
보안 특별호 05|OKX Web3 & BlockSec : 모든 웨일을 멘션합니다, DeFi 세계 최신 리스크 회피 전략
서론
OKX Web3 지갑은 다양한 유형의 블록체인 보안 문제에 대해 전문적으로 답변하는 『보안 특집』 코너를 특별 기획하였습니다. 사용자 주변에서 실제로 발생한 사례를 바탕으로 보안 분야의 전문가 또는 기관과 공동 협력하여 다각도에서 정보를 공유하고 해설함으로써, 거래 규칙을 체계적으로 정리하고 사용자의 보안 교육을 강화하는 한편, 사용자가 스스로 개인 키 및 지갑 자산 보호 방법을 익히도록 돕는 것을 목표로 합니다.
DeFi 세계의 가장 큰 매력은 누구나 '고래(Whale)'가 될 수 있다는 가능성입니다.
하지만 비록 고래라 하더라도 무리를 할 수는 없습니다. 이익을 얻기도 하지만 때로는 '맞기도' 합니다.
따라서 블록체인 상에서 활동할 때는 항상 안전이 우선입니다.
그렇지 않으면 다시 제로에서 시작해야 하겠죠.
이번은 보안 특집 5회차로, 블록체인 보안 선두주자 BlockSec과 OKX Web3 지갑 보안팀을 초청하여 실용적인 가이드 관점에서 모든 잠재적 또는 이미 '고래'가 된 사용자와 프로젝트 팀에게 DeFi 리스크 대응 전략을 소개합니다. 예를 들어 감사보고서를 어떻게 확인하고, DeFi 프로젝트의 위험성을 평가하는 일반적인 지표와 파라미터는 무엇인지, 프로젝트 팀이나 고래 사용자가 어떻게 모니터링 시스템을 구축할 수 있는지, DeFi 보안 방어 원칙 등에 대해 알아봅니다. 놓치지 마세요!

BlockSec 보안팀: BlockSec은 글로벌 선도적인 '풀스택(Full Stack)' 블록체인 보안 서비스 제공업체로서 현재 MetaMask, Compound, Uniswap Foundation, Forta, PancakeSwap, Puffer 등 300개 이상의 유명 프로젝트 팀에 서비스를 제공하며, 화이트햇 구제 활동을 통해 2,000만 달러 이상의 자금 손실을 회복했습니다.
BlockSec의 CEO 겸 공동창업자인 저우야진(Zhou Yajin)은 저장대학교 컴퓨터공학 교수이며 Aminer가 선정한 세계에서 가장 영향력 있는 학자로, 50여 편의 최고 수준 논문을 발표했으며 인용 횟수가 만 건을 넘었습니다. CTO 겸 공동창업자 우레이(Wu Lei)는 저장대학교 컴퓨터공학 교수이자 전 파이든(PiDun) 공동창업자로, 팀을 이끌고 여러 유명 프로젝트에서 수십 개의 제로데이 취약점을 발견했습니다. 제품 책임자 레이먼드(Raymond)는 텐센트(Tencent), 360에서 보안 제품을 담당했습니다.
OKX Web3 지갑 보안팀: 안녕하세요, 이번 기회에 여러분과 소통하게 되어 매우 기쁩니다. OKX Web3 Security 팀은 OKX의 Web3 분야 내 각종 보안 역량 구축을 담당하고 있으며, 스마트 계약 보안 감사, 지갑 보안 기능 개발, 블록체인 프로젝트 보안 모니터링 등을 수행하여 사용자에게 제품 보안, 자금 보안, 거래 보안 등 다중 보호 서비스를 제공하고 블록체인 전체 보안 생태계 유지에 기여하고 있습니다.
Q1: 사용자가 실제로 경험한 DeFi 리스크 사례를 몇 가지 소개해 주세요.
BlockSec 보안팀: DeFi는 자산에 비교적 안정적인 고수익을 제공하기 때문에 많은 대규모 투자자들이 참여하고 있습니다. 또한 많은 프로젝트 팀들은 유동성을 높이기 위해 적극적으로 대규모 투자자를 유치하기도 합니다. 예를 들어 언론 보도를 통해 종종 거액의 자산을 DeFi에 예치하는 고래들의 소식을 접할 수 있죠. 물론 이러한 고래들이 DeFi 프로젝트에 참여하면서 안정적인 수익을 얻는 동시에 일정한 리스크에도 직면하게 됩니다. 아래는 업계에서 공개된 실제 DeFi 리스크 사례들입니다.
사례 1: 2022년 PolyNetwork 보안 사건에서 총 6억 달러 이상의 자산이 공격을 당했습니다. 전해진 바에 따르면 신어(神鱼)도 그 중 1억 달러를 보유하고 있었으며, 이후 공격자가 자금을 반환하여 사건은 원만히 해결되었고, 신어는 블록체인 상에 기념비를 세우겠다고 선언했지만, 그 과정은 매우 고통스러웠을 것입니다. 일부 보안 사건은 좋은 결과를 맞이하기도 하지만 대부분의 사건은 그리 운 좋지 못합니다.
사례 2: 유명 DEX인 SushiSwap은 2023년 공격을 받아 고래 주소 0xSifu가 330만 달러 이상의 손실을 입었으며, 이 한 명의 손실이 전체 손실의 약 90%를 차지했습니다.
