먼 옛날 그리스인들은 거대한 목마를 트로이에 바쳤습니다.
트로이 사람들은 그 안에 위협이 도사리고 있다는 사실을 모르고 이를 받아들였습니다.
비트코인 ETF의 성공적인 출시로 점점 더 많은 신규 사용자와 자금이 Web3로 몰려들고 있으며, 이는 Web3가 대규모 애플리케이션의 미래에 한 발 더 가까워졌음을 의미하고 있습니다.
그러나 정책 및 보안에 대한 우려는 광범위한 암호화폐 채택에 장애물로 남아 있는데요. 2022년에만 DeFi 프로토콜에서 도난당한 토큰의 총 가치는 미화 3억 1천만 달러에 달합니다.
스캠 스니퍼(Scam Sniffer)가 공개한 자료에 따르면, 2023년 기준으로 324,000명의 사용자가 자산을 도난당했으며, 도난당한 금액의 총액은 약 2억 9,500만 달러에 달합니다.
이러한 현실은 Web3 생태계 보안의 심각성을 보여줍니다.
사용자의 입장에서는 실제 사고가 발생하기 전에 잠재적인 위험의 심각성을 완전히 인식하기 어려운 경우가 많습니다.
그래서 흔히 말하는 '생존자 오류'에 빠져 자산 보안의 중요성을 무시하는 경우가 많습니다.
기사는 Web3 사용자의 급속한 성장으로 인해 현재 시장이 직면한 보안 위험에 대해 논의합니다.
우리는 Web3 보안이 아직 개척되지 않은 1,000억 달러 규모의 시장이라고 믿고 있습니다.
숨겨진 위협과 수십억 달러 규모의 시장
현재 Web3 보안의 제품 형태는 주로 To-B(Business), To-C(Customer), To-D(Developer)입니다.
B-side는 제품 보안 감사를 수행하고, 제품에 대한 침투 테스트를 수행하고 감사 보고서를 출력하며, 주로 제품 측면에서 보안 보호를 수행합니다.
C-side는 사용자의 보안 환경을 보호하는 것을 목표로 하며, 위협 인텔리전스의 실시간 캡처 및 분석을 기반으로 API를 통해 탐지 서비스를 출력하고 사용자 측에서 보안 보호를 수행합니다.
D-side는 주로 개발자 도구를 목표로 하며 Web3 개발자를 위한 자동화된 보안 감사 도구 및 서비스를 제공합니다.
보안 감사는 필수적인 조치입니다. 거의 모든 Web3 제품은 보안 감사를 실시하고 감사 보고서를 공개합니다. 보안 감사를 통해 커뮤니티는 프로토콜의 보안을 2차적으로 확인할 수 있을 뿐만 아니라 사용자가 제품에 대한 신뢰를 구축할 수 있는 기반 중 하나이기도 합니다.
그러나 보안 감사는 만능이 아닙니다. 시장 개발 동향과 상황에 따라 보안관련 과제가 증가할 것으로 보입니다.
자산 보안
각 시장 주기의 시작에는 새로운 자산의 발행이 수반되어야 합니다.
ERC404의 인기와 FriendTech 및 NFT 하이브리드 토큰의 등장으로 체인의 자산 발행은 앞으로 더욱 복잡해질 것입니다.
다양한 자산 유형이 스마트 계약을 통해 매핑되고 통합됨에 따라 시스템의 복잡성이 증가하고 그에 따라 보안이 더 큰 과제에 직면하게 됩니다.
이러한 복잡성은 공격자에게 더 넓은 공격 공간을 제공합니다. 일례로, 공격자는 특정 콜백 메커니즘이나 세금 징수 메커니즘을 설계하여 자산 이전을 방해하거나 직접적인 DoS 공격을 시작할 수도 있습니다.
이로 인해 자산 발행 계약 보안 감사 및 공식 검증과 같은 전통적인 Pre-Chain 방법이 어려워집니다. 실시간 모니터링, 경고, 동적 차단 기능을 갖춘 솔루션이 시급한 상황입니다.
행동 안전
CSIA가 제공한 데이터에 따르면 사이버 공격의 90%가 피싱으로 시작됩니다.
web3도 마찬가지입니다. 공격자는 사용자의 개인 키나 온체인 자금을 표적으로 삼아 Discord 등 플랫폼을 통해 피싱 링크나 사기성 정보를 보내거나 바이러스 파일을 설치합니다.
