
비츠랩, 2024 신생 퍼블릭 블록체인 보안 전반에 대한 주요 연구 성과 발표

본 보고서는 Move, TON, 비트코인 확장 기술, 코스모스 애플리케이션 체인이라는 4대 핵심 분야에 초점을 맞추어 기술 혁신, 보안 과제, 과거의 주요 보안 사고를 중심으로 심층 분석을 제공하며, 투자자, 개발자, 화이트해커들에게 실질적인 경험과 전략적 통찰을 제시합니다.

Move 생태계 (Aptos, Sui 등)
보고서는 Move 언어가 자원 관리, 모듈화 설계, 내장된 보안 메커니즘 측면에서 스마트 계약 프로그래밍에 어떻게 혁신을 가져왔는지 설명하고, Aptos와 Sui의 각각의 기술적 차별점 및 보안 아키텍처에 대해 심층적으로 분석합니다.
Move 언어는 원래 Facebook(현 Meta)이 Diem(Libra) 프로젝트를 위해 개발한 것으로, 기존 스마트 계약 언어가 겪는 성능 병목과 보안 문제를 해결하기 위한 목적을 가지고 탄생했습니다. Move는 상태 변화의 명확성과 안정성을 강조하여 블록체인 상의 모든 상태 변경을 엄격하게 제어할 수 있도록 설계되었습니다. 이 혁신적인 프로그래밍 언어는 다음과 같은 뚜렷한 장점을 지닙니다:
자원 관리 모델: Move는 자산을 '자원(resource)'으로 간주하여 이를 복제하거나 삭제하지 못하도록 합니다. 이러한 독특한 자원 관리 모델은 스마트 계약에서 흔히 발생하는 더블 스펜딩(double spending)이나 의도치 않은 자산 소실 문제를 방지합니다.
모듈화 설계: Move는 스마트 계약을 모듈 단위로 구성할 수 있게 하여 코드 재사용성을 높이고 개발 난이도를 줄입니다.
높은 보안성: Move는 언어 수준에서 다양한 보안 검사 메커니즘을 내장하고 있어 재진입 공격(reentrancy attacks)과 같은 일반적인 취약점을 미연에 방지합니다.
또한 보고서는 2023년부터 2024년 말까지 Move 가상 머신과 Aptos 네트워크에서 발생한 주요 보안 사고들을 회고함으로써 무한 재귀 DoS 취약점, 메모리풀 추방 메커니즘 결함 등의 잠재적 위험 요소에 대한 경각심을 촉구합니다.
상세한 Move 생태계 보안 사고 회고는 보고서 다운로드를 통해 확인하실 수 있습니다
TON 생태계
TON(The Open Network)은 Telegram이 구축한 블록체인 및 디지털 커뮤니케이션 프로토콜로, 빠르고, 안전하며 확장성이 뛰어난 플랫폼을 목표로 하며 사용자에게 탈중앙화된 앱과 서비스를 제공합니다. 블록체인 기술과 Telegram의 커뮤니케이션 기능을 결합함으로써 TON은 고성능, 고보안, 고확장성을 실현하였으며, 개발자가 다양한 탈중앙화 앱을 구축할 수 있도록 지원하고 분산형 스토리지 솔루션도 제공합니다. 기존 블록체인 플랫폼들과 비교해 TON은 더 빠른 처리 속도와 높은 처리량을 가지며, 지분 증명(PoS) 합의 메커니즘을 채택하고 있습니다.
TON은 지분 증명(PoS) 합의 알고리즘을 기반으로 하며, 튜링 완전한 스마트 계약과 비동기식 블록체인 구조를 통해 고성능과 다기능성을 달성합니다. TON의 번개처럼 빠르고 저렴한 거래는 유연하고 샤딩 가능한 아키텍처 덕분에 가능합니다. 이러한 구조는 성능 저하 없이 쉽게 확장할 수 있으며, 동적 샤딩은 목적에 따라 개별적으로 개발된 여러 샤드들이 동시에 실행되어 대규모 트랜잭션 백로그를 방지합니다. TON의 블록 생성 시간은 5초이며, 최종 결정 시간은 6초 미만입니다.
기존 인프라는 두 가지 주요 부분으로 나뉩니다:
● 메인체인(Masterchain): 검증자의 주소 및 검증된 코인 양 등 프로토콜의 중요한 핵심 데이터를 처리합니다.
● 워크체인(Workchain): 메인체인에 연결된 보조 체인으로, 모든 거래 정보와 다양한 스마트 계약을 포함하며, 각 워크체인은 서로 다른 규칙을 가질 수 있습니다.
TON 재단은 TON 핵심 커뮤니티가 운영하는 DAO로서, TON 생태계 내 프로젝트에 개발자 지원 및 유동성 인센티브 프로그램 등을 포함한 다양한 지원을 제공합니다. 본 보고서는 2024년 TON 커뮤니티가 다양한 분야에서 거둔 눈부신 성과를 정리했으며, 최근에는 중첩된 구조를 이용해 가상 머신의 리소스를 고갈시키는 악성 계약의 취약점도 밝혀내며, 계약 보안 감사를 지속적으로 강화할 필요성을 경고하고 있습니다.
TON 생태계에 대한 보다 자세한 내용은 보고서 다운로드를 통해 확인하세요
비트코인 확장 생태계
라이트닝 네트워크(Lightning Network), 리퀴드 네트워크(Liquid Network), 롭스타크(Rootstock, RSK), B² Network, 스택스(Stacks) 등 Layer 2 및 사이드체인 솔루션들은 비트코인의 거래 확장성과 프로그래밍 가능성을 크게 향상시키고 있습니다. 라이트닝 네트워크는 거래 효율성을 높이고, 리퀴드 네트워크는 기관 간 거래를 가속화하며, 롭스타크는 보안성과 스마트 계약을 결합해 dApp 생태계를 확장합니다. 또한 B² Network와 스택스는 비트코인의 기능과 응용 영역을 더욱 심화시킵니다.
라이트닝 네트워크는 비트코인의 L2 솔루션 중 가장 성숙하고 널리 사용되는 기술 중 하나입니다. 지불 채널을 구축하여 많은 소액 거래를 메인체인 외부로 이전함으로써 비트코인의 거래 속도를 크게 향상시키고 수수료를 낮춥니다.