사례 3: 올해 3월 발생한 Prisma 보안 사건에서는 총 1,400만 달러의 손실이 발생했으며, 이는 17개의 지갑 주소에서 발생했습니다. 평균적으로 각 지갑은 82만 달러를 잃었지만, 4명의 사용자 손실이 전체의 80%를 차지했습니다. 도난당한 대부분의 자산은 아직 회수되지 않았습니다.
결국 DeFi, 특히 메인넷의 DeFi는 가스 수수료(Gas Fee)가 무시할 수 없기 때문에 일정 규모 이상의 자산을 보유해야 수익을 낼 수 있습니다(에어드랍 보상 제외). 따라서 DeFi 프로젝트의 주요 TVL은 대부분 고래들에 의해 결정되며, 일부 프로젝트에서는 2%의 고래가 80%의 TVL을 기여하기도 합니다. 보안 사건 발생 시 이 고래들은 당연히 대부분의 손실을 부담하게 됩니다. "고래들이 이익을 보는 것만 보지 말고, 맞는 경우도 있다는 사실을 기억하세요."
OKX Web3 지갑 보안팀: 블록체인 세계의 번영과 함께 사용자가 직면하는 DeFi 리스크 사례도 날로 증가하고 있으며, 블록체인 보안은 언제나 사용자의 기본적이면서도 가장 중요한 요구사항입니다.
사례 1: PlayDapp 특권 계정의 개인키 유출 사건. 2024년 2월 9일부터 12일까지 이더리움 기반 게임 플랫폼 PlayDapp은 개인키 유출로 인해 공격을 받아 공격자는 무단으로 17.9억 PLA 토큰을 발행 및 도난하여 약 3,235만 달러의 손실을 입혔습니다. 공격자는 PLA 토큰에 새로운 민팅 권한을 추가하고, 대량의 PLA를 발행한 후 여러 체인 주소와 거래소로 분산시켰습니다.
사례 2: Hedgey Finance 공격 사건. 2024년 4월 19일, Hedgey Finance는 이더리움과 Arbitrum에서 심각한 보안 취약점으로 인해 약 4,470만 달러의 손실을 입었습니다. 공격자는 계약에서 사용자 입력 검증이 부족한 점을 이용하여 취약한 계약에 대한 권한을 획득하고, 계약 내 자산을 탈취했습니다.
Q2: 현재 DeFi 분야에서 존재하는 주요 리스크 유형들을 정리해 줄 수 있나요?
OKX Web3 지갑 보안팀: 실제 사례를 바탕으로 현재 DeFi 분야에서 흔히 나타나는 4가지 리스크 유형을 정리했습니다.
첫째, 피싱 공격(Phishing Attack). 피싱 공격은 사이버 공격에서 흔히 나타나는 형태로, 합법적인 실체나 개인인 것처럼 위장하여 피해자가 개인키, 비밀번호 또는 기타 개인정보를 제공하도록 유도합니다. DeFi 분야에서는 다음과 같은 방식으로 이루어집니다.
1) 가짜 웹사이트: 공격자가 진짜 DeFi 프로젝트와 유사한 피싱 웹사이트를 만들어 사용자가 승인하거나 송금 거래를 서명하도록 유도합니다.
2) 소셜 엔지니어링 공격: 트위터에서 공격자는 모조 계정을 사용하거나 프로젝트 팀의 트위터 또는 디스코드 계정을 해킹하여 허위 프로모션 활동이나 에어드랍 정보(실제로는 피싱 링크)를 게시하며 사용자에게 피싱 공격을 시도합니다.
3) 악성 스마트 계약: 공격자가 매력적으로 보이는 스마트 계약이나 DeFi 프로젝트를 출시하여 사용자가 접근 권한을 승인하도록 유도한 후 자금을 탈취합니다.
둘째, 럭풀(Rugpull). 럭풀은 DeFi 분야에서 특유의 사기 수법으로, 프로젝트 개발자가 많은 투자를 유치한 후 갑자기 자금을 빼돌리고 사라지는 것을 의미하며, 투자자의 자금이 모두 사라지게 됩니다. 럭풀은 주로 탈중앙화 거래소(DEX)와 유동성 마이닝 프로젝트에서 발생합니다. 주요 형태는 다음과 같습니다.
1) 유동성 철수: 개발자가 유동성 풀에 많은 유동성을 제공하여 사용자 투자를 유치한 후 갑자기 모든 유동성을 철수하여 토큰 가격이 급락하고 투자자가 막대한 손실을 입습니다.
2) 허위 프로젝트: 개발자가 합법적으로 보이는 DeFi 프로젝트를 만들고 허위 약속과 고수익으로 사용자 투자를 유도하지만, 실제로는 실제 제품이나 서비스가 없습니다.
3) 계약 권한 변경: 개발자가 스마트 계약 내 백도어 또는 권한을 이용하여 언제든지 계약 규칙을 변경하거나 자금을 인출할 수 있습니다.
셋째, 스마트 계약 취약점. 스마트 계약은 블록체인에서 실행되는 자동화 코드이며, 배포 후에는 변경할 수 없습니다. 만약 스마트 계약에 취약점이 있다면 심각한 보안 문제가 발생할 수 있습니다. 주요 취약점은 다음과 같습니다.
1) 재진입 취약점(Reentrancy): 공격자가 이전 호출이 완료되기 전에 취약한 계약을 반복 호출하여 계약 내부 상태에 문제를 일으킵니다.
2) 논리 오류: 계약 설계 또는 구현상의 논리 오류로 인해 예기치 않은 동작이나 취약점이 발생합니다.