온체인 서명을 클릭하고 다양한 입력 매개변수에 직면할 때 우리가 승인하는 것이 무엇인지 실제로 알 수 있습니까? 2024년 1월 22일, 암호화폐 사용자가 피싱 공격을 받고 잘못된 매개변수로 허가 서명했습니다. 해커는 서명을 획득한 후 서명에 의해 승인된 지갑 주소를 사용하여 사용자 계정에서 420만 달러 상당의 토큰을 인출했습니다.
취약한 사용자 보안 환경은 자산 손실로 이어질 수 있습니다.
예를 들어, 지갑의 개인 키가 복사된 후 클립보드에 남아 있는 경우가 많습니다. 이 경우 악성코드가 오픈될 때 개인키를 읽어 지갑이 소유한 온체인 자산을 자동으로 탐지해 자동으로 전송하거나, 잠복기 이후 사용자의 자산을 도난당하게 됩니다.
점점 더 많은 새로운 사용자가 Web3에 진입함에 따라 클라이언트 환경의 보안 문제는 숨겨진 거대한 위험이 될 것입니다.
프로토콜 보안
재진입 공격은 오늘날 프로토콜 보안이 직면한 가장 큰 과제 중 하나입니다. 수많은 위험 제어 전략에도 불구하고 이러한 유형의 공격과 관련된 사고는 자주 발생합니다.
지난해 7월 커브(Curve)는 계약 프로그래밍 언어인 바이퍼(Vyper)의 컴파일러 결함으로 인해 심각한 재진입 공격을 당해 최대 6천만 달러의 손실을 입었고, 이 사건은 또한 DeFi의 보안에 대한 광범위한 의구심을 불러일으켰습니다.
계약 소스 코드 로직에 대한 "화이트 박스" 솔루션은 많지만 Curve와 같은 해킹 사고는 계약의 소스 코드가 정확하더라도 컴파일러 문제로 인해 최종 운영 결과가 예상과 다를 수 있다는 중요한 문제를 드러냅니다.
계약을 소스 코드에서 실제 런타임으로 "변환"하는 것은 어려운 프로세스입니다. 각 단계에서 예상치 못한 문제가 발생할 수 있으며 소스 코드 자체가 모든 잠재적 시나리오를 완전히 다루지 못할 수도 있습니다. 따라서 소스코드와 컴파일 수준의 보안에만 의존하는 것만으로는 충분하지 않으며, 소스코드가 완벽해 보이더라도 컴파일러 문제로 드러나지 않던 취약점이 나타날 수 있습니다.
따라서 런타임 보호가 필요합니다. 프로토콜 소스 코드 수준에 초점을 맞추고 실행 전에 적용되는 기존 위험 제어 조치와 달리 런타임 보호에는 프로토콜 개발자가 런타임 시 예상치 못한 상황을 처리하기 위해 런타임 보호 규칙 및 작업을 작성하는 작업이 포함됩니다. 이를 통해 런타임 실행 결과에 대한 실시간 평가 및 응답이 용이해집니다.
암호화폐 자산 관리 회사인 Bitwise의 예측에 따르면, 전체 암호화폐 자산은 2030년에 16조 달러에 이를 것입니다. 보안 비용 위험 평가 관점에서 정량적으로 분석해 보면 온체인 보안 사고 발생은 거의 100% 자산 손실을 가져오기 때문에 노출계수(EF)를 1로 설정할 수 있으므로 단일 손실 기대( SLE)의 규모는 16조 달러입니다. ARO(연간 발생률)가 1% 일 때 암호화폐 자산의 보안 투자 비용의 최댓값인 ALE(연간 손실 기대)는 1,600억 달러를 얻을 수 있습니다.
암호화폐 보안 분야의 심각도, 빈도, 시장 규모의 급속한 성장을 토대로 Web3 보안은 빠르게 성장하는 수천억 달러 규모의 시장으로 예측됩니다. 또한, 개인 사용자 수의 급격한 증가와 자산 보안에 대한 관심 증가를 고려할 때, 보안이 필요한 블루오션 시장인 C-side 시장에서 Web3 보안 서비스 및 제품에 대한 수요는 기하급수적으로 증가할 것으로 예상됩니다.
