이번 달 초 커브 파이낸스(Curve Finance)의 웹사이트가 주요 DNS 하이잭을 겪은 후, 해커들이 암호화폐 기업을 겨냥하는 정교하고 새로운 방법에 대한 우려가 커지고 있습니다. SNS 계정 탈취부터 프론트엔드 공격 및 스마트 계약 취약점까지, 웹3 생태계는 지속적인 위협에 직면해 있습니다.
디파이와 암호화폐가 인기를 끌면서 악의적인 시선도 늘고 있습니다. 공격은 이제 거의 불가피해졌습니다. 그렇다면 저항은 어떻게 이루어질까요? Curve Finance의 창립자 마이클 에고로프는 BeInCrypto와의 독점 인터뷰에서 이러한 주제와 더불어 다양한 이야기를 나누었습니다.
커브 파이낸스, 해킹 대응
올해 암호화폐 역사상 가장 큰 도난 사건이 발생했으며, 이는 고립된 사건이 아니었습니다. 디파이 생태계에 대한 정교한 공격이 증가하고 있으며, 코인베이스의 내부 피싱, 프로토콜 수준의 zkSync에서의 공격, 그리고 Curve Finance에서의 주요 DNS 해킹이 있었습니다.
에고로프는 웹3 산업의 구조적 취약점과 이 순간을 어떻게 맞이할 것인지에 대해 논의했습니다.
“전통적인 웹 보안 문제는 새로운 것이 아닙니다. 웹2 세계에서는 이러한 문제로 인한 피해가 종종 제한적이기 때문에 큰 문제가 되지 않았습니다. 그러나 암호화폐에서는 모든 거래가 거의 즉시 최종적으로 이루어지기 때문에 상황이 매우 다릅니다. 따라서 이 부문에서는 보안 기준이 훨씬 높아야 하며, 오늘날의 인터넷 인프라는 이러한 요구를 충족할 수 없습니다.”라고 그는 주장했습니다.
Curve Finance는 주요 탈중앙화 거래소로서 디파이의 취약점에 대해 강력한 배경을 가지고 있습니다. 오랜 역사 동안, Curve는 여러 차례 중요한 보안 사건을 직면하고 관리했으며, 회사는 지속적으로 보안 접근 방식을 조정해야 했습니다.
그러나 이번 달 초, 거래소의 웹사이트가 최신 표적이 되었습니다. 결국 DEX는 공식 도메인을 변경해야 했습니다. 에고로프의 관점에서 문제는 궁극적으로 우리가 알고 있는 인터넷에 내재되어 있습니다.
“제가 보기에는 기술적으로 더 잘할 수 있는 것이 없었습니다. 이번 문제는 외부적이었습니다. 제 의견으로는 웹 애플리케이션이 구축되는 방식에 근본적인 문제가 있습니다. 안전을 우선으로 하여 처음부터 구축된 안전한 데스크톱 애플리케이션이 필요합니다.”라고 에고로프는 말했습니다.
구체적으로 그는 Curve 공격과 최근 해킹을 가능하게 한 몇 가지 구조적 취약점을 지적했습니다. 웹3 앱은 여전히 정적 웹사이트와 상호작용해야 하며, DNS 등록자를 사용하여 사이트 도메인 이름을 프론트엔드 호스팅에 연결합니다.
공격자가 이러한 서버를 속이거나 하이잭하거나 뇌물을 주면, 이는 매우 효과적인 공격 경로를 열게 됩니다. 이는 최근 Curve에서 사용된 전술입니다.
이는 오늘날의 레거시 ‘웹2’ 인터넷 인프라의 여러 구조적 문제 중 하나일 뿐입니다. 예를 들어, 웹 페이지는 수천 개의 자바스크립트 마이크로 패키지에 의존하며, 이를 개별적으로 감사하기 어렵습니다.
손상된 패키지는 디파이 프로토콜의 보안을 다양한 방식으로 교묘하게 우회할 수 있습니다. 즉, 웹3는 많은 웹2 공격에 취약합니다.
웹3 문제, 새로운 해결책 필요
에고로프는 암호화폐 산업이 이러한 문제를 영구적으로 해결하기 위해 주요 구조적 변화를 필요로 할 것이라고 주장했습니다. 예를 들어, 그는 DNS 공격을 피하기 위한 블록체인 네이티브 방법으로 이더리움 네임 서비스(ENS)를 언급했습니다.
ENS가 채택된다면 효과적일 수 있지만, 주류가 되기에는 브라우저 수준의 지원이 충분하지 않습니다.
Curve가 더 많은 웹3 기반 보안 조치로 해킹을 방지하기 위한 기관의 지지를 얻더라도, 새로운 생태계는 우리에게 다소 낯설게 보일 수 있습니다.
예를 들어, 에고로프는 웹 트래픽의 전체 수익화 구조가 변경되어야 한다고 언급했습니다. 대신 주요 플레이어가 유지 비용을 처리해야 하며, 이는 보안 강화로 인해 인센티브가 될 것입니다.
“이러한 앱을 구축하는 것은 많은 작업이 필요할 것입니다. 웹 기술을 완전히 피하고 수익화할 수 있는 능력 없이 디파이 인터페이스를 다시 구현해야 할 것입니다. 그러나 특히 상당한 사용자 자금을 처리하는 기관에서 강한 수요가 있다고 믿습니다.”라고 그는 언급했습니다.
이러한 솔루션은 분명히 급진적이지만, 에고로프는 이러한 문제들이 기술적이 아닌 사회적 문제라고 강조했습니다. 그는 기존 블록체인 연구를 사용하여 구축할 수 있는 보안 조치만을 제안했지만, 그것들은 충분할 것입니다.
다시 말해, 주요 공격의 속도가 계속 증가하면 이러한 개혁에 대한 열정이 더 커질 수 있습니다. Curve Finance는 이러한 취약점이 없는 웹3 미래를 구축할 준비가 되어 있습니다.
그러나 현재의 보안 위협이 지속되는 가운데, 에고로프의 디파이에 대한 조언은 더 많은 전용 데스크톱 애플리케이션을 구축하는 것입니다.
“앞서 언급했듯이, 프론트엔드 앱을 구축하는 현재 모델은 너무 안전하지 않으며 매우 큰 공격 표면을 가지고 있습니다. 더 나은 수준의 보안을 달성하기 위해 디파이 상호작용은 이상적으로 전용 데스크톱 애플리케이션으로 전환해야 합니다.”라고 Curve 창립자는 결론지었습니다.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.