3) 정수 오버플로우(Integer Overflow): 계약이 정수 연산을 올바르게 처리하지 않아 오버플로우 또는 언더플로우가 발생합니다.
4) 가격 조작: 공격자가 오라클 가격을 조작하여 공격을 시도합니다.
5) 정밀도 손실: 부동소수점 또는 정수 정밀도 문제로 인해 계산 오류가 발생합니다.
6) 입력 검증 부족: 사용자 입력에 대한 충분한 검증이 이루어지지 않아 잠재적인 보안 문제가 발생합니다.
넷째, 거버넌스 리스크. 거버넌스 리스크는 프로젝트의 핵심 의사결정 및 통제 메커니즘과 관련되며, 악용될 경우 프로젝트가 예상 목표에서 벗어나거나 심각한 경제적 손실과 신뢰 위기를 초래할 수 있습니다. 주요 리스크 유형은 다음과 같습니다.
1) 개인키 유출
일부 DeFi 프로젝트의 특권 계정은 EOA(Externally Owned Accounts) 또는 멀티시그 지갑으로 관리되는데, 이 개인키가 유출되거나 도난당하면 공격자는 계약이나 자금을 마음대로 조작할 수 있습니다.
2) 거버넌스 공격
일부 DeFi 프로젝트는 탈중앙화 거버넌스 방식을 채택하고 있지만 여전히 다음의 리스크가 존재합니다.
· 거버넌스 토큰 대출: 공격자가 많은 거버넌스 토큰을 빌려 단기간 내 투표 결과를 조작합니다.
· 다수 투표권 장악: 거버넌스 토큰이少数에게 집중되어 있는 경우, 이들이 집중된 투표권으로 프로젝트의 전체 의사결정을 통제할 수 있습니다.
Q3: DeFi 프로젝트의 보안성과 리스크 수준을 초기 평가할 수 있는 지표나 파라미터는 어떤 것이 있을까요?
BlockSec 보안팀: DeFi 프로젝트에 참여하기 전, 프로젝트 전반에 대한 보안 평가는 매우 중요합니다. 특히 자금 규모가 큰 참여자들에게는 필수적인 보안 디데이 듀 diligence가 자금 안전을 최대한 보장할 수 있습니다.

첫째, 프로젝트 코드 보안에 대한 포괄적인 평가를 권장합니다. 예를 들어 프로젝트 팀이 감사를 받았는지, 그리고 신뢰할 수 있는 보안 평판을 가진 감사 회사에서 감사를 받았는지, 복수의 감사 회사가 참여했는지, 최신 코드가 감사를 받았는지 등을 확인하세요. 일반적으로 운영 중인 코드가 신뢰할 수 있는 보안 회사 여러 곳에서 감사를 받은 경우, 보안 공격 리스크가 크게 줄어듭니다.
둘째, 프로젝트 팀이 실시간 보안 모니터링 시스템을 구축했는지 여부를 확인하세요. 보안 감사는 정적인 보안을 보장하지만 프로젝트 출시 후 발생하는 동적 보안 문제는 해결하지 못합니다. 예를 들어 프로젝트 팀이 프로젝트의 핵심 운영 파라미터를 부적절하게 조정하거나 새로운 풀을 추가하는 경우입니다. 프로젝트 팀이 실시간 보안 모니터링 시스템을 도입했다면, 그러한 방안을 도입하지 않은 프로토콜보다 운영 중 보안 계수가 더 높습니다.
셋째, 프로젝트 팀이 비상 상황에서 자동 대응 능력을 갖추고 있는지 확인하세요. 이 능력은 커뮤니티에서 오랫동안 간과되어 왔습니다. 여러 보안 사건에서 프로젝트 팀이 자동 기능 차단(또는 자금 민감 작업 차단)을 수행하지 못한 것을 확인했습니다. 비상 상황에서 대부분의 프로젝트 팀은 수동으로 보안 사건을 처리하는데, 이 방법은 비효율적이거나 무효임이 입증되었습니다.
넷째, 프로젝트 팀의 외부 의존성과 그 의존성의 견고성(Robustness)을 확인하세요. DeFi 프로젝트는 가격, 유동성 등의 정보를 제공하는 제3자 프로젝트에 의존합니다. 따라서 외부 의존성의 수량, 외부 의존성 프로젝트의 보안성, 외부 의존성의 이상 데이터에 대한 모니터링 및 실시간 처리 여부 등을 종합적으로 평가해야 합니다. 일반적으로 외부 의존성이 유수의 프로젝트이고, 외부 프로젝트의 이상 데이터에 대해 오류 허용 및 실시간 처리 기능을 갖춘 프로젝트가 더 안전합니다.
다섯째, 프로젝트 팀이 양호한 커뮤니티 거버넌스 구조를 갖추고 있는지 여부입니다. 여기에는 중대 사건에 대한 커뮤니티 투표 메커니즘 유무, 민감 작업이 멀티시그로 완료되는지, 멀티시그 지갑에 커뮤니티 중립적인 참여가 포함되는지, 커뮤니티 보안 위원회 존재 여부 등이 포함됩니다. 이러한 거버넌스 구조는 프로젝트 투명성을 높이고, 사용자의 자금이 rugpull 당할 가능성을 낮춥니다.
