더보기

연구 보고서 “최대 난제는 스마트 컨트랙트 익스플로잇 제거”, FBI도 경고신호등

2 mins
Shraddha Sharma

요약

  • 스마트 컨트랙트 익스플로잇(취약점)을 제거하는 것이 단연코 가장 어려운 과제라는 연구 보고서가 나왔다.
  • 이 보고서는 105개의 온라인 익스플로잇이 거의 42억 달러의 절도를 초래했다고 추정했다.
  • 미국 연방수사국(FBI)도 공공서비스 발표에서 투자자와 플랫폼에 이러한 위험에 대해 경고했다.
  • promo

토큰 터미널은 최근 연구 보고서에서 디파이 익스플로잇(취약점)의 근본 원인이 세 가지며, 스마트 컨트랙트 익스플로잇을 제거하는 것이 그 중 가장 어려운 과제라고 밝혔다.

탈중앙화 금융에 대한 관심이 급증한 이래로 105개의 온체인 익스플로잇으로 추정되는 부문에서 해킹과 러그풀이 발생하는 등 여러 프로토콜에서 거의 42억 달러가 도난당했다.

흥미롭게도 이번 연구에 따르면 평균적으로 가장 큰 해킹의 경우 교차체인 브리지와 중앙화 거래소(CEX) 지갑에서 발생되며, 수익률 집계기와 대출 프로토콜이 가장 자주 오용된다는 것을 발견했다.

“가장 큰 익스플로잇은 다중 체인 또는 주요 생태계 브리지에 걸쳐 있는 경향이 있다.”

FBI, 투자자와 플랫폼에 대해 새로운 디파이 경고 내려

현재까지 최대 규모의 디파이 익스플로잇인 로닌 네트워크(6억 2,400만 달러), 폴리 네트워크(6억 1,100만 달러), 웜홀(3억 2,600만 달러)은 모두 가장 큰 익스플로잇에 해당되는 크로스 체인 브리지다. 브리지는 일반적으로 해킹 때마다 1억8천800만 달러 이상의 손실을 입었다고 보고서는 지적했다.

최근 미국 연방수사국(FBI)은 공공 서비스 발표를 통해 디파이의 이러한 위험에 대해 투자자와 플랫폼에 주의를 주었다.

FBI는 “사이버 범죄자들이 디파이 플랫폼을 지배하는 스마트 컨트랙트의 취약점을 악용해 암호화폐를 훔치는 사례가 늘고 있어 투자자들이 손해를 보고 있다”고 지적했다. 사이버 범죄자들은 암호화폐에 대한 투자자들의 관심이 높아진 것은 물론, 디파이 플랫폼의 크로스체인 기능과 오픈소스 성격의 복잡성을 악용하려 한다.

반대로 수익률 집계기 및 대출 프로토콜은 공격에 의해 가장 자주 공격 대상이 되는 시스템이지만 토큰 터미널에 따르면 공격당 재정적 손실이 상대적으로 적었다. 일반적으로 수익률 집계기 및 대출 프로토콜이 더 자주 남용되는 반면 브리지 및 CEX는 일반적으로 악용당 가장 큰 손실을 입는다. 크로스 체인 브리지와 CEX 핫월렛은 도난 자산에서 22억 달러를 차지하며, 이는 전체 침해 금액의 52%를 넘는다.

개인 키 안전 보관이 가장 간단한 구출 계획

이러한 공격의 가장 일반적인 원인은 스마트 컨트랙트의 허점, 손상된 개인 키 및 프로토콜 프런트 엔드 스푸핑으로 대략 분류되었다. 특히 2020년 9월 이후 플래시 대출과 오라클 조작과 관련된 스마트 컨트랙트의 허점이 전체 해킹의 73%를 차지한 것으로 알려졌다. 그러나 자동화된 공식 검증과 디파이 보안 감사는 이러한 스마트 컨트랙트 리스크를 관리하는 두 가지 주요 테크닉이다.

이 보고서는 또한 각각 평균 9100만 달러인 가장 큰 해킹이 종종 스피어 피싱 시도를 사용하여 얻은 손상된 개인 키에 의해 발생한다는 것을 발견했다. 아이러니하게도 이 공격 벡터는 개인 키를 더 잘 보호하고 저장을 위해 다른 플랫폼을 사용함으로써 피할 수 있다.

마지막으로 프런트 엔드 스푸핑은 배저다오(BadgerDAO)의 악용 사례처럼 프로토콜이 제어하는 자금보다는 특정 사용자를 거스르는 공격 방식이다. 일반적으로 이것은 DNS 캐시 포이즈닝과 같은 기술을 사용하여 실제 프로토콜 웹사이트의 IP 주소를 가짜로 바꾸는 것을 포함한다.

한편 토네이도 캐시를 통해 부당이득을 현금화하는 표준 수단이 제재를 통해 중단됨에 따라 착취자들도 새로운 옵션을 찾고 있는 것으로 알려졌다. 비[인]크립토는 토네이도 캐시에 대한 처벌에 이어 dYdX, 리퀴디티, GMX, 퀀타 등 소수이지만 증가하는 수의 디파이 프로젝트가 탈중앙화 프론트엔드(DeFe)를 개발하고 있다고 보도한 적이 있다.

이와 함께 FBI는 디파이 플랫폼이 이러한 악용 행위를 방지하기 위해 사고 대응 개발과는 별도로 실시간 분석, 모니터링 및 엄격한 테스트를 실시할 것을 권장하고 있다.

그러나 연구 보고서에 따르면 영지식 기술을 사용하여 개인 거래를 제공하는 이더리움 기반 롤업인 아즈텍 네트워크가 토네이도 캐시의 가능한 대체물 중 하나다.

비[인]크립토의 최신 비트코인(BTC) 분석을 보려면 여기를 클릭하세요.

최고의 암호화폐 거래소

Trusted

비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.

images.jpeg
애드버토리얼
애드버토리얼은 비인크립토의 파트너가 제공하는 모든 스폰서 콘텐츠의 필자를 일컫습니다. 이들 콘텐츠는 제3자가 홍보 목적으로 작성한 것으로, 비인크립토의 입장과 일치하지 않을 수 있습니다. 비인크립토는 프로젝트 추천에 있어 신뢰성을 검증하기 위해 노력하지만, 이 같은 콘텐츠는 광고용이며 재무적 조언으로 받아들여져서는 안 됩니다. 독자는 독자적으로 조사(DYOR)하시되, 주의를 기울이시기 바랍니다. 이들 콘텐츠에 기반한 결정은 독자의 책임입니다.
READ FULL BIO