인 보안을 클라우드 클라우드 플랫폼에 도입하기 위해 알리바바 클라우드와 파트너십을 맺었습니다.
- Finschia 메인넷 보안 감사 완료후 Finschia 재단 거버넌스 및 노드 검증자로 참여했습니다.
- WalletConnect의 Verify API에서 XSS 취약점을 발견했습니다.
- 스마트 컨트랙트를 위한 정형 검증 컴파일러인 DeepSEA를 개발했습니다.
- Safeheron의 키 샤딩 솔루션을 평가하여 취약점을 식별하고 해결하는 데 도움을 주었습니다.
- Coala Pay와 협력하여 인도적 지원 자금을 효율화하였습니다.
- AI 기반 보안 감사의 가능성과 한계에 대해 탐색했습니다.
- OpenZeppelin의 ERC-20 구현에 대한 정형 검증을 진행했습니다.
- 인기 있는 지갑 드레이너 키트를 이용하는 사기꾼들을 폭로했습니다.
- 악의적인 가짜 지갑을 대량으로 배포하는 조직화된 사기 집단을 확인하였습니다.
- OKX와 같은 주요 거래소 및 ZenGo와 같은 지갑 제공업체가 취약점을 찾아내고 해결하는 데 도움을 주었습니다.
- CertiK의 Skyfall 팀은 모바일 보안 연구에 적극적으로 뛰어들어 삼성으로부터 인정을 받았고, 이 과정에서 다수의 CVE 인증을 성공적으로 획득하였습니다.
...그리고 언제나 그랬듯이, 우리는 블로그에 다양한 콘텐츠를 풍성하게 게재하였습니다. 이는 Web3.0에 대한 깊이 있는 교육과 연구를 제공하는데 대한 우리의 약속을 강조하는 것입니다. 아래는 2023년의 주요 하이라이트들입니다:
스마트 컨트랙트와 블록체인 보안 기본 원칙
- A Short Introduction to Zero Knowledge Proofs
- Web3 Mobile Wallet Apps: A Secret Key Protection Perspective
- What is Formal Verification in Smart Contract Auditing?
- What is a Soulbound NFT?
- What is Multi-Party Computation (MPC)?
- How We Audit: A Comprehensive Guide to CertiK’s Auditing Methodology
- Exploring the BRC-20 Token Standard: An Introduction
- What is Account Abstraction?
- Multi-Party Computation (MPC) in Wallets: A Review of Current Strategies
- Key Consensus Algorithms
- The Proliferation of Honeypot Contracts in Web3
- Tokenomics In DeFi Staking
- Soft Spots in Hard Tech: Mobile Security Challenges in Web3
- Scaling with Layer 2s: Rollups vs Sidechains
- Beyond the Bot: Unpacking Telegram Bot Tokens
심층적인 블록체인 보안
- Cross-Function Reentrancy Attacks in Kadena Smart Contracts
- Runtime Environments and Smart Contract Security Modeling
- Critical Infrastructure: Secure Engineering of Blockchain Bridges
- The Move Prover: Quality Assurance of Formal Verification
- Diamond Proxy Contracts: Best Practices
- Why Memory-Safe Blockchain RPC Nodes are Not Panic-Free
- Formal Verification of TON Master Chain Contracts
- Auditing With Finite State Machines: A Complementary Methodology
- Challenges Encountered In the Formal Verification of ERC-20 Contracts
- Secure Smart Contract Programming in FunC: Top 10 Tips for TON Developers
- Gas Optimization in Ethereum Smart Contracts: 10 Best Practices
- Top 10 Security Tips for BNB Chain Builders
- How AI Can Enhance Cybersecurity: A Primer on Deep Learning and its Applications