마지막으로, 프로젝트 팀의 과거 이력도 매우 중요합니다. 프로젝트 팀 및 핵심 구성원에 대한 배경 조사를 수행해야 합니다. 프로젝트 핵심 구성원의 과거 프로젝트에서 반복적인 공격이나 rugpull 등의 부정 이력이 있었다면, 해당 프로젝트의 보안 리스크도 상대적으로 높습니다.
요약하자면, DeFi 프로젝트에 참여하기 전, 특히 대규모 자금 투자자는 연구를 철저히 해야 하며, 프로젝트 출시 전 코드 보안 감사에서 출시 후 실시간 보안 모니터링 및 자동 대응 능력 구축에 이르기까지 프로젝트 팀의 보안 투자 및 보안성을 종합적으로 평가하고, 외부 의존성, 거버넌스 구조, 과거 이력 등을 종합적으로 검토하여 프로젝트에 투자된 자금의 안전을 확보해야 합니다.
OKX Web3 지갑 보안팀: DeFi 프로젝트의 보안성을 100% 보장할 수는 없지만, 사용자는 아래의 다양한 지표를 결합하여 DeFi 프로젝트의 보안성과 리스크 수준을 초기 평가할 수 있습니다.
1. 프로젝트 기술 보안성
1) 스마트 계약 감사:
① 프로젝트가 여러 감사 회사로부터 감사를 받았는지, 감사 회사가 신뢰할 수 있는 평판과 경험을 가지고 있는지를 확인하세요.
② 감사 보고서에서 보고된 문제의 수와 심각성을 확인하고, 모든 문제가 수정되었는지 확인하세요.
③ 프로젝트 배포 코드가 감사받은 코드 버전과 일치하는지 확인하세요.
2) 코드 오픈소스:
① 프로젝트 코드가 오픈소스인지 확인하세요. 오픈소스 코드는 커뮤니티와 보안 전문가들이 검토할 수 있어 잠재적인 보안 문제를 발견하는 데 도움이 됩니다.
② 개발팀 배경: 프로젝트 개발팀의 배경과 경험, 특히 블록체인 및 보안 분야에서의 경험과 팀의 투명성, 공개 정보 정도를 파악하세요.
③ 취약점 보상 프로그램: 프로젝트에 취약점 보상 프로그램이 있는지 여부로 보안 연구자들이 취약점을 보고하도록 유도하는지 확인하세요.
3) 재무 및 경제 보안성
① 자금 잠금량: 스마트 계약에 잠긴 자금량을 확인하세요. 높은 잠금량은 프로젝트에 대한 신뢰도가 높음을 의미할 수 있습니다.
② 거래량 및 유동성: 프로젝트의 거래량과 유동성을 평가하세요. 낮은 유동성은 가격 조작 리스크를 증가시킬 수 있습니다.
③ 토큰 경제 모델: 토큰 배분, 인센티브 메커니즘, 인플레이션 모델 등 프로젝트의 토큰 경제 모델을 평가하세요. 예를 들어 토큰 보유가 과도하게 집중되어 있는지 여부 등입니다.
4) 운영 및 관리 보안성
① 거버넌스 메커니즘: 프로젝트의 거버넌스 메커니즘을 이해하세요. 탈중앙화 거버넌스 메커니즘이 있는지, 커뮤니티가 중요한 의사결정에 투표할 수 있는지, 거버넌스 토큰 배분 및 투표권 집중도 등을 분석하세요.
② 리스크 관리 조치: 프로젝트에 리스크 관리 조치 및 비상 계획이 있는지, 잠재적인 보안 위협 및 경제 공격에 어떻게 대응하는지 확인하세요. 또한 프로젝트의 투명성 및 커뮤니케이션 측면에서 정기적으로 프로젝트 진행 보고서 및 보안 업데이트를 게시하는지, 커뮤니티와 적극적으로 소통하며 사용자 문제를 해결하는지 등을 살펴보세요.
5) 시장 및 커뮤니티 평가
① 커뮤니티 활성도: 프로젝트의 커뮤니티 활성도와 사용자 기반을 평가하세요. 활발한 커뮤니티는 일반적으로 프로젝트에 널리 지지를 받고 있음을 의미합니다.
② 미디어 및 소셜미디어 평가: 프로젝트에 대한 미디어 및 소셜미디어 평가를 분석하여 사용자 및 업계 전문가들의 의견을 파악하세요.
③ 파트너 및 투자자: 프로젝트에 유명한 파트너 및 투자자가 지원하고 있는지 확인하세요. 신뢰할 수 있는 파트너와 투자자는 프로젝트의 신뢰도를 높일 수 있으나, 보안 판단의 결정적 요소는 아닙니다.
Q4: 사용자는 감사 보고서나 오픈소스 상태 등을 어떻게 확인해야 하나요?
BlockSec 보안팀: 감사를 받은 프로젝트의 경우, 프로젝트 팀은 일반적으로 공식 채널을 통해 커뮤니티에 감사 보고서를 공개합니다. 이러한 감사 보고서는 프로젝트 팀의 문서나 Github 코드 저장소 등에서 확인할 수 있습니다. 또한 감사 보고서의 진위 여부를 확인하고 검증해야 하는데, 검증 방법으로는 감사 보고서의 디지털 서명 확인, 감사 회사에 직접 문의하여 재확인하는 방법 등이 있습니다.
그렇다면 투자자는 이러한 감사 보고서를 어떻게 읽어야 할까요?
첫째, 감사 보고서가 Open Zeppelin, Trail of Bits, BlockSec 등 보안 평판이 높은 보안 회사에서 감사를 받았는지 확인하세요.