Web3 보안 트랙 분석
Web3 보안 문제가 계속해서 발생함에 따라 디지털 자산을 보호, NFT의 신뢰성을 확인, 분산형 애플리케이션을 모니터링하고, 자금세탁 방지 규정을 준수할 수 있는 고급 도구에 대한 수요가 크게 증가하고 있습니다. 통계에 따르면 현재 Web3가 직면하고 있는 보안 위협은 주로 다음과 같습니다.
- 프로토콜 해킹
- 사용자 중심 사기, 피싱, 개인 키 도난
- 체인 자체에 대한 보안 공격
이러한 위험에 대처하기 위해 현재 시장의 기업은 주로 ToB 테스트 및 감사(Pre-Chain) 및 ToC 모니터링(On-Chain)에 중점을 둔 해당 서비스 및 도구를 출시하고 있습니다.
그러나 Web3 시장 환경이 복잡해짐에 따라 다양한 보안 위협에 대한 ToB 감사가 점차 어려워지고 있으며, ToC 모니터링의 중요성도 부각되면서 수요가 지속적으로 증가하고 있습니다.
- ToB
현재 시장에서는 Certik과 Beosin으로 대표되는 회사들이 ToB 테스트 및 감사 서비스를 제공하고 있습니다.
이들이 제공하는 서비스는 스마트 계약 보안 감사 및 스마트 계약의 검증을 수행합니다. 이러한 사전 체인 방식을 통해 지갑 시각적 분석, 스마트 계약 취약점 보안 분석, 소스 코드 보안 감사 등을 통해 스마트 계약을 어느 정도 탐지하고 위험을 줄일 수 있습니다.
| 주요 분야 | 서비스 | |
| Certik | 스마트 계약 감사, 침투 테스트, 검증 | - skynet: 스마트 계약 보안 모니터링 및 데이트 취약점 감시 - skytrack: 지갑 분석 시각화, 의심스러운 거래 분석 |
| Quantstamp | 스마트 계약 감사, 검증 | 보안 보니터링 소프트웨어 (토큰, 계약 모니터링) |
| OpenZeppelin | 스마트 계약 감사, 검증 | - Contracts: 입증된 스마트 계약 라이브러리를 사용해 위험 최소화 - Defender: 스마트 계약 운영을 자동화 |
| Runtime Verification | 스마트 계약 감사, 검증 | - K 프레임 - Firefly - 임베디드 시스템(RV- Match, Monitor, Predict) |
| Trail of Bits | 스마트 계약 감사, 검증과 보안 모니터링 | - iverify: 취약성 공격으로부터 보호 - 오픈소스 도구: manticore, deetatetea, go PNn osguery 외 |
| Consensys Dillegence | 스마트 계약 감사, 검증과 퍼지테스트 | - MythX: 스마트 계약의 Solidity 취약점 분석 - Harvey: 이더리움 스마트 계약을 위한 그레이 박스 퍼지 |
| BlockSec | 스마트 계약 감사, SAAS 보안 | - 보안감사 - SAAS 제품 모니터링 - SAAS 제품 테스팅 |
| Slowmist | 스마트 계약 감사, 검증 | - 보안감사 - 거래소 상장 감사 - 소스코드 보안감사 - 유니티 맞춤형 감사 |
| MetaTrust | 스마트 계약 감사, SAAS 보안 | - Metascan 테스트 - 수동 감사 - Metascout 모니터링 - 보안 점수제도 |
| Beosin | 스마트 계약 감사 + 자금세탁 방지 | - 스마트 계약 감사 - 블록체인 보안 감사 및 암호화폐 추적 |
- ToC
ToC 모니터링은 On-Chain 프로세스에서 실행되며 위험 분석, 거래 시뮬레이션 및 스마트 계약 코드 모니터링, 온체인 상태 및 사용자 거래 메타 정보를 포함합니다. ToB 대비 ToC 보안분야는 뒤늦게 등장했지만 매우 빠르게 성장 중입니다.
