코인업계 감사 고르지 않습니까? 꼭 알아야 할 8개 보안 회사를 안내해 드립니다.
최근 보안 감사 업체 서틱(CertiK)이 내부 블랙해커 해킹 행위를 폭로해 크라켄 거래소 에서 300만 달러를 훔쳐가는 사건이 발생해 코인업계 전체에 충격을 안겼다. 감사 의 코드 취약점 보고 실패와 내부자의 자기 도용 행위로 인해 감사 회사의 신뢰성이 다시 한 번 시장의 초점이 되었습니다.
DeFiLlama 에 따르면 2016년 이후 총 82억 9천만 달러가 넘는 대규모 해킹 사건이 발생했으며(통계에는 개별 사건은 포함되지 않음) 이후 복구할 수 있는 비율은 매우 적습니다. 이는 계약 리스크 있는 프로젝트는 불가능하다는 것을 보여줍니다. 시장의 신뢰를 얻으면 총 고정 포지션(TVL), 거래량 및 펀더멘털에 더욱 영향을 미칠 것입니다.
이 기사에서는 감사 회사를 신속하게 테스트하기 위한 방법론을 소개하고 암호화 업계의 주요 보안 회사 8곳에 대한 개요를 제공합니다.
DeFi 프로젝트의 보안 감사 품질을 평가하는 방법은 무엇입니까?
OKX Web3 Wallet 보안 특별호 05호에 따르면, 프로젝트 당사자가 이상적인 감사 회사를 찾는 데 도움이 되는 다음 5가지 검사 기준을 사용할 수 있습니다. 사용자는 이 방법을 사용하여 각 프로젝트가 안전한 감사 회사를 찾았는지 확인할 수도 있습니다.
핵심 인력의 직업적 배경은 무엇입니까?
잘 알려진 프로젝트를 감사?
이전에 감사 프로젝트가 공격을 받은 기록이 있습니까?
감사 회사에 어두운 역사가 있습니까?
안전품질 판단을 위한 감사 보고서
처음 4가지 사항은 다섯 번째 사항보다 더 빨리 실현될 수 있으며, 다섯 번째 사항은 감사 보고서를 읽는 오랜 경험에 달려 있으며, 핵심 인력의 배경만 판단하는 데에는 시간이 많이 소요됩니다. 보안 감사 회사의 감사 프로젝트, 블랙 히스토리 등 충분한 통찰력을 찾으면 짧은 시간에 각 감사 의 장단점을 파악하는 데 도움이 됩니다.
꼭 알아야 할 보안 감사 회사 8곳 개요
비트의 흔적
2012년에 설립된 Trail of Bit는 감사 범위가 인공 지능, 머신러닝(ML), 암호화, 블록체인 및 개인 정보 보호 기술에 걸쳐 있는 Tier 1 정보 보안 팀입니다. 팀은 그들이 하는 일이 '보안 감사'가 아니라 '보안 가치 평가'임을 강조하며, 가치 평가 관점에서 시작하면 프로그래밍 관점에서 프로젝트의 가치를 보다 포괄적으로 제시할 수 있다고 믿습니다. 보안 평가 서비스 외에도 Trail of Bit의 제품에는 모바일 안티 바이러스 소프트웨어 iVerify도 포함되어 있습니다.
잘 알려진 평가 프로젝트:
Apple 개인 클라우드 컴퓨팅(PCC) 기술
퍼블릭 체인/생태계: Solana, Cosmos SDK, Starknet, Polkadot
EVM 롤업: Starknet, Arbitrum, Optimism
DeFi: Elixir 프로토콜, Uniswap V3, AAVE, yearn, Balancer
오라클: 체인링크
체인보안
ChainSecurity는 2017년에 설립된 스위스 회사입니다. 과거에 다수의 최고의 DeFi 프로젝트를 감사 했습니다. 공동 창립자는 모두 ETH Zürich의 전기 공학 또는 금융 연구소를 졸업했으며 설립 이후 협동조합을 유지해 왔습니다. PwC가 2020년 ChainSecurity 인수에 자금을 지원하기 전까지 Tezos Foundation 등의 외부 감사 보고서를 포함하여 회계법인 PwC Switzerland와의 관계.
2023년 7월 Curve가 해킹된 후 ChainSecurity는 즉시 Curve 개정 제안을 제공하고 2023년 12월 Curve 및 Vyper 프로그래밍 언어(이 사건의 취약성의 소스)에 대한 완전한 보안 감사 보고서를 발표했습니다.
잘 알려진 감사 프로젝트는 다음과 같습니다.