둘째, 감사 보고서에 언급된 문제가 모두 수정되었는지 확인하세요. 수정되지 않은 경우, 프로젝트 팀이 수정하지 않은 이유가 충분한지 평가하세요. 또한 감사 보고서에서 유효한 취약점 보고서와 무효한 보고서를 구분해야 합니다. 감사 보고서에는 아직 통일된 산업 표준이 없기 때문에 보안 감사 회사는 자체 보안 인식에 따라 프로젝트의 취약점 리스크를 평가하고 보고합니다. 따라서 감사 보고서에서 발견된 취약점은 유효한 취약점 보고서에 중점을 두어야 합니다. 이 과정에서는 제3자 독립 평가를 위한 자체 보안 컨설팅 팀을 도입하는 것이 가장 좋습니다.
셋째, 프로젝트 팀이 공개한 감사 보고서의 감사 시간과 최근 프로젝트 업그레이드 시간이 일치하거나 근접한지 확인하세요. 또한 감사 보고서의 프로젝트 코드가 현재 온라인에서 운영 중인 모든 코드를 포함하는지 주의하세요. 프로젝트 팀은 경제적 비용과 시간 비용을 고려하여 종종 부분 코드만 감사를 받습니다. 따라서 감사받은 코드가 핵심 프로토콜 코드인지 여부를 판단해야 합니다.
넷째, 프로젝트 팀이 온라인에서 운영 중인 코드가 검증(오픈소스)되었는지, 검증된 코드가 감사 보고서와 일치하는지 확인하세요. 일반적으로 감사는 프로젝트 팀의 Github 코드를 기반으로 하지만(온라인에 배포된 코드는 아님) 최종적으로 체인에 배포된 코드가 오픈소스되지 않았거나 감사받은 코드와 큰 차이가 있다면 반드시 주의해야 합니다.
요약하자면, 감사 보고서를 읽는 것은 전문성이 요구되는 작업이므로, 독립적인 제3자 보안 전문가를 도입하여 자문을 받는 것을 권장합니다.
OKX Web3 지갑 보안팀: 사용자는 DeFi 프로젝트 공식 홈페이지 또는 OKLink와 같은 제3자 웹사이트를 통해 스마트 계약 감사 보고서와 오픈소스 상태를 확인할 수 있습니다. 아래는 일반적인 감사 보고서 및 오픈소스 상태 확인 절차입니다.
첫째, 공식 공지 또는 웹사이트를 찾으세요. 대부분의 신뢰할 수 있는 DeFi 프로젝트는 공식 웹사이트에 관련 문서 정보를 게시하며, 프로젝트 문서 페이지에서 일반적으로 '보안', '감사', '계약 주소' 등의 링크를 통해 감사 보고서 및 프로젝트 팀이 배포한 계약 주소를 확인할 수 있습니다. 프로젝트 팀의 공식 웹사이트 외에도 공식 소셜미디어(Medium, Twitter 등)에서도 감사 보고서 및 배포된 계약 주소 정보를 게시합니다.
둘째, 프로젝트 팀의 공식 웹사이트를 확인한 후 OKLink 브라우저를 통해 프로젝트 팀이 제공한 배포된 계약 주소를 조회하고, '계약' 항목에서 해당 주소에 배포된 계약의 오픈소스 코드 정보를 확인하세요.
셋째, 프로젝트 팀의 감사 보고서 및 배포된 계약의 오픈소스 코드 정보를 확보한 후, 감사 보고서를 읽기 시작할 수 있습니다. 감사 보고서를 읽을 때 주의할 점은 다음과 같습니다.
1) 감사 보고서의 구조를 이해하고, 내용 전반에 대한 개념을 파악하세요. 감사 보고서는 일반적으로 개요, 발견된 문제, 해결책 및 제안, 감사 결과로 나뉩니다.
2) 개요 내용을 읽을 때는 감사 범위와 목적에 주목하세요. 일반적으로 감사 보고서는 감사 파일 제출의 Github Commit ID를 표기하므로, 감사받은 파일이 체인에 배포된 오픈소스 코드와 일치하는지 비교해야 합니다.
3) 발견된 문제, 해결책 및 제안, 감사 결과 부분을 읽을 때는 프로젝트 팀이 제안에 따라 발견된 취약점을 모두 수정했는지, 수정 내용에 대해 후속 감사를 실시했는지 확인하여 모든 문제가 적절히 처리되었는지 확인하세요.
4) 여러 보고서를 비교하세요. 프로젝트가 여러 차례 감사를 받은 경우, 각 감사 보고서 간의 차이를 확인하여 프로젝트의 보안 개선 상황을 파악하세요.
Q5: 해커 공격 이력, 보상 프로그램이 DeFi 프로젝트 보안성 평가에 어떤 참고 가치가 있나요?
OKX Web3 지갑 보안팀: 해커 공격 이력과 보상 프로그램은 DeFi 프로젝트 보안성 평가에 일정한 참고 가치를 제공하며, 주로 다음과 같은 면에서 나타납니다.
첫째, 해커 공격 이력
1) 과거 취약점 노출: 공격 이력은 프로젝트가 과거에 어떤 구체적인 보안 취약점을 가지고 있었는지 보여주며, 사용자가 과거에 어떤 보안 문제가 활용되었는지, 그리고 이러한 문제가 철저히 수정되었는지 알 수 있습니다.