이미지 출처: https ://lightning.network/lightning-network-presentation-time-2015-07-06.pdf
리퀴드 네트워크는 오픈소스 Elements 블록체인 플랫폼 위에서 작동하는 사이드체인으로, 거래소와 기관 간 거래를 신속하게 처리하기 위해 설계되었습니다. 이는 비트코인 관련 기업, 거래소 및 이해관계자들로 구성된 분산형 연합에 의해 운영됩니다. 리퀴드는 양방향 앵커링(two-way pegging) 메커니즘을 사용하여 BTC를 L-BTC로 변환하고 그 반대로도 가능하게 합니다.

이미지 출처: https ://docs.liquid.net/docs/technical-overview
롭스타크(Rootstock)는 2015년 출범하여 가장 오래 운영된 비트코인 사이드체인으로, 2018년 메인넷을 출시했습니다. 그 특징은 비트코인의 작업 증명(PoW) 보안성과 이더리움의 스마트 계약 기능을 결합했다는 점입니다. 오픈소스이며 EVM과 호환되는 비트코인 L2 솔루션으로서, 성장하는 dApp 생태계에 진입점을 제공하며 완전한 비신뢰(trustless) 구조를 실현하기 위해 노력하고 있습니다.
B² Network의 기술 아키텍처는 Rollup 계층과 데이터 가용성(DA) 계층의 두 가지 계층으로 구성됩니다. B² Network는 사용자들이 비트코인의 L2 솔루션에 대해 갖는 기존 인식을 재정의하려는 목표를 가지고 있습니다.
2018년 Blockstack이라는 이름으로 메인넷에 출시된 이후, 스택스(Stacks)는 선도적인 비트코인 L2 솔루션으로 자리매김하였습니다. 스택스는 비트코인에 직접 연결되어 비트코인 위에서 스마트 계약, dApps, NFT를 구축할 수 있게 하며, 비트코인의 기능을 크게 확장하여 단순한 가치 저장 수단을 넘어서게 합니다. 스택스는 PoX(Transfer Proof)라는 독특한 합의 메커니즘을 채택하여 비트코인 자체를 수정하지 않고도 보안성을 비트코인에 직접 연결합니다.

