현재 블록체인 시장은 전반적으로 초기 단계에 있으며,탈중앙화 금융(DeFi) 시장은 가장 유망한 부분입니다. DefiLlama 데이터에 따르면 2021년 DeFi 시장은 스마트 계약에 약 2,000억 달러의 유동성이 잠겨 있었습니다. 이 자본을 초기 투자로 본다면 이 시장은 매우 유망한 벤처처럼 보입니다. 이 정도 자본을 자랑할 수 있는 글로벌 기업은 그리 많지 않습니다. 그러나 모든 젊은 시장에는 이가 나는 문제가 있습니다. DeFi의 주요 문제는 자격을 갖춘 블록체인 개발자가 부족하다는 것입니다.
이 산업은 매우 젊고 상대적으로 사용자 기반이 적습니다. 대부분의 사람들은 DeFi가 무엇인지 전혀 모른 채 기껏해야 DeFi에 대해 들어봤을 것입니다. 그러나 모든 새로운 유망한 벤처에서 발생하는 것처럼 많은 투기적 관심을 빠르게 불러일으킵니다. 불행하게도 인력을 준비하는 데는 훨씬 더 오랜 시간이 걸립니다. 특히 블록체인 및 스마트 계약 개발과 같은 지식 집약적 영역의 경우 더욱 그렇습니다. 이는 일부 프로젝트 팀이 경험이 적은 인력을 타협하고 고용해야 함을 의미합니다.
이 문제는 필연적으로보안 허점의 위험 증가 이 프로젝트의 코드에서. 그런 다음 사용자 자본 손실로 인한 결과를 처리해야 합니다. 이 문제가 얼마나 큰지에 대한 간략한 이해를 위해 DeFi의 전체 유동성 중 약 10%가 해커에 의해 도난당했다고 말할 수 있습니다. 주류 대중이 자신의 자금에 그러한 위험을 초래하는 금융 시스템을 멀리하는 것을 선호한다는 사실은 누구도 놀라지 않을 것입니다.
DeFi에 대한 공격은 오랫동안 재진입 공격을 중심으로 이루어졌습니다. 우리는 유명한 것을 기억할 수 있습니다 2016년 DAO 해킹으로 투자자 자본에서 1억 5천만 달러의 손실이 발생했고 이더리움의 하드 포크로 이어졌습니다. 그 이후로 이 취약점은 다양한 스마트 계약에서 여러 번 악용되었습니다.
콜백 기능은 대출 프로토콜에서 적극적으로 활용됩니다. 스마트 계약을 통해 대출을 제공하기 전에 사용자의 담보 잔액을 확인할 수 있습니다. 이 모든 프로세스는 하나의 트랜잭션 내에서 발생하므로 해커가 이러한 스마트 계약에서 돈을 훔칠 수 있는 해결 방법을 제공했습니다. 자금 차용 요청을 보내면 콜백 기능은 먼저 담보 잔액을 확인한 다음 담보가 충분하면 대출을 제공하고 스마트 계약 내에서 사용자의 담보 잔액을 변경합니다.
스마트 계약을 속이기 위해 해커는 처음부터 이 프로세스를 시작하기 위해 콜백 함수에 대한 호출을 반환합니다. 트랜잭션이 블록체인에서 완료되지 않았기 때문에 기능은 동일한 담보 잔액에 대해 다른 대출을 제공합니다. 이 문제에 대한 해결책이 오랫동안 등장했지만 많은 프로젝트가 여전히 이 문제의 희생양이 되고 있습니다.
때로는 스마트 계약 작성 기술이 거의 없는 프로젝트 팀이 다른 오픈 소스 DeFi 프로젝트의 코드베이스를 빌려 자체 스마트 계약을 배포하기로 결정합니다. 그들은 일반적으로 감사를 받았고 대규모 사용자 기반을 가지고 있으며 안전하게 구축된 것으로 입증된 평판이 좋은 프로젝트를 사용합니다. 그러나 원래 코드를 변경하지 않고도 스마트 계약에 원하는 기능을 추가하기 위해 빌린 코드를 약간 수정하기로 결정할 수 있습니다. 이는 개발자가 종종 깨닫지 못하는 스마트 계약의 논리를 손상시킬 수 있습니다.
