
왜 감사를 통과한 프로젝트조차 해킹 공격을 받는 걸까?
작성: Stacy Muur
번역: TechFlow
보안 문제는 업계 전반에서 계속해서 큰 관심을 받고 있다. 점점 더 많은 프로젝트들이 감사를 받고 있음에도 불구하고, 해킹 사건과 러그 풀(Rug Pull) 사례는 여전히 발생하고 있으며, 사람들은 스마트 계약의 보안을 확실히 보장할 수 있는지 감사가 정말로 신뢰할 만한 지표인지 의문을 제기하기 시작했다.
본 글에서는 연구원 스테이시 무어(Stacy Muur)가 암호화 세계에서 감사의 역할에 대해 논의하고, 실제로 발생한 해킹 사례들을 분석하며 감사 회사들의 성공률을 평가함으로써 암호자산의 보안에 대한 더 깊은 이해를 제공한다.
zkSync 기반 탈중앙화 거래소 Merlin이 공격을 받아 110만 달러 이상의 손실을 입었다. 해당 거래소는 CertiK의 인증을 받았으며, 이 회사는 전체 감사 건수의 약 70%를 점유하고 있다. 이 사건은 다음과 같은 질문을 던진다. 우리는 감사를 믿을 수 있을까?
이제 감사를 받았음에도 해킹을 당한 프로토콜 사례들을 살펴보고, 과연 보안이 확보되었는지 검토해보자.

CertiK는 Web3 전체 감사의 약 70%를 차지하고 있으며, REKT 데이터베이스(3,000건 이상의 해킹 사례를 포함)에 따르면, 이 회사가 감사한 기업 중 33곳에서 부정적 사건이 발생했다.
또한 DEX Merlin 역시 이 회사가 감사했으며, 아직 해당 데이터베이스에 추가되지 않았지만, 이로 인해 감사 실패 사례 목록의 34번째 기업이 되었다.

이러한 역방향 사건 등급에서 PeckShield Inc.는 CertiK 다음으로 두 번째로 높은 순위를 차지하며, 18건의 공격 및 러그 사건 기록을 가지고 있다.

세 번째로는 DeFi Safety가 있으며, 이들은 총 12건의 해킹 사건을 경험했다. 주목할 점은 2021년 이후로 이 회사가 감사한 프로젝트 중 해킹을 당한 사례가 없다는 것이다.

또한 나는 감사 건수 대비 해킹 비율을 기준으로 최고의 보안 회사 순위를 정리하려 시도했다. 이를 위해 Coingecko의 최고 감사 회사 평가와 앞서 언급된 REKT 데이터베이스를 활용하였다.
다음은 그 순위이다:

* 참고: 위 표는 필자가 자체적으로 정리한 데이터이며, 현재 업계에는 공정한 순위가 존재하지 않는다.
각 해킹 사건은 그 상황에 따라 별도로 평가되어야 하며, 위 표는 너무 포괄적이기 때문에 감사 회사의 성공률에 대한 신뢰할 수 있는 정보 출처로 간주해서는 안 된다는 점에 유의해야 한다.
이것이 내가 내린 간단한 결론이다. 감사는 보안을 보장하지 않는다.
나의 암호화폐 커리어 동안 나는 보안 감사를 수행했던 수십 개의 회사에서 일한 경험이 있다. 대부분의 경우 핵심적인 취약점은 외부 감사가 아닌 내부 개발자들에 의해 발견되었다.
일반적으로 감사 회사들은 잠재적 취약점을 탐지하는 일반화된 스크립트를 사용한다. 그러나 각각의 회사는 고유한 코드와 아키텍처를 가지고 있으며 맞춤형 접근이 필요하다. 한 달이라는 짧은 기간 안에 깊이 있는 심층 검토가 가능할까? 솔직히 말해, 나는 그것을 의심한다.
일반적으로 감사는 계약 내 자금의 보안 확률을 높여줄 수는 있다. 감사를 전혀 받지 않은 프로젝트는 해킹이나 러그에 훨씬 더 취약하다. 하지만 기억해야 할 것은, 아무도 100%의 보안을 보장할 수 없다는 사실이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














