원저자: Haotian(트위터: @tmel0211), 블록체인 보안 실무자
이 기사는 2022년 10월에 처음 게시되었습니다. 오늘 zkSync 생태학적 DEX Merlin은 유동성이 부족했고 해커들은 미화 182만 달러의 자금을 훔쳤습니다. 나중에 일부 독자들은 Merlin이 온라인에 접속하기 전에 CertiK에서 실시한 감사를 방금 완료했다는 사실을 발견했습니다.CertiK는 보고서에서 Merlin 프로젝트에 중앙 집중화 문제가 있음을 지적했지만 여전히 보안 문제를 피하지 못하고 결국 자금 손실을 입었습니다.
그렇다면 감사를 통과한 프로젝트가 여전히 공격을 받거나, 문제가 발생하거나, 다양한 취약점을 안고 있는 이유는 무엇일까요? 블록체인 보안 분야 실무자인 Haotian(@tmel0211)이 이 기사에서 감사 관련 질문에 답변합니다.
연말에는 보안 사고가 잇달아 발생했는데, 해커들은 시장이 침체되고 돈이 바닥날 것을 두려워해 연말 보너스를 수억 단위로 먼저 모았다. 누군가는 Rabby, TempleDAO, Mango 및 기타 공격을 받은 프로젝트가 모두 보안 감사를 받았는데 왜 여전히 공격을 받고 있는지 묻고 싶습니다. 어떤 사람들은 이를 이용해 보안 감사가 무의미하다고 비판하기도 했습니다. 수년간 블록체인 보안 업계의 실무자로서 저는 몇 가지 말씀드리고 싶습니다.
1. 모든 독자는 먼저 기대치를 조정해야 합니다. 안전 감사는 필수이지만 감사가 완료되면 결코 단번에 해결되지 않습니다. 공격과 방어는 전혀 같은 규모가 아닙니다. 보안 회사의 감사 보고서를 살펴보면 거의 모든 프로젝트에서 1개의 심각한 취약점, 2~4개의 고위험 취약점, 여러 개의 중간 및 낮은 수준 취약점을 발견할 수 있습니다. 이러한 취약점 발견이 의미가 없다고 말할 수 있습니까? 예, 하지만 보안 위험을 줄이는 것이 더 중요합니다!
2. 사건 이후 어떤 사람들은 취약점이 너무 간단한데 왜 발견되지 않았느냐고 말할 것입니다. 이 문제는 매우 복잡합니다. 보안 감사는 논리적 검토를 수행하고, 코드 결함을 제거하고, 오버플로, 재생, 서명 확인과 같은 일반적인 취약점을 해결하기 위한 기존 도구와 기존 경험을 기반으로 합니다. 그러나 DeFi와 같은 프로토콜의 어려움은 코드가 아니라 프로세스 제어, 외부 조합 중첩, 시장 조작 등 보안 회사의 업무 범위를 벗어나는 복잡한 금융 비즈니스 로직입니다.
3. 블록체인 생태계에는 오픈소스 + 비오픈소스, 감사를 받는 프로젝트 + 비감사 프로젝트, 오프체인 검증자 + 온체인 실행 등 다양한 조합이 있습니다. 보안 회사에 대한 많은 프로젝트의 감사는 다음과 같습니다. 오픈소스 감사 부분과 같은 모듈식만 있는데, 오픈소스가 아닌 부분은 어떻습니까? 온체인 실행에 영향을 미치는 오프체인 프로세스, 또는 시장 거래의 심도 문제로 인해 시장이 조작되는지 여부는 어떻습니까? 문제가 발생하면 보안업체가 책임을 지는 것은 불가능합니다.
4. 무서운 점은 많은 프로젝트 당사자들이 순수한 이유 때문에 보안 감사를 구하지 않고 소위 "보안 승인"만 받기를 바랄 뿐이라는 것입니다. 그런 사고 방식으로 프로젝트를 진행한다면 자체 보안 준비에 대한 투자가 중단될 것입니다. 상상할 수 있습니다. 뭔가 잘못됐을 때 xx본부 보안사에서 감사까지 했다는 순진한 얼굴을 하고 있는데, 프로젝트 자체가 보안방어+강화+비상대응에 얼마나 투자하는지 묻고 싶습니다. 저는 이것이 보안 사고가 흔한 근본적인 이유라고 생각합니다.
5. 사실 산업생태계에 가장 큰 위협이 되는 것은 모두 해커의 공격이 아니라 취약한 보안의식으로 인한 '인재재난'이 더 많다. 피싱사기 등으로는 아예 집계가 안되는데, 인조양탄자, 피싱, 네트워크 탈취, 펀드디스크 사기 등 일련의 보안손실이 집계된다면 어떻게 될까요? 보안 위협은 해커 못지 않습니다.
6. 내 생각에는 암호화 업계의 보안 문제는 갈 길이 멀다. 우리가 기대하는 생태학은 프로젝트 자체의 보안 보호 + 제3자 보안 감사 방지 지원 + 사용자 모두가 보안 인식을 갖게 되고, 산업은 근본적으로 안전해질 것” 하지만 사실 보안업체는 전혀 보안업체가 아니기 때문에, 보안업체가 수리공 역할도 하고, 교량 붕괴 시 수리도 하고, 부서진 도로도 수리할 수 있으면 좋을 것 같습니다. 보안 생태계는 모든 참여자가 보호해야 합니다.