2) 리스크 관리 능력 평가: 프로젝트가 과거 보안 사건에 어떻게 대응했는지 확인함으로써 리스크 관리 및 위기 대처 능력을 평가할 수 있습니다. 적극적으로 대응하고 즉시 취약점을 수정하며 피해 사용자에게 보상을 제공하는 프로젝트는 일반적으로 더 신뢰할 수 있고 성숙한 투자 선택지로 간주됩니다.
3) 프로젝트 평판: 빈번한 보안 문제는 사용자의 프로젝트에 대한 신뢰를 떨어뜨릴 수 있지만, 프로젝트가 실수에서 배우고 보안 조치를 강화하는 능력을 보여준다면 장기적인 평판을 구축할 수 있습니다.
둘째, 보상 프로그램
DeFi 및 기타 소프트웨어 프로젝트에서 보상 프로그램을 시행하는 것은 보안성을 높이고 잠재적인 취약점을 발굴하는 중요한 전략입니다. 이러한 프로그램은 프로젝트 보안성 평가에 다양한 참고 가치를 제공합니다.
1) 외부 감사 강화: 보상 프로그램은 전 세계 보안 연구자들이 프로젝트 보안 감사에 참여하도록 장려합니다. 이러한 '크라우드소싱' 방식의 보안 테스트는 내부 감사에서 간과할 수 있는 문제를 드러내어 잠재적 취약점을 발견하고 해결할 기회를 늘립니다.
2) 보안 조치 효과성 검증: 실제 보상 프로그램을 통해 프로젝트는 실전에서 보안 조치의 효과성을 테스트할 수 있습니다. 보상 프로그램이 오랜 기간 운영되었음에도 심각한 취약점이 거의 보고되지 않는다면, 이는 프로젝트가 상대적으로 성숙하고 안전하다는 지표가 될 수 있습니다.
3) 지속적인 보안 개선: 보상 프로그램은 지속적인 개선 메커니즘을 제공합니다. 새로운 기술과 공격 수법이 등장함에 따라 보상 프로그램은 프로젝트 팀이 최신 보안 도전에 대응할 수 있도록 보안 조치를 지속적으로 업데이트하고 강화하도록 도와줍니다.
4) 보안 문화 구축: 프로젝트가 보상 프로그램을 설정했는지, 그리고 그 프로그램의 진지성과 활성화 정도는 프로젝트 팀의 보안에 대한 태도를 반영합니다. 적극적인 보상 프로그램은 프로젝트가 견고한 보안 문화를 구축하겠다는 약속을 보여줍니다.
5) 커뮤니티 및 투자자 신뢰 제고: 보상 프로그램의 존재와 효과는 커뮤니티와 잠재적 투자자에게 프로젝트가 보안을 중시한다는 것을 입증할 수 있습니다. 이를 통해 사용자 신뢰를 강화할 수 있으며, 투자자들이 보안 책임감이 높은 프로젝트를 선호하기 때문에 더 많은 투자를 유치할 수도 있습니다.
Q6: DeFi 참여 시 사용자는 어떻게 모니터링 및 위험 감지 능력을 구축할 수 있나요?
BlockSec 보안팀: 고래 사용자를 예로 들면, 고래란 일반적으로 개인 투자자 또는 소규모 투자 기관을 의미하며, 자금 규모는 크지만 일반적으로 강력한 보안 팀을 보유하지 못하고 자체 보안 도구를 개발할 능력도 없습니다. 따라서 지금까지 실제로 대부분의 고래는 충분한 위험 감지 능력을 갖추지 못했으며, 그렇지 않았다면 이렇게 큰 손실을 입지는 않았을 것입니다.
거대한 손실 리스크에 직면하여 일부 고래 사용자들은 이제 공개된 보안 도구를 의식적으로 활용하여 위험을 모니터링하고 감지하려 하고 있습니다. 현재 많은 팀이 모니터링 제품을 개발하고 있지만, 어떤 것을 선택할지는 매우 중요합니다. 다음은 핵심 포인트들입니다.
첫째, 도구 사용 비용입니다. 많은 도구들이 매우 강력하지만 프로그래밍이 필요하여 사용 비용이 낮지 않습니다. 사용자 입장에서 계약 구조를 이해하거나 주소를 수집하는 것도 쉬운 일이 아닙니다.
둘째, 정확도입니다. 아무도 밤에 자다가 연속으로 여러 알람을 받고 나서 허위 경보라는 것을 알게 되는 상황을 원하지 않을 것입니다. 이는 심리적으로 매우 큰 부담이 됩니다. 따라서 정확도도 매우 중요합니다.
셋째, 보안성입니다. 특히 이런 자금 규모에서는 도구 개발 및 개발 팀의 다양한 보안 리스크를 간과해서는 안 됩니다. 최근 발생한 Gala Game 공격 사건은 불안전한 제3자 서비스 제공업체를 도입한 것이 원인이라고 알려져 있습니다. 따라서 신뢰할 수 있는 팀과 신뢰할 수 있는 제품이 매우 중요합니다.
현재까지도 많은 고래들이 저희에게 찾아와 전문 자산 관리 솔루션을 추천해 달라고 요청합니다. 이를 통해 고래 사용자들은 자금 안전을 보장하면서도 일상적인 자금 관리(예: '채굴-출금-매도')와 리스크 감지, 비상 상황에서의 자금 철수까지도 가능하게 됩니다.

Q7: DeFi 참여를 위한 보안 조언 및 리스크 대응 방법은 무엇인가요?
