최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- Oak Security는 악의적인 공격자가 분산 서비스 거부 공격에 악용할 수 있는 Cosmos SDK의 취약점을dent.
- 연구원들은 해당 취약점이 기능상의 문제임을 지적하고 개발자들이 문제를 해결하기 위해 구현할 수 있는 수정 사항을 권장했습니다.
- Cosmos SDK가 개발자들의 우려 사항을 해결하는 기능 및 업데이트가 포함된 새 버전을 출시했습니다.
블록체인 보안 회사인 오크 시큐리티(Oak Security)는 Cosmos ) 블록체인 소프트웨어 개발 키트(SDK)에서 발견된 취약점으로 인해 분산 서비스 거부(DDoS) 공격이 발생할 수 있다고 우려를 제기했습니다. 이 회사의 연구원인 에드워드 코티시(Edward Kotysh)와 크리스티안 바리(Christian Vari)는 미디엄(Medium) 게시물을 통해 이것이 왜 심각한 위험인지 설명했습니다.
에 따르면 연구원들, 취약점은 BeginBlock 및 EndBlock 함수가 가스 계량 대상이 아니라는 점에 있습니다. 이는 의도적인 설계로, 이 두 함수는 사용자 트랜잭션에 직접적인 영향을 미치지 않으므로 개발자가 추가적인 연산 시간을 확보할 수 있도록 하기 위함입니다.
하지만 보안 전문가들은 개발자에게 약간의 여유를 주기 위한 조치가 실제로는 Cosmos기반 네트워크에 여러 가지 방식으로 심각한 피해를 초래할 수 있다고 경고했습니다. 이러한 피해에는 네트워크 혼잡, 검증자 영향, 심지어는 완전한 네트워크 마비까지 포함될 수 있습니다.
그들은 이렇게 말했습니다:
"이러한 자유는 양날의 검이 될 수 있으며, 잠재적인 취약점의 판도라 상자를 열 수도 있습니다. 가장 큰 문제는 가스 제한이 없으면 BeginBlock과 EndBlock에 최적화가 제대로 되지 않았거나 악의적인 코드가 삽입될 경우 심각한 문제를 야기할 수 있다는 것입니다."
연구진은 실험을 통해 취약점의 잠재적 영향에 대한 자신들의 이론을 검증했습니다. 한 실험에서는 BeginBlock 함수에 다양한 블록 높이에서 5초에서 1분까지 무작위 지연 시간을 도입했습니다.
전문가들은 실험을 통해 이러한 지연이 네트워크에 상당한 혼잡을 초래하여 네트워크 진행 속도를 늦추고 블록 생성에 필요한 시간을 증가시킨다는 사실을 확인했습니다. 또한 이는 검증자들에게도 영향을 미쳐, 일부 검증자는 정해진 시간 내에 블록에 서명하지 못하거나 투표 단계를 완전히 건너뛰는 경우도 발생했습니다.
예상대로, 거래에 서명할 수 있는 검증자 수가 제한적이었기 때문에(3분의 2 미만) 테스트 체인에서 일시적인 장애가 발생했습니다. 연구진은 이러한 문제가 메인넷 전체에서 완전한 장애로 이어질 수 있다고 지적했는데, 메인넷에서는 여러 거래가 동시에 발생하고 최종 승인이 필요하기 때문입니다.
Oak Security는 개발자를 위한 해결 방법을 권장합니다
한편, 보안 전문가들은 악의적인 공격자가 취약점을 악용하기 전에 이를 해결할 수 있는 방안을 제시했습니다. 그들에 따르면, 누구나 쉽게 공격 벡터를 추가하여 과도한 연산량을 발생시킬 수 없도록 엄격한 연산량 제한을 구현해야 합니다.
그들은 이 해결책을 구현하는 세 가지 다른 방법을dent했습니다. 여기에는 BeginBlock 및 EndBlock 함수가defi실행되지 않도록 시간 복잡도를 추가하는 것, 리소스 집약적인 작업을 사용량 제한이 있는 컨텍스트에 유지하기 위한 컨텍스트 래핑, 그리고 함수의 모든 입력에 대한 유효성 검사가 포함됩니다.
또한, 그들은 취약점이 어떻게 악용될 수 있는지, 그리고 그 잠재적 영향이 어느 정도인지 파악하기 위해 보다 포괄적인 테스트와 시뮬레이션을 요구했습니다.
또한 네트워크가 표준 지표에 따라 작동하고 중대한 편차를 감지할 수 있도록 아키텍처적 안전장치와 운영 모니터링 시스템을dent.
Cosmos SDK 새 버전 출시
한편, Cosmos SDK는 해당 보안 보고서에 대해 아직 공식적인 입장을 밝히지 않았으며, 문제 해결을 위해 어떤 조치를 취할 것인지에 대해서도 언급하지 않았습니다. 이는 최근 공급망 공격 관련 보안 경고에서처럼,dent된 취약점이 버그나 악성코드가 아니라 설계상의 특징일 가능성이 있기 때문일 수 있습니다.
다행히 Cosmos SDK를 사용하는 개발자는 보안 전문가의 권장 사항 대부분을 구현할 수 있으므로 배포하는 내용을 제어하고 DDoS 공격에 취약하지 않도록 할 수 있습니다.
흥미롭게도 Cosmos SDK는 최근 버전 0.53.0을 출시했습니다. X 포럼의 발표에 따르면, 이 버전은 이전 버전에 대해 개발자들이 제기했던 문제점들을 해결하기 위한 것이라고 합니다.
최신 버전에는 순서 없는 거래, 커뮤니티 풀 용량 개선, 사용자 지정 거버넌스 메커니즘, 에포크, 사용자 지정 민팅 기능이 포함되어 있다고 합니다. 또한 버그 수정도 포함되어 있으며, 개발자는 이미 GitHub에서 최신 버전으로 업그레이드할 수 있습니다.
Cosmos SDK는 개발자가 자신만의 맞춤형 네트워크를 쉽게 구축하고, 블록체인의 인터넷을 목표로 하는 Cosmos 블록체인과 통합할 수 있도록 지원하는 도구입니다.
이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)