이더 재단 EIP-4788
크로스체인 브리지: WBTC, Layer Zero, Polygon 공식 브리지, Polkadot
DeFi: 1inch, Uniswap, AAVE, MAKER, Curve Sanchi, 갈망
최근 Tron 생태계의 RWA 프로젝트 stUSDT와 SparkLend의 오라클 기능에 대한 보안 감사 보고서가 발표되었습니다.
슬로우 미스트 (SlowMist)
슬로우 미스트 (SlowMist) 는 업계 최고의 블록체인 보안 회사로, 2018년 설립 이후 2021년 8월에 6억 1천만 달러에 달하는 해킹 피해를 입은 대량 거래소 및 프로젝트 당사자에 대한 조사를 주도해 왔습니다. 관계자는 구체적인 이유를 지적했지만, 일부 뉴스에서는 사건 발생 후 슬로우 미스트 (SlowMist) 해커의 이메일과 IP 위치를 빠르게 알아냈기 때문이라는 지적도 나왔다.
설립자 Yu Xian (본명 Zhong Chenming)은 슬로우 미스트 (SlowMist) 설립하기 전에는 정보 보안 회사인 Zhichuangyu에서 기술 담당 부사장, 404 보안 연구소장을 역임했으며 커뮤니티 플랫폼에서 정보 보안 관련 지식을 공유하는 데 매우 적극적입니다. , 그리고 유명한 사이버 공간 검색 회사인 Zhong Kui Eye(ZoomEye)의 창립자는 과거에 대량 버그 잡기 및 소방 사건을 주도한 "블록체인 Dark Forest Self" 의 편집자이기도 합니다. -Rescue Manual" , 안전한 온체인 상호작용 기술을 처음부터 가르칩니다.
보안 감사 및 자금 추적 서비스 외에도 슬로우 미스트 (SlowMist) Technology는 사용자가 신속하게 주소를 분석할 수 있도록 효율적이고 사용하기 쉬운 통화 흐름 추적 도구인 MistTrack을 제공합니다.
CertiK
CertiK는 2018년에 설립되었습니다. 공동 창업자는 모두 컬럼비아 대학교 또는 예일대학교 컴퓨터공학과의 중국인 교수입니다. 팀원과 융자 라인업은 모두 중국 배경을 가지고 있습니다. 최근 평가액은 20억 달러에 달하는 것으로 밝혀졌습니다. 달러, 타이거 글로벌, 소프트뱅크 비전 펀드, 골드만삭스, 세쿼이아 차이나 등으로부터 자금을 지원받았다. CertiK가 한때 $CTK 토큰을 발행했지만 후속 토큰 이코노믹스, 로드맵 및 기타 계획이 구현되지 않았으므로 통화권에 투자한 사람들이 속아서 주식에 투자한 기관도 성공했습니다. CertiK의 화폐 발행 때문에 표시하기에는 너무 추악합니다.
감사 서비스 외에도 CertiK는 사용자가 프로젝트의 보안 점수, 팀 구성원 배경, 거래소 보안 요소, 자산 준비금 및 기타 기능을 연구할 수 있는 데이터 및 정보 웹 사이트를 구축합니다. 이러한 도구는 DeFi 사용자 사이에서 CertiK의 가시성을 높이는 데 매우 효과적이었습니다. 그러나 이후 커뮤니티 CertiK가 "후광에 싸인 값비싼 회사"가 되었다고 비판하기 시작했습니다.
2024년 6월 CertiK는 크라켄 거래소 에서 코드 취약점을 발견해 먼저 신고한 뒤 해킹을 당해 범죄 수익금 300만 위안을 토네이도 캐시로 이체했지만 이후 자금이 반환됐고, 100% 환불 됐다. , 코인믹서 등에 자금이 투자된 이유를 설명할 수 없어 이에 대한 시장의 신뢰도가 크게 떨어졌다.
잘 알려진 감사 프로젝트:
Web2: Apple IOS 17, LINE 블록체인
레이어 1: SUI, TON, BNB 체인, Cronos
감사 후 해킹된 프로젝트:
zkSync 시대 생태계의 MERLIN DEX가 180만 달러에 해킹당했습니다.
Swaprum은 CertiK의 감사 보고서를 받은 지 불과 몇 주 만에 현금 300만 달러를 벌었습니다.
해킹 그룹 Lazarus는 다른 프로토콜보다 더 많은 Certik 감사 프로토콜을 손상시켰습니다.
