인터뷰: 해커들이 DeFi 프로토콜과 솔루션을 계속 공격하는 이유는 무엇일까요?

요약

• 해커들이 암호화폐와 DeFi 프로토콜을 공격하는 빈도가 계속해서 증가하고 있습니다.
• 2021년 암호화폐 산업에 대한 공격으로 70억 달러 이상의 피해가 발생했습니다.
• 해커들이 계속해서 암호화폐 산업을 표적으로 삼는 이유.

해커들이 DeFi 분야와 암호화폐 산업을 공격하는 사례가 급증하면서 해당 산업에 대한 우려가 계속되고 있습니다.

보도에 따르면169건의 블록체인 해킹dent이 발생했으며, 해킹으로 인해 약 70억 달러에 달하는 자금이 손실되었습니다. 지난 한 달 동안에도 최소 5건의 암호화폐 해킹 사건이 보고되었으며, DeFi 프로토콜인 Cream Finance가 해킹 공격을 받았습니다. 이로 인해 1억 3천만 달러 이상이 도난당한 것으로 알려졌습니다.

이에 Cryptopolitan 블록체인을 비즈니스 프로세스 및 사이버 보안에 통합하는 데 주력하는 연구 개발 회사인 해시엑스(HashEx)의 CEO 겸 창립자인 드미트리 미슈닌과 인터뷰를 진행했습니다. 드미트리는 사이버 보안 및 탈중앙화 애플리케이션 분야에서tron기술적 배경을 갖추고 있으며, 정보 보안 시스템 개발에도 풍부한 경험을 보유하고 있습니다.

아래는 인터뷰 발췌문입니다.

질문: 최근 사용자들이 겪는 해킹과 악용 사례가 너무 많아서 놀랐나요?

안타깝게도 그렇지 않습니다. 점점 더 많은 사람들이 스마트trac를 작성하고 있습니다. 하지만 많은 사람들이 프로그래밍에 대한 충분한 지식과 현재 Ethereum과 호환되는 유일한 프로그래밍 언어인 솔리디티에 대한 깊은 이해를 갖추고 있지 않습니다. 안정적인 DeFi 프로토콜을 구축하려면 솔리디티 프로그래밍 언어에 대한 깊은 이해가 필수적이며, 솔리디티의 미묘한 차이점을 이해하지 못하면 악용 및 자금 도난으로 이어질 수 있습니다.

질문: 악성 코드가 포함된 스마트trac을 수락하거나 서명하면 자산이 도난당할 수 있나요?

모든 사용자는 블록체인 거래가 되돌릴 수 없다는 사실을 알아야 합니다. 특정 ERC-20 토큰을 ERC-20 스마트 계약에 승인하면trac은 영구적으로 계약으로 전송됩니다. 계약의trac코드는 검증되어 취약점이 없을 수 있지만, 검증되지 않은 라이브러리를 종속성으로 사용할 수도 있습니다. 이러한 계약에 토큰을 승인하는 것은trac의 작동 방식을 확인할 수 없기 때문에 매우 위험합니다.
최소 2,700만 달러 상당의 사용자 자금이 도난당한 스테이블마켓(StableMarket) 프로젝트가 바로 그런 사례입니다. 스테이블마켓 프로젝트의 계약trac감사를 거친 코드를 사용했지만, 검증되지 않은 라이브러리와 함께 배포되었습니다. 이 악성 라이브러리는 프로토콜에 저장된 사용자 토큰을 훔쳤습니다.

사용자에게 또 다른 위험은 업그레이드 가능한 스마트 계약에 토큰을 승인하는 것입니다trac이러한 계약trac엔드matic악성 코드로 자동 업그레이드되어 승인된 토큰을 훔칠 수 있습니다.
앱은 종종trac사용될 토큰 양뿐만 아니라 계약trac가스 비용을 추가로 지불해야 합니다. 그러나 계약이 악의적으로 작동하는 경우trac지갑에서 원하는 양의 토큰을 인출할 수 있습니다.

따라서 최대의 보안을 위한 최선의 방법은 항상 승인 금액을 확인하고trac작업에 필요한 금액만 승인하는 것입니다.

질문: 해커들이 점점 더 똑똑해지고 있는 걸까요? 아니면 암호화폐 사용자들이 사이버 보안 절차에 덜 신중해지고 있는 걸까요?

두 주장 모두 사실입니다. 해커들은 다양한 프로토콜과 함께 플래시 대출 플랫폼을 악용하여 취약점을 만들고 악용하는 데 상당한 진전을 이루었습니다. 다른 플랫폼들은 그 자체로는 대부분 안전하지만, 플래시 대출은 구조적 복잡성을 증가시켜 취약점이 더 빈번하게 발생합니다.