이게 뭐야해커가 약 1,900만 달러를 훔칠 수 있도록 허용 2021년 8월 Cream Finance에서. Cream Finance 팀은 다른 DeFi 프로토콜에서 코드를 빌려 스마트 계약에 콜백 토큰을 추가했습니다. 자금 발행보다 잔액 변경을 우선시하는 "확인, 효과, 상호 작용" 패턴을 구현하여 재진입 공격을 방지할 수 있지만 일부 팀은 여전히 이러한 익스플로잇으로부터 플랫폼을 보호하지 못합니다.
플래시 대출 공격은 해커가 자금을 다른 방식으로 훔칠 수 있도록 하며 2020년 DeFi 붐 이후 점점 인기를 얻고 있습니다. 플래시 대출 공격의 주요 아이디어는 프로토콜에서 자금을 빌리기 위해 담보가 필요하지 않다는 것입니다. 왜냐하면 재정적 패리티가 여전히 보장되기 때문입니다. 한 거래 내에서 대출을 받고 반환한다는 사실에 의해. 그리고 한 번의 거래에서 이자와 함께 대출금을 반환하지 않으면 발생하지 않습니다. 그러나 공격자는 많은 프로토콜에서 플래시 론 공격을 성공적으로 수행할 수 있었습니다.
이를 수행하면서 그들은 여러 프로토콜을 사용하여 오라클이나 유동성 풀을 통해 토큰의 가격을 증폭하고 이를 사용하여 펌프 앤 덤프를 사취하고 배열에서 유동성과 함께 사라지는 최종 행동까지 유동성을 빌리고 끌어옵니다. Ether(ETH ), 래핑된 비트코인(wBTC) 및 기타. 일부 유명한 플래시 론 공격에는 다음이 포함됩니다.팬케이크 토끼 공격 , 여기서 프로토콜은 2억 달러를 잃었습니다.또 다른 크림 파이낸스 공격 , 1억 달러 이상을 도난당했습니다.
DeFi 익스플로잇을 방어하는 방법은 무엇입니까?
안전한 DeFi 프로토콜을 구축하려면 이상적으로는 경험이 풍부한 블록체인 개발자만 신뢰해야 합니다. 분산 응용 프로그램 구축 기술을 갖춘 전문 팀 리더가 있어야 합니다. 개발을 위해 안전한 코드 라이브러리를 사용하는 것을 기억하는 것도 현명합니다. 때로는 덜 최신 라이브러리가 최신 코드 기반 라이브러리보다 가장 안전한 옵션이 될 수 있습니다.
테스트는또 다른 결정적인 것 모든 진지한 DeFi 프로젝트는 그렇게 해야 합니다. 스마트 계약 감사 회사의 CEO로서 저는 항상 고객 코드의 100%를 커버하려고 노력하고 액세스가 제한된 스마트 계약의 기능을 호출하는 데 사용되는 개인 키의 분산 보호의 중요성을 강조합니다. 한 엔터티가 계약을 완전히 제어하지 못하도록 하는 다중 서명을 통해 공개 키의 분산화를 사용하는 것이 가장 좋습니다.
결국 교육은 블록체인 기반 금융 시스템을 보다 안전하고 안정적으로 만들 수 있는 열쇠 중 하나입니다. 그리고 교육은 실행 가능한 기여를 할 수 있는 모든 사람에게 군침 도는 보상을 제공할 수 있기 때문에 DeFi에서 일자리를 찾는 사람들의 주요 관심사 중 하나여야 합니다.
이 기사에는 투자 조언이나 권장 사항이 포함되어 있지 않습니다. 모든 투자 및 거래 움직임에는 위험이 수반되며 독자는 결정을 내릴 때 자체 조사를 수행해야 합니다.
여기에 표현된 견해, 생각 및 의견은 저자만의 것이며 반드시 Cointelegraph의 견해 및 의견을 반영하거나 나타내는 것은 아닙니다.
드미트리 미슈닌 DeFi 보안 및 분석 회사인 HashEx의 창립자이자 CEO이며 블록체인 보안 분야에서 오랜 전문성을 보유하고 있습니다. 그는 IT 시스템, 블록체인, DeFi의 취약점에 대한 연구와 같은 과학 활동에 많은 시간을 할애했습니다. Dmitry의 관리 하에 HashEx는 스마트 계약 감사 분야의 리더 중 하나가 되었습니다.
Preview
유익한 보고서를 통해 암호화 산업에 대한 더 넓은 이해를 얻고 비슷한 생각을 가진 다른 저자 및 독자와 심도 있는 토론에 참여하십시오. 성장하는 Coinlive 커뮤니티에 참여하실 수 있습니다.https://t.me/CoinliveSG