- A Closer Look at Deep Learning Techniques for Software Security
- Exploring the Efficiency of MPC Algorithms in Crypto Wallets
- Fortifying ZenGo: Unearthing and Defending Against Privileged User Attacks
- Modal Phishing in Web3 Mobile Wallets
- How to Formally Verify A Cosmos SDK Standard Module
위협과 정보분석
- The Rug Pull Report
- How Pro-Russian Groups Are Fundraising on Telegram to Evade Sanctions
- How Safe is SafeMoon? Analyzing the FETA and BEVO Exploits
- KYC Actors are Ramping Up Their Game
- KYC'd Wallet Sales on Dark Net Markets
- On-Chain Ransomware - The Conti Group: Part One
- On-Chain Ransomware - The Ryuk Group: Part Two
- Chasing Shadows: A Decade of Criminal Crypto Seizures
- How Hackers Use DNS Hijacking Attacks to Steal Funds and Clone Websites
- BGP Hijacking: How Hackers Circumvent Internet Routing Security to Tear the Digital Fabric of Trust
- Intelligence Infiltration of Web3 Projects
- FinSoul: The Fintoch Fraud Continues
- The Rise of Stablecoins in Unstable Times
- Dirty Laundry: The Bitcoin Network's Growing Role in the Laundering of Stolen Crypto
CertiK 보안 솔루션
Web3.0 세계를 보호하기 위한 사명의 일환으로 CertiK은 프로젝트와 투자자가 보안에 대한 엔드 투 엔드 접근 방식을 취할 수 있도록 설계된 다양한 도구를 제공합니다.
CertiK KYC는 프로젝트 팀을 위한 포괄적인 개인 신원 확인을 제공합니다. 이 프로세스는 AI 기반 탐지 시스템을 사용한 신원 진위 검사 및 개인이 실존하는 인물이며 신원과 일치하는지 확인하기 위한 라이브 인증을 포함됩니다. CertiK은 또한 각 팀원과의 실시간 화상 통화를 진행하여 필요에 따라 신원 및 기타 매개변수를 확인합니다. 팀 익명성으로 점점 더 고위험 행동이 가능해짐에 따라 CertiK KYC는 투자자가 신뢰를 바탕으로 앞으로 나아갈 수 있도록 프로젝트에 대한 책임을 구축합니다. 이에 CertiK의 보안 리더보드에서는 KYC 조사를 통해 인증된 프로젝트 팀에게 금(Gold), 은(Silver) 또는 동(Bronze)으로 구성된 CertiK KYC 배지를 부여하여, 프로젝트 팀의 익명성을 최소화하고 더욱 완벽한 책임 체계를 구축하여 프로젝트의 신뢰성을 높이고 있습니다.
모의 해킹은 Web3.0 애플리케이션의 보안을 종합적으로 보장하기 위한 중요한 구성 요소입니다. 우리의 모의 해킹 서비스는 경험이 풍부한 윤리적 해커 팀이 전용 도구를 활용하여 코드에서 가장 작은 취약점도 발견합니다.
버그 바운티 서비스는 세계 최고의 화이트 햇 해커들을 모집했으며 악의적인 행위자들이 취약점을 이용하기 전에 이를 탐지할 수 있도록 정보를 수집합니다. CertiK의 보안 전문가 팀은 제출된 모든 자료를 선별하고 감정하며, 고객의 정확한 복구를 도울 것입니다. 인증된 윤리적 해커들을 대상으로 진행되는 버그 바운티(버그를 찾아내면 보상을 주는 이벤트)는 처음부터 끝까지 수수료 없이 진행해 드립니다.
스카이트레이스는 이더리움 및 BSC 지갑의 거래 데이터를 분석하고 시각화하는 데 도움이 되는 지능적이고 직관적인 추적 도구입니다. 이 도구는 자신의 개인 지갑 또는 프로젝트의 팀 지갑으로 들어오고 나가는 의심스러운 흐름을 식별하고 추적하는 데 실행 가능한 인사이트를 제공합니다.
CertiK Advisory와 파트너십을 맺어 Web3.0을 최대한 활용해보세요. CertiK의 전문 컨설팅 서비스는 경험이 풍부한 분석가 팀을 바탕으로 기술적 평가, 독점적 연구 및 전략적 추천 등 종합적인 서비스를 제공하고 있습니다.