GoPlus등과 같은 Web3 보안업체가 제공하는 서비스는 점차 다양한 Web3 생태계에 적용되고 있습니다.
| 주요 파트너 | 사업 규모 | |
| GoPlus | Token Pocket, Dexscreener, CMC, SafePal, Bitget Wallet, Uniswap snap | 840,000개의 위험 토큰과 5,000개 이상의 토큰 주소를 발견, 일일통화량은 최대 2천만 건이며 제품 사용자 수는 100만명에 달합니다. |
| Tenderly | Chainlink, Argent, OX, Compound, yearn, argent | 매달 200,000개 이상의 계약을 모니터링하고 1,500만개 이상의 알람을 생성 |
| Harpie | coinbase, Opensea, DragonFly, OrageDao, Revoke, AZRA | 2,500개 이상의 고유 NFT 컬렉션 확보 |
| Blowfish | Phantom | Phantom과의 테스트 제품 출시 이후 125억개의 거래 스캔 + 11,000건의 사기가 차단 |
| Peckshield | BNB Chain, Polygon, Avalanche, OKChain | 미공개 |
| Webacy | ethereal, arbitrum, polygon, optimism | 8억 5천만 달러의 자산을 보호하고 매월 120만 건 이상의 알람 수행 |
| Blockfence | Metamask, DappRadar, Forta, GoPlus, ironblocks | 5,400만 개가 넘는 스캠 링크를 발견하고 100,000이상의 사기 행위를 탐지했으며 200만개 이상의 디지털 자산을 검사 |
| Blockaid | sequoia, greylock, cyberstrats, Ribbit Capital, variant | 5억 달러 이상의 손실을 방지하고 71억 달러 이상의 자산을 보호, 4억 5천만 건이상의 거래가 탐지되었으며 130만 건 이상의 공격이 예방 |
| ScamSniffer | GoPlus, 0xscope, Mistrack, Slowmist, Scroll | 1,200만 개의 URL을 검사하여 145,000개의 악성 URL을 검출 |
2021년 5월 GoPlus의 설립 이후 애플리케이션 API에 대한 일일 호출 횟수는 초기 수백 건의 쿼리에서 최대 2천만 호출로 급격히 증가했습니다. 아래 그림은 2022년부터 2024년까지 Token Risk API 호출량의 변화를 보여줍니다. 성장률은 Web3 분야에서 GoPlus의 중요성이 커지고 있음을 보여줍니다.
출시된 사용자 데이터 모듈은 점차 다양한 Web3 애플리케이션의 중요한 부분이 되었으며, CoinMarketCap(CMC), CoinGecko, Dexscreener, Dextools 등 최고의 시장 웹사이트와 Sushiswap, Kyber Network, Plays 등 대표적인 탈중앙화 거래소에서 사용되고 있습니다. Metamask Snap, Bitget Wallet, Safepal 등 지갑에서 핵심적인 역할을 담당합니다.
또한 이 모듈은 Blowfish, Webacy, Kekkai 등 사용자 보안 서비스 회사에서도 사용됩니다. 이는 Web3 생태계의 보안 인프라를 정의하는 데 있어 GoPlus 사용자 보안 데이터 모듈의 중요한 역할을 보여주며, 현대 분산형 플랫폼에서 GoPlus 사용자 보안 데이터 모듈의 중요한 위치를 입증합니다.
GoPlus는 주로 다음과 같은 API 서비스를 제공하며, 여러 핵심 모듈에 대한 타깃 데이터 분석을 통해 사용자 보안 데이터에 대한 포괄적인 통찰력을 제공하여 진화하는 보안 위협을 방지하고 Web3 보안의 다각적인 과제에 대응합니다.
- 토큰 위험 API: 다양한 암호화폐와 관련된 위험을 평가하는 데 사용됩니다.
- NFT 위험 API: 다양한 NFT 평가를 위한 위험 요약
- 악성 주소 API: 사기, 피싱, 기타 악의적인 활동과 관련된 주소를 식별하고 표시하는 데 사용됩니다.
- dApp 보안 API: 분산형 애플리케이션에 대한 실시간 모니터링 및 위협 감지 기능을 제공합니다.
- 승인 계약 API: 스마트 계약 호출 권한을 관리하고 검토하는 데 사용됩니다.
ToC 트랙에서 우리는 Harpie도 발견했습니다. Harpie는 Ethereum 지갑을 도난으로부터 보호하는 데 중점을 두고 있으며 OpenSea 및 Coinbase와 같은 회사와 협력하여 사기, 해커 공격, 개인 키 도난 및 기타 보안 위협으로부터 수천 명의 사용자를 보호해 왔습니다.
회사가 출시한 제품은 '모니터링'과 '복구'의 두 가지 측면에서 시작하여 지갑을 모니터링하여 취약점이나 위협을 찾아내고, 취약점이 발견되면 사용자에게 즉시 알리고 복구할 수 있도록 지원합니다. 사용자가 해커의 공격이나 사기의 피해자가 된 경우 자산을 보호하기 위해 공격을 예방하고 보안 비상상황에 대응할 수 있으며, 이더리움 지갑 보안분야에서 큰 성과를 거두었습니다.