BlockSec
BlockSec은 2021년에 설립된 중국 본토 팀입니다. 공동 창립자 Zhou Yajin 과 CTO Lei Wu 등 엔지니어링 팀의 핵심 구성원은 모두 매우 유사한 배경을 가지고 있습니다. 즉, 그들은 대학에서 박사 과정을 밟고 있습니다. 노스캐롤라이나 출신, 360 Security Guard 연구원, 절강대학교 연구원.
Linkedin 에 따르면 현재 정보 보안 직원의 대부분은 저장대학교를 졸업했거나 해당 학교에서 박사 과정을 공부했습니다.
공동 창업자인 Zhou Yajin은 노스캐롤라이나 대학에서 컴퓨터 과학 박사 학위를 취득한 후 안티 바이러스 소프트웨어인 360 Security Guard에 수석 보안 연구원으로 입사한 후 현재는 교수이자 교수이기도 합니다. 저장대학교 박사 강사.
감사 서비스 외에도 해당 제품에는 주소 식별 플러그인 MetaSuites(이전 MetaDock) , 통화 흐름 추적 시각화 도구 MetaSleuth , 화이트 해커 팀 Phalcon 및 기타 도구가 포함되어 있습니다. 이러한 플러그인을 활용하여 피싱을 식별할 수 있습니다. , 사기, Etherscan의 다이아몬드 거래, 특정 통화의 대형 플레이어와 같은 태그를 통해 시각적 통화 흐름 추적을 실현하고 프로젝트 파티 해킹 이벤트를 추적합니다. 기능은 매우 포괄적이며 사용 기준이 낮습니다. 예를 들어 Symbiotic은 최근 누군가가 Phalcon 브라우저를 사용하여 Milady를 사용 리스테이킹 (Restaking) 시도했다고 트윗했습니다 .
최근 Manta는 롤업 탄력성을 향상시키기 위해 Phalcon의 공격 탐지 엔진을 Manta의 자체 순서 에 통합하기 위해 Phalcon과의 파트너십을 발표했습니다 .
잘 알려진 감사 프로젝트:
DeFi: PancakeSwap, LiNEAR 프로토콜
LRT: Mellow Protocol, Puffer Finance, Magpie
리스테이킹 (Restaking): Octopus Restake (NEAR 생태적 리스테이킹 (Restaking) 프로젝트)
크로스체인: PolyNetwork, Multichain , XY Finance, Radiant V2
EOS 네트워크 재단
2022년 4월 BlockSec의 멀티체인 감사 보고서 에서 BlockSec은 이미 멀티체인에서 자금 통제 권한을 과도하게 중앙집중화하지 말 것을 권고했다는 점을 확인할 수 있습니다. 마지막으로, 이 제안은 프로젝트 측에서 개선되지 않았습니다. 2023년 7월 창업자의 개인키가 유출되어 모든 자금이 해킹당하면서 멀티체인이 실패했습니다.
퀀트스탬프
Quantstamp는 미국 로스앤젤레스에 본사를 두고 있으며, 핵심 인력은 회사 설립 이전부터 풍부한 정보 보안 경험을 축적했으며, Smart Contract Alliance 및 Tower Research Capital에 대한 배경 지식을 갖추고 있습니다.
CEO Richard Ma는 코넬 컴퓨터 공학과를 졸업하고 2018년 Y Combinator에 참여했습니다. Ondo Finance, Astar, Spectral 등 많은 프로젝트에 참여했습니다.
Don Ho 전무이사는 OrangeDAO의 공동 창립자이기도 합니다. OrangeDAO는 블록체인 기업가들로 구성된 DAO로, 과거에는 Hinkal Protocol, 0G에 투자에 참여했습니다. Analog, Mezo, Toku 등 프로젝트
개발자 관계 책임자인 Martinet Lee는 ETH 타이페이의 창립자이기도 합니다.
보안 감사 외에도 Quantstamp는 0G, 아날로그, Hinkan 프로토콜 등에 투자하는 일부 발행시장 시드 라운드 투자에도 참여했습니다.
DeFi 프로젝트 중 15위를 차지하고 있는 zk Rollup Zircuit의 핵심 팀은 TVL이 23억 달러에 달한다는 점은 주목할 가치가 있습니다. 공동 창립자인 Martin Derka 와 Jan Gorzny는 원래 New의 대표였습니다. 각각 Quantstamp 이니셔티브의 프로젝트 부서) 및 L2 스케일링 책임자입니다.