CertiK 보안 점수 리더보드는 프로젝트의 보안 점수에 따라 프로젝트를 나열하고 순위를 매깁니다. 보안 점수는 프로젝트의 코드 보안, 기초 건강 상태, 운영 강건성, 커뮤니티 신뢰성, 시장 안정성 및 거버넌스 강도를 고려하는 전용 알고리즘에 따라 생성됩니다.
CertiK KYC 팀 리더보드는 프로젝트의 CertiK KYC 배지 상태에 따라 프로젝트를 나열하고 순위를 매깁니다. 엄격한 배경 조사를 성공적으로 거쳐 프로젝트 팀에게는 금(Gold), 은(Silver) 또는 동(Bronze)으로 구성된 CertiK KYC 배지가 부여됩니다.
인플루언서 점수 리더보드는 Web3.0 인플루언서들을 영향력 점수에 따라 나열하고 순위를 매깁니다. 영향력 점수는 해당 인플루언서가 발포한 콘텐츠 및 온라인 영향력과 영향 범위를 나타냅니다. 이 리더보드는 Web3.0 콘텐츠를 주도하는 인플루언서를 찾고자 하는 사용자에게 유용합니다.
거래소 보안 감사는 중앙화 거래소 (CEX)에 대한 심사를 수행하도록 사용자에게 제공되며, 거래소가 제어하는 지갑 주소에 보유된 온체인 자산을 표시하여 예금 증명 검증을 위한 중요한 첫 단계입니다.
Skynet Alerts는 Web3.0 분야에서 러그 풀 및 악용 사례에 대해 실시간으로 알림을 제공하는 시스템으로 잠재적인 러그 풀 및 악용 사례를 탐지하고 발생 즉시 보고합니다.
스마트 머니 위저드(Smart Money Wizard)는 스마트 자산 지갑 분석기의 액세스 포인트입니다. 이를 통해 사용자들이 지갑 주소를 직접 검색하고 인기 지갑 검색, 스마트 머니 순위 및 유동성 거래 쌍 순위를 확인할 수 있습니다. 지갑 분석기는 지갑 주소에 대한 인사이트를 제공하며, 주요 지갑 특성을 표시하고 지갑 간 온체인 거래를 해석하는 것을 쉽게 만드는 기능으로, 지갑 관계 및 토큰 거래 활동을 시각화합니다.
지금 바로 Skynet for Community 플랫폼을 탐색해 보시기 바랍니다. Skynet 교육 허브에서 자세한 정보를 찾아보고, Skynet을 활용하여 업무 조사 연구의 효율성을 높이는 마스터 클래스를 시청해보세요.
SkyInsights는 종합적인 가상자산 컴플라이언스 및 리스크 관리 플랫폼입니다. 이 플랫폼은 지갑 검토, 실시간 거래 모니터링, 리스크 점수 및 사용자 맞춤형 알림 기능을 제공하여 금융 기관, 중소기업 및 가상자산 기반 플랫폼이 복잡한 준수 요건을 효과적으로 관리할 수 있도록 지원합니다. SkyInsights는 가상자산 관련 기관이 규정 환경을 효과적으로 탐색하고 효율적인 프로세스를 유지하며 고객 신뢰를 높이는 데 도움을 줍니다.
CertiK이 지원하는 생태계:
CertiK의 보안 서비스는 모든 블록체인 프로젝트에서 활용할 수 있습니다. 현재 CertiK이 협력하고 있는 생태계는 다음과 같습니다.
- Algorand
- Aptos
- Arbitrum
- Avalanche
- BNB Chain
- Cardano
- Cosmos
- Cronos
- Ethereum
- Fantom
- Ferrum
- Harmony
- IoTeX
- Near
- OKTC
- Optimism
- Polkadot
- Polygon
- Solana
- Terra
- TON
- Tron
- WEMIX
- zkSync
-> 'Hack3d 2023 보안 보고서: 역경 속에서의 DeFi' 원문 보러가기