이러한 공격은 매우 복잡합니다. 분석에도 많은 시간이 소요됩니다. 또한, 테스트를 수행하거나 코드를 제대로 감사했다면 대부분 제거되었을 간단한 버그가 있는 허술한 코드로 인한 프로젝트 해킹 사례
도 많습니다. 사용자들에게도 일부 책임이 있습니다. 많은 사용자가 콜드 스토리지와 같은 위험을 최소화하는 안전 수칙을 알고 있기 때문입니다. 하지만 사용자들은 이러한 안전 수칙을 무시하고, 몇 배의 ROI를 가져다줄 수 있는 기회에 어리둥절해하는 경우가 많습니다. 결국 돈을 잃게 되는 경우도 있습니다.

질문: 사용자는 Metamask와 OpenSea, DeFi와 같은 관련 dapp에서 자산을 더 잘 보호할 수 있는 방법은 무엇입니까?

가장 좋은 보호 방법은 모든 자산을 핫 월렛에 저장하는 것이 아니라 콜드 월렛으로 보내는 것입니다. 콜드 월렛은 인터넷에 접속할 수 없습니다. 작업에 필요한 소량의 자산만 핫 월렛에 저장하고 나머지는 콜드 월렛에 보관하는 것이 가장 좋습니다.
또한, 사용자는 표준 보안 규칙을 준수해야 합니다. 바이러스 백신 프로그램을 사용하고, 이메일의 의심스러운 링크를 열지 않으며, 가능하면 2단계 인증을 사용해야 합니다.

질문: 업계가 성장함에 따라 해킹과 익스플로잇이 더 흔해질 것이라고 생각하시나요?

업계가 성장하고 더 많은 프로젝트가 시작될수록, 더 많은 프로젝트가 해킹 위험에 직면하게 될 것입니다. 모든 프로젝트의 모든 버그를 제거할 수는 없지만, 블록체인 보안 회사들은 버그를 최소화하기 위해 끊임없이 노력하고 있습니다. 여기에는 프로젝트 소스 코드 감사뿐만 아니라 버그가 완전히 발생하지 않도록 예방하거나 적어도 개발 초기 단계에서 발견하는 데 도움이 되는 분석 도구 개발도 포함됩니다.

질문: HashEx는 암호화폐 산업 확장에 어떤 역할을 하나요?

저희는 탈중앙화 애플리케이션 사용의 투명성과 안전성에 대해 사람들에게 설명합니다. 탈중앙화 애플리케이션의 작동 원리는 너무 복잡하고 불분명하여 일반 사용자가 이해하기 어렵습니다. 또한, 분별력 있는 사람이라면 피노키오처럼 자신이 이해하지 못하는 것에 돈을 맡기지 않을 것입니다. 저희는 복잡한 개념을 쉽게 설명하고, 사람들이 알고 피해야 할 함정을 밝혀내며, 잠재적 투자자들이 투자에 대한 충분한 정보를 바탕으로 결정을 내릴 수 있도록 돕습니다.

하지만 저희는 주로 DeFi 와 암호화폐를 중심으로 하는 감사 회사입니다. 즉, 스마트trac에 대한 감사를 다수 수행하여 암호화폐 프로젝트가 투자자들의 신뢰를 얻을 수 있도록 돕습니다. 투자자들은 암호화폐 프로젝트가 투자자에게 재정적으로 큰 타격을 줄 수 있는 심각한 실수로부터 안전하게 보호받을 수 있도록 더욱 신뢰하게 됩니다.

질문: 랜섬웨어, 사이버 보안, 빈번한 암호화폐 해킹을 종식시키려는 G7과 조 바dent 미국 대통령의 움직임에 대해 여러분은 어떻게 생각하시나요?

보안 기준의 지속적인 개선은 우리의 일상이자 기업 이념의 일부입니다. 우리는 신뢰가 필요 없는 DeFi 공간에 신뢰를 불어넣고자 합니다. 이 문제는 DeFi뿐만 아니라 모든 IT 영역에서 매우 중요합니다. 새로운 소프트웨어 제품의 급속한 등장으로 인해 사이버 보안 측면에 대한 관심이 부족해지고 있으며, 이는 해커의 악용 기회를 만들어냅니다. 그 이유는 크게 두 가지입니다. '마우스 클릭 프로그래밍'과 불필요하게 높은 임금을 받는 저질 노동력입니다.