또한 ScamSniffer는 브라우저 플러그인으로 서비스를 제공합니다. 이 제품은 사용자가 링크를 열기 전에 악성 웹사이트 탐지 엔진과 다수의 블랙리스트 데이터 소스를 통해 실시간 탐지를 수행해 악성 웹사이트로부터 사용자를 보호할 수 있습니다.
차세대 보안 제품: Web3의 대규모 애플리케이션 에스코트
사용자 보안 인프라 측면에서 블록체인 거래 보안은 Web3 대규모 애플리케이션 보안의 초석입니다.
해킹 공격, 피싱 공격 및 러그풀 등은 체인에서 자주 발생하므로 온체인 거래 추적성, 온체인 의심스러운 행동 식별 및 사용자 프로파일링 기능의 보안이 중요합니다.
이를 바탕으로 고플러스는 최초의 풀시나리오 개인보안 탐지 플랫폼인 SecWareX를 출시했습니다.
SecWareX는 사용자 보안 프로토콜을 기반으로 구축된 Web3 개인 보안 제품으로, 온체인 런타임 공격에 대한 실시간 식별, 조기 경고, 적시 차단 및 후속 분쟁을 포함하는 원스톱, 만능 보안 솔루션을 제공합니다.
자금 규정 준수 솔루션 자금 세탁 방지(AML) 또한 오늘날 퍼블릭 블록체인에서 가장 시급한 요구 사항 중 하나입니다. 퍼블릭 체인에서는 거래의 출처, 예상 행동, 금액, 빈도 등의 요소를 분석하여 의심스럽거나 비정상적인 행동을 적시에 식별, 이는 분산형 거래소와 지갑 및 규제 기관이 잠재적인 자금 세탁을 감지하는 데 도움이 됩니다.
온체인 보안 프로토콜 Artela는 기본적으로 런타임 보호를 지원하는 최초의 퍼블릭 체인 레이어 1입니다. EVM++ 설계를 통해 Artela의 동적으로 통합된 기본 확장 모듈 Aspect는 트랜잭션 수명 주기의 다양한 지점에 확장 로직을 추가하고 각 함수 호출의 실행 상태를 기록하는 것을 지원합니다.
콜백 함수 실행 중에 위협적인 재진입 호출이 발생하면 Aspect는 트랜잭션을 감지하고 즉시 되돌려 공격자가 재진입 취약점을 악용하는 것을 방지합니다. Curve 계약의 재진입 공격 보호를 예로 들면 Artela는 다양한 DeFi 애플리케이션을 위한 체인 기반 수준의 프로토콜 보안 솔루션을 제공합니다.
프로토콜의 복잡성과 기본 컴파일러의 다양성이 증가함에 따라 온체인 런타임 보호를 위한 "블랙박스" 솔루션의 중요성은 계약 코드 로직만 정적으로 확인하는 "화이트박스" 솔루션보다 더욱 중요해지고 있습니다.
결론
2024년 1월 10일, SEC는 암호화폐의 주류 채택을 달성하는 가장 중요한 단계인 현물 비트코인 ETF의 상장 및 거래에 대한 승인을 공식적으로 발표했습니다.
정책 환경이 성숙해지고 보안 보호 조치가 지속적으로 강화됨에 따라 결국 Web3의 대규모 애플리케이션이 등장하게 될 것입니다. Web3의 대규모 애플리케이션이 거친 파도와 같다면 Web3 보안은 사용자 자산이 외부 파도에 저항하고 모든 사람이 모든 파도를 원활하게 탈 수 있도록 보장하기 위해 구축된 견고한 댐입니다.
meow mix🐱
admin - @ninecw
t.me
'공유 목록' 카테고리의 다른 글
| Ansem과의 대화: The Solana Guy (0) | 2024.05.31 |
|---|---|
| 솔라나 르네상스 해커톤 (0) | 2024.05.12 |
| 강세장에서 피해야 할 15가지 실수 (0) | 2024.03.13 |
| 더 높은 시간 투자의 기술 (0) | 2024.02.01 |
| 암호화폐 생태계 번영을 위한 세 가지 기둥 (0) | 2023.12.04 |