감사는 중요하지만 만능 해결책은 아닙니다. 블록체인 데이터 분석 플랫폼 센토라(Sentora)의 최근 게시글과 함께 공개된 막대 그래프는 이러한 점을 분명히 보여줍니다. 이 그래프는 디파이(DeFi) 해킹 및 악용으로 인한 수십억 달러의 손실을 분석하고 있으며, 2020년부터 2025년까지( 테라(Terra) ) 사태 제외)의 데이터를 포함하고 있습니다. 보안 검토 비용을 지불한 프로젝트조차 막대한 손실을 입었다는 불편한 사실을 명확히 드러냅니다.
센토라는 "감사는 DeFi에 필수적이지만, 보장은 아니다"라고 썼다. "감사를 받은 프로젝트들은 2020년에서 2025년 사이에 러그 공격, 개인 키 유출, 감사 후 변경 등으로 33억 달러 이상의 손실을 입었다. DeFi 감사는 기본이지만, 효과적인 위험 관리를 위해서는 여전히 위험을 적극적으로 모니터링해야 한다."
첨부된 차트는 감사기관별 손실액을 보여주는데, 감사받지 않은 프로젝트가 약 50억 달러에 달하는 가장 큰 타격을 입었지만, 감사받은 프로젝트와 Certik, NCC Group, Trail of 비츠(Bits) 와 같은 유명 기업도 예외는 아니라는 것을 보여줍니다.
겹겹이 쌓인 문제
종합적으로 볼 때, 시각 자료와 센토라의 요약은 복합적인 문제를 드러냅니다. 첫째, 명백한 사실은 감사를 생략하거나 절차를 간소화한 프로젝트들이 그에 따른 대가를 치렀다는 것입니다. 둘째, 그에 못지않게 중요한 사실은 감사 자체가 특정 시점의 상황을 반영하는 것이며, 종종 코드 수정, 거버넌스 변경 또는 새로운 관리자 키 도입과 같은 최종적인 조치가 이루어지기 전에 수행된다는 점입니다.
감사 후 수정 사항과 개인 키를 탈취하는 사회공학적 공격, 내부자의 악의적인 러그 풀은 Sentora가 감사 대상 프로젝트에 대해 표시한 33억 달러 손실의 상당 부분을 차지합니다. 차트는 또한 "기타(68)"로 그룹화된 소규모 감사자의 긴 꼬리인 중간 범주를 강조하며, 이들이 함께 상당한 손실 부분을 차지합니다.
이는 프로젝트 감사 여부뿐만 아니라 감사의 질과 포괄성, 감사자의 범위, 그리고 보고서 발행 후의 조치까지 모두 중요한 문제임을 시사합니다. 핵심적인 설계 가정을 간과하는 감사나 권장되는 완화 조치를 무시하는 팀은 잠재적 위험을 초래할 수 있습니다.
보안 전문가들은 수년 동안 단일 감사를 보안 프로그램의 시작으로 여겨야지, 종착점으로 생각해서는 안 된다고 강조해 왔습니다. 지속적인 모니터링, 단계적 배포, 다중 서명 제어, 권한 기능에 대한 타임락, 사전 예방적 버그 바운티 프로그램, 그리고 보험 상품은 모두 더욱 탄력적인 보안 접근 방식의 일부입니다.
센토라의 메시지는 감사가 최소한의 기준을 제시하지만, 팀과 투자자는 여러 겹의 보호 장치를 마련하고 지속적으로 감시해야 한다는 점을 강조합니다. 구성 가능성과 빠른 반복을 중시하는 DeFi 생태계에서 이러한 긴장감은 현실적입니다. 개발자는 기능을 출시하고 신속하게 방향을 전환하기를 원하고, 감사자는 철저한 검토를 위해 충분한 시간과 범위가 필요하며, 공격자는 그 사이의 짧은 틈을 노립니다.
이 데이터의 결론은 간단하면서도 불편합니다. 감사에 대한 지출은 여전히 필요하지만, 손실을 의미 있게 줄이려면 감사 후 관리 체계를 강화하고 운영상의 안전장치를 마련해야 합니다.
센토라의 사례와 차트는 DeFi의 보안이 인증서가 아니라 지속적인 프로세스라는 점을 다시 한번 상기시켜 줍니다. 감사는 문제를 발견하는 데 도움이 되지만, 문제가 발생하는 것을 막지는 못합니다. 팀들이 보안을 단순히 체크리스트 항목으로만 여기지 않고 지속적인 노력으로 인식하기 전까지는, 관련 수치는 계속해서 증가할 가능성이 높습니다.