이는 빠르게 성장하는 IT 기업의 단점입니다. 이처럼 치열한 경쟁 속에서 기업들은 서로 앞서 나가기 위해 신제품을 내놓으려 애쓰지만, 보안 문제의 중요성에도 불구하고 이를 외면하는 경우가 많습니다. 그 결과, 수많은 고객이 사용하는 대규모 시스템에도 버그가 남아 사용자 자금 손실을 초래하는 경우가 발생합니다. 때로는 이러한 버그의 여파가 전 대륙에 걸쳐 미칠 수도 있습니다.

이러한 관점에서 볼 때, 정부의 개입은 전적으로 정당합니다. 주 정부가 이러한 문제에 개입하지 않았다면, 누가 탐욕스러운 사업가들을 단속하고 보안 조치와 합리적인 소프트웨어 개발에 전념하도록 설득할 수 있었겠습니까?

사람들이 정부 기관에 해킹 사실을 신고하기 시작하면 긍정적인 효과가 있을 것입니다. 시의적절한 정보는 비축 채널을 활용할 수 있도록 하여 잠재적 고장으로 인한 피해를 최소화하는 데 도움이 될 수 있습니다. (미국 동부 해안으로의 석유 공급 상황은 이러한 관행의 좋은 사례로 볼 수 있습니다.)

업계 전반에 걸쳐 통합된 보안 표준을 개발하는 것도 효과적일 것입니다. 외부 전문가가 아닌 전문가가 개발한다면 더욱 효과적일 것입니다. 현재 DApp 개발 초기 단계에도 불구하고 주요 감사 기관들이 이러한 표준을 구현하고 있습니다. 이러한 프로토콜의 통합은 모두에게 도움이 될 것입니다. 프로그래밍을 더 쉽게 하고, 코드를 더 안전하게 만들며, 사용자 자산을 보호할 수 있기 때문입니다.

질문: 이러한 해킹 사례는 암호화폐 산업에 미치는 영향에 대해 설명합니다.

암호화폐 업계에 대한 피드백은 도난당한 자금을 통제하려는 시도입니다. 저는 이것이 좋은 일이라고 생각합니다. 현재 암호화폐를 통해 현실 세계의 모든 편의를 누릴 수는 없습니다. 이러한 상황은 날로 변화하고 있지만, 완벽과는 거리가 멉니다. 따라서 해커들은 불법적으로 취득한 자금을 인출하기 위해 여전히 암호화폐와 법정화폐 사이의 연결 고리를 필요로 합니다.

이 단계에서 범죄자를dent할 수 있습니다. 범죄자가 더 많이 발견될수록, 다시 범죄를 시도하려는 사람은 줄어들 것입니다. 동양 문화권에서 절도를 위해 신체 부위를 절단했던 것을 떠올려 보세요. 법 집행 기관의 이러한 개입은 암호화폐 산업과 그 평판에 매우 긍정적인 영향을 미치고 있습니다. 이러한 조치는 사람들이 더 안전하다고 느끼게 합니다.

질문: 이러한 암호화폐 해킹의 배후에 있는 악의적인 행위자/플레이어가 있다면, 다른 사람들을 막기 위해 어떤 제재를 권고하시겠습니까?

앞서 말씀드렸듯이, 저는 그러한 개인들을 처벌하는 데 전적으로 찬성합니다. 저는 그러한 행위를 다양한 정도의 심각성을 지닌 금융 사기로 간주하고, 그에 상응하는 법적 조치를 취할 것입니다. 지금 시점에서 새로운 법을 제정하려는 것은 아닙니다.

질문: 해킹 없는 암호화폐 세계는 이루기 거의 불가능합니다. 암호화폐 이해 관계자, 정책 입안자 및 기타 모든 사람들은 어떻게 공격을 최소한으로 줄일 수 있을까요?

어떤 IT 분야든 사이버 위협 없이는 상상할 수 없습니다. 하지만 일반적인 기업에 대해 이야기할 때, 우리는 전체가 아닌 빙산의 일각만 봅니다. 눈에 보이는 해킹은 훨씬 더 많이 발생하는데, 그러한 정보가 공개될 경우 기업의 평판이 훼손될 수 있기 때문입니다. 암호화폐의 경우, 모든 것이 투명하고 공개적으로 알려지기 때문에 대중 매체에서 이러한 내용에 대해 더 자주 다룹니다.

사이버 보안은 다차원적인 관행으로, 암호화폐-법정화폐 전환 시점의 규제 체계, 사용자 교육, 사이버 보안팀의 코드 점검 등이 포함됩니다. 이 산업은 아직 초기 단계이기 때문에 올바른 발전 방향을 제시할 수 있는 훌륭한 기회를 제공합니다. 이렇게 하면 나중에 허점을 메우려고 애쓰는 대신, 처음부터 더 안전한 관행을 활용할 수 있습니다.