BlockSec 보안팀: 대규모 자금 참여자에게 있어 DeFi 프로토콜에 참여하는 첫 번째 우선순위는 원금 보호입니다. 가능한 보안 리스크에 대해 충분히 조사한 후 투자해야 합니다. 일반적으로 다음과 같은 방법으로 자금 보안을 확보할 수 있습니다.
첫째, 프로젝트 팀의 보안에 대한 중시 정도와 투자 수준을 다각도로 판단해야 합니다. 앞서 언급한 철저한 보안 감사 여부, 프로젝트 팀이 프로젝트 보안 리스크 모니터링 및 자동 대응 능력을 갖추고 있는지, 양호한 커뮤니티 거버넌스 메커니즘을 보유하고 있는지 등을 포함합니다. 이는 프로젝트 팀이 사용자 자금 보안을 얼마나 중요한 위치에 두고 있는지, 사용자 자금 보안에 대해 높은 책임감을 가지고 있는지를 반영합니다.
둘째, 대규모 자금 참여자도 자체 보안 모니터링 및 자동 대응 시스템을 구축해야 합니다. 투자한 프로토콜에서 보안 사건이 발생했을 때, 대규모 자금 투자자는 즉시 상황을 감지하고 자금을 철수하여 손실을 최대한 회복해야 하며, 모든 희망을 프로젝트 팀에만 걸어서는 안 됩니다. 2023년 우리는 Curve, KyberSwap, Euler Finance 등 여러 유명 프로젝트가 공격당한 것을 목격했습니다. 안타깝게도 공격 발생 당시 대규모 투자자들은 종종 시의적절하고 효과적인 정보를 확보하지 못했으며, 자체 보안 모니터링 및 비상 철수 시스템도 부족했습니다.
또한, 투자자는 투자한 프로젝트의 보안을 지속적으로 모니터링할 수 있는 우수한 보안 파트너를 선택해야 합니다. 프로젝트 팀의 코드 업그레이드, 중요한 파라미터 변경 등에 대해서도 즉시 감지하고 리스크를 평가할 수 있어야 합니다. 이러한 작업은 전문 보안 팀과 도구의 참여 없이는 어렵습니다.
마지막으로, 개인키 보안을 철저히 지켜야 합니다. 자주 거래하는 계정의 경우, 온라인 멀티시그와 오프라인 개인키 보안 솔루션을 결합하는 방법을 사용하는 것이 가장 좋으며, 단일 주소 및 단일 개인키 유실 시 단일 실패 지점을 방지할 수 있습니다.
만약 투자한 프로젝트가 보안 리스크에 직면한다면 어떻게 해야 할까요?
어떤 고래나 투자자라도 보안 사건 발생 시 첫 번째 반응은 본전을 지키는 것이며, 가능한 빨리 자금을 철수하는 것이 최우선입니다. 하지만 공격자의 속도는 일반적으로 매우 빠르며 수동 조작으로는 따라잡기 어렵기 때문에, 리스크에 따라 자동으로 자금을 철수할 수 있는 것이 가장 좋습니다. 현재 저희는 공격 거래를 감지한 후 자동으로 자금을 철수할 수 있는 도구를 제공하여 사용자의 우선 철수를 도와드립니다.
둘째, 만약 실제로 손실을 입었다면 교훈을 얻는 것 외에도 프로젝트 팀이 보안 회사의 도움을 받도록 적극적으로 추진해야 합니다. 손실된 자금을 추적하고 모니터링하세요. 암호화폐 산업 전체가 보안을 중시함에 따라 자금 회수 비율이 점차 증가하고 있습니다.
마지막으로, 대규모 투자자라면 보안 회사에 투자한 다른 프로젝트에 동일한 문제가 없는지 점검을 요청할 수 있습니다. 많은 공격의 근본 원인(root cause)은 동일합니다. 예를 들어 Compound V2의 정밀도 손실 문제로 작년 여러 프로젝트가 유사한 문제로 연속 공격을 당했습니다. 따라서 보안 회사에 투자 포트폴리오 내 다른 프로젝트의 리스크를 분석해 달라고 요청하고, 리스크가 발견되면 즉시 프로젝트 팀과 소통하거나 철수해야 합니다.
OKX Web3 지갑 보안팀: DeFi 프로젝트에 참여할 때 사용자는 다양한 조치를 취하여 더 안전하게 DeFi 프로젝트에 참여하고 자금 손실 리스크를 줄이며 탈중앙화 금융의 수익을 누릴 수 있습니다. 사용자 수준과 OKX Web3 지갑 두 가지 측면에서 설명하겠습니다.
첫째, 사용자 측면에서:
1) 감사를 받은 프로젝트를 선택하세요: ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK 등 유명 제3자 감사 회사에서 감사를 받은 프로젝트를 우선적으로 선택하고, 공개된 감사 보고서를 검토하여 잠재적 리스크와 취약점 수정 상황을 파악하세요.
2) 프로젝트 배경 및 팀을 이해하세요: 프로젝트 백서, 공식 웹사이트, 개발팀 배경을 조사하여 프로젝트가 투명하고 신뢰할 수 있음을 확인하세요. 팀이 소셜미디어 및 개발 커뮤니티에서의 활동을 주목하여 기술력과 커뮤니티 지원을 파악하세요.
3) 자산 분산 투자: 모든 자금을 단일 DeFi 프로젝트나 자산에 투자하지 마세요. 분산 투자는 리스크를 줄입니다. 대출, DEX, 팜ming 등 다양한 유형의 DeFi 프로젝트를 선택하여 리스크 노출을 분산시키세요.