Zircuit은 현재 DeFillama Farm 분류에서 1위를 차지했으며 Swell, AlLayer, Pencils 및 기타 프로토콜이 그 뒤를 이었습니다.
https://defillama.com/protocols/farm
잘 알려진 감사 프로젝트:
L1/L2: ETH 2.0 , 솔라나 , TON, 눈사태 , BNB 체인
게임 및 NFT: OpenSea , 병렬, 샌드박스
DeFi: Maker, Curve, Lido , Ethena , Pendle , Puffer Finance
인프라: ssv.network, Luganodes , Galxe
웹 2: VISA , Revolut, Sequoia, BitGo
PeckShield
PeckShield 팀은 주로 중국 본토 출신입니다. 창립자인 Jiang Xuxian은 원래 360 Security Guard의 수석 과학자였으며 노스캐롤라이나 대학의 교수였습니다. 보고에 따르면 Jiang Xuxian은 학교에서 Zhou Yajin의 교사였습니다. 공식 웹사이트에 제공된 감사 대상을 통해 PeckShield 고객의 대부분이 아시아 출신이라는 것을 알 수 있습니다.
잘 알려진 감사 프로젝트:
L1/L2: 눈사태, BNB 체인, 다각형
DeFi: 메이커, 커브, 기어박스, 1인치, dYdX
인프라: 스타크웨어
크로스체인 관련: 멀티체인, 폴리네트워크
오터섹
OtterSec의 핵심 구성원은 전 세계에 위치하고 있으며 창립자 Robert Chen을 포함한 엔지니어링 팀의 핵심 구성원은 과거 코드 버그 바운티(Bug Bounty) 플랫폼 HackerOne에 적극적으로 참여했습니다. 이 회사는 SUI 및 Solana와 같은 많은 중요한 인프라 및 DeFi 프로젝트에 참여했습니다.
잘 알려진 감사 프로젝트( 감사 포트폴리오 )
SUI 생태계: Navi, Scallop, Cetus, volo, Mysten zk login, Bluefin
솔라나 생태: Solayer, Sanctum, Jito, Jupiter, Raydium, Pyth
크로스체인 브리지: Wormhole , LayerZero
인프라: Celestia , Cosmos , NEAR, Solana
Code4rena - 감사 포상금 캠페인 플랫폼
Code4rena는 web3 보안 감사 경쟁 플랫폼으로, 기존 감사 서비스 및 버그 보상과 달리 완전한 보상 검토 메커니즘을 구축하고, 프로젝트 당사자를 유치하여 버그 포상금 풀을 만들고, 스마트 계약 민간 전문가가 감사 참여하도록 장려하여 승리합니다. - 세 당사자 모두에게 유리한 상황입니다.
2021년에 설립되었으며, 2023년 Paradigm으로부터 600만 달러 융자 받았습니다(현금으로 구매 $ARENA). 공동 창립자 Scott Lewis는 연쇄 창업가이자 엔젤 투자자이기도 하며 DeFi Pulse, SlingShot 및 기타 프로젝트를 공동 창립했으며 Canto의 핵심 기여자이기도 합니다.
현재 활성화된 디버그 상금 풀에서 개인 감사 수만 달러의 USDC를 공동으로 공유할 수 있습니다. 과거에 zkSync는 Code4rena에서 최대 110만 달러에 달하는 엄청난 디버그 상금 풀을 구축했습니다.
잘 알려진 참여 프로젝트:
디파이: AAVE, GMX
인프라: EigenLayer, Optimism Super Chain, Chainlink, ENS
L1/L2: 베이스, 폴카닷, 스타크넷, zkSync
DePIN: 그래프
NFT: OpenSea, 블러
요약
좋은 감사 회사를 유지하는 것은 쉽지 않습니다. 2021년 써틱(CertiK)이 유명해졌으나 후회가 생길 줄은 예상하지 못했습니다. 또한 2024년에는 어떤 회사가 동일한 문제에 직면했는지 찾기가 어렵습니다. 일반적으로 여러 보안 사고를 반복적으로 확인해야 합니다.
또한, 감사 회사의 직무불이행 여부에 대한 평가는 시기적 관계에만 의존할 수 없으며, 감사 보고서의 내용에 대한 면밀한 검토가 필요합니다. 예를 들어 BlockSec은 해킹되기 1년 전부터 멀티체인의 문제점을 지적했지만, 프로젝트 측은 이를 개선하지 않았습니다.
전체 감사 보고서를 검토하는 데는 대량 시간이 걸리지만 투자자는 프로젝트 평가에 집중합니다. 프로젝트 소유자는 프로그램 코드 보안을 보장하여 시장 신뢰를 얻기 위해 여러 감사 회사와 협력하는 것을 고려할 수 있습니다.