4) 소액 테스트: 대규모 거래 전 소액 테스트 거래를 통해 조작 및 플랫폼의 보안성을 확인하세요.
5) 정기적 계정 모니터링 및 비상 대응: 자신의 DeFi 계정과 자산을 정기적으로 확인하여 이상 거래나 활동을 즉시 발견하세요. 도구(Etherscan 등)를 사용하여 체인상 거래 기록을 모니터링하여 자산 보안을 확보하세요. 이상 감지 시 즉시 비상 조치를 취하세요. 예: 계정의 모든 승인 취소, 지갑 보안팀에 지원 요청 등.
6) 신규 프로젝트 신중 사용: 막 출시되었거나 검증되지 않은 신규 프로젝트는 신중하게 접근하세요. 먼저 소액을 투자하여 프로젝트의 운영 상황과 보안성을 관찰하세요.
7) 주류 Web3 지갑 사용: DeFi 프로젝트와 상호작용할 때는 주류 Web3 지갑만 사용하세요. 주류 Web3 지갑은 더 나은 보안 보호를 제공합니다.
8) 피싱 공격 방지: 낯선 링크 및 출처 불명의 이메일 클릭을 주의하세요. 신뢰할 수 없는 웹사이트에 개인키나 복구 구문을 입력하지 마세요. 방문하는 링크가 공식 웹사이트인지 확인하세요. 공식 채널을 통해 지갑 및 애플리케이션을 다운로드하여 소프트웨어의 진위를 확보하세요.
둘째, OKX Web3 지갑 측면에서:
사용자 자금 보호를 위해 많은 보안 메커니즘을 제공합니다.
1) 리스크 도메인 감지: 사용자가 DApp에 접속할 때 OKX Web3 지갑은 도메인 수준에서 감지 및 분석을 수행하며, 사용자가 악성 DApp에 접속하면 차단하거나 경고하여 사용자가 사기를 당하지 않도록 방지합니다.

2)貔貅盘(Pixiu Pan) 토큰 감지: OKX Web3 지갑은 완벽한貔貅盘 토큰 감지 기능을 지원하여 지갑 내에서貔貅盘 토큰을 자동으로 차단하고 사용자가貔貅盘 토큰과 상호작용하지 못하도록 합니다.
3) 주소 라벨 데이터베이스: OKX Web3 지갑은 풍부하고 완벽한 주소 라벨 데이터베이스를 제공하여 사용자가 의심스러운 주소와 상호작용할 때 즉시 경고를 제공합니다.
4) 거래 사전 실행: 사용자가 거래를 제출하기 전, OKX Web3 지갑은 해당 거래를 시뮬레이션하여 자산 및 승인 변화 결과를 사용자에게 보여줍니다. 사용자는 해당 결과가 예상과 일치하는지 판단하여 거래 제출 여부를 결정할 수 있습니다.

5) 통합 DeFi 애플리케이션: OKX Web3 지갑은 다양한 주류 DeFi 프로젝트 서비스를 통합하여 사용자가 안심하고 통합된 DeFi 프로젝트와 상호작용할 수 있습니다. 또한 OKX Web3 지갑은 DEX, 크로스체인 브릿지 등 DeFi 서비스에 대해 경로 추천을 제공하여 사용자에게 최적의 DeFi 서비스와 최적의 가스(Gas) 방안을 제공합니다.

6) 기타 보안 서비스: OKX Web3 지갑은 점차 더 많은 보안 기능을 추가하고 있으며, 더 진보된 보안 보호 서비스를 구축하여 OKX 지갑 사용자의 보안을 더욱 효율적으로 보장할 것입니다.
Q8: 사용자뿐만 아니라 DeFi 프로젝트 팀이 직면하는 리스크 유형과 그 방어 방법은 무엇인가요?
BlockSec 보안팀: DeFi 프로젝트 팀이 직면하는 리스크 유형은 코드 보안 리스크, 운영 보안 리스크, 외부 의존성 리스크가 있습니다.
첫째, 코드 보안 리스크. 즉 DeFi 프로젝트가 코드 수준에서 가질 수 있는 보안 위험입니다. DeFi 프로젝트의 경우 스마트 계약이 핵심 비즈니스 로직이며(프론트엔드/백엔드 처리 로직은 전통적인 소프트웨어 개발 영역으로 상대적으로 성숙함), 우리가 주목하고 논의하는 중심입니다.
1) 개발 측면에서, 업계에서 인정받는 스마트 계약 보안 개발 실천을 따라야 합니다. 예를 들어 재진입 취약점을 방지하기 위한 Checks-Effects-Interactions 패턴 등입니다. 또한 일반적인 기능은 가능한 한 신뢰할 수 있는 제3자 라이브러리를 사용하여 중복 개발로 인한 알려지지 않은 리스크를 피해야 합니다.
2) 내부 테스트를 철저히 수행하세요. 테스트는 소프트웨어 개발의 중요한 단계로 많은 문제를 발견하는 데 도움이 됩니다. 그러나 DeFi 프로젝트의 경우 로컬 테스트만으로는 문제를 충분히 노출하기 어려우며, 실제로 출시에 가까운 배포 환경에서 추가 테스트를 수행해야 합니다. 이를 위해 Phalcon Fork와 같은 도구를 활용할 수 있습니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News