이미지 출처: https ://docs.stacks.co/stacks-101/proof-of-transfer
바빌론(Babylon)의 비전은 비트코인의 보안성을 활용하여 탈중앙화 세계 전체를 보호하는 것입니다. 비트코인의 타임스탬프 서비스, 블록 공간, 자산 가치라는 세 가지 요소를 활용함으로써, 바빌론은 비트코인의 보안성을 다수의 지분 증명(PoS) 체인으로 확장할 수 있어 더 강력하고 통합된 생태계를 조성할 수 있습니다.

이러한 기술들은 비트코인 생태계에 새로운 가능성을 열어주지만, 라이트닝 네트워크의 "대체 순환 공격", UTXO 계산 오류, PoW 롤백 메커니즘 리스크 등의 도전 과제도 존재합니다.
보고서 전문을 읽고 비트코인 생태계에 대한 더 많은 내용을 확인하세요
코스모스 애플리케이션 체인 생태계
Tendermint 합의 알고리즘, Cosmos SDK, IBC(Inter-Blockchain Communication) 프로토콜을 핵심으로 하는 코스모스는 '블록체인 인터넷'이라는 설계 철학 아래 다수의 기술적 혁신을 구현하고 있습니다.
코스모스 아키텍처는 허브(Hub)와 존(Zone) 구조를 따릅니다. 허브는 중심 노드로서 여러 존(독립된 블록체인)을 연결하고 조정합니다. 이 아키텍처의 혁신적 특징은 다음과 같습니다:
탈중앙화된 관리: 각 존은 독립적이며 자치적인 블록체인이므로, 단일 중앙 집중형 관리 노드에 의존할 필요가 없습니다.
효율적인 크로스체인 연결: 허브를 통해 존 간에 원활한 크로스체인 통신과 자산 이동이 가능하며, 진정한 의미의 상호 운용성을 실현합니다.
보고서는 다중 모듈 호출 순서에서 크로스체인 메시지 전달에 이르기까지 코스모스 애플리케이션 체인의 잠재적 보안 위험을 심층 분석하며, 유동성 스테이킹 모듈(LSM)의 보안 논란 및 거버넌스 프로세스 문제를 사례로 들어, 다른 애플리케이션 체인 프로젝트들에게 경고와 교훈을 제공합니다.
보고서 전문을 읽고 코스모스 애플리케이션 체인 생태계에 대한 더 많은 내용을 확인하세요
다년간의 취약점 연구 성과
보고서는 블록체인 산업 전반에 걸쳐 광범위하게 나타나는 9대 보안 취약점 유형을 상세히 정리하였습니다. 이러한 취약점들은 다양한 기술 계층을 관통하며, 크로스체인 통신에서 경제 모델 설계에 이르기까지 여러 블록체인 생태계의 핵심 구성 요소를 포괄합니다.
1. L2/L1 크로스체인 통신 취약점: 크로스체인 통신은 블록체인 생태계의 상호 운용성을 높이는 중요한 수단이지만, 구현 과정에서 여러 보안 위험이 존재합니다. 예를 들어, L2가 L1의 블록 롤백을 고려하지 않거나, 체인 상 이벤트 위조, L2가 L1에 전송한 거래의 성공 여부를 검증하지 않는 경우 등이 있습니다.
2. 코스모스 애플리케이션 체인 취약점: 코스모스는 IBC(크로스체인 통신 프로토콜)를 통해 다양한 블록체인을 연결하는 생태계이지만, 구현 과정에서 몇 가지 취약점과 보안 위험이 발생할 수 있습니다. 예를 들어 BeginBlocker 및 EndBlocker 충돌 취약점, 로컬 시간 잘못 사용, 난수 부적절 사용 등 11가지 취약점 및 보안 위험이 있습니다.
3. 비트코인 확장 생태계 취약점: 비트코인 스크립트 구성 취약점, 파생 자산을 고려하지 않은 취약점, UTXO 금액 계산 오류 취약점 등
4. 프로그래밍 언어 일반 취약점 (예: 무한 루프, 무한 재귀, 정수 오버플로우, 경쟁 조건 등)
5. P2P 네트워크 취약점: P2P(피어 투 피어) 네트워크는 블록체인 시스템에서 분산 노드 간 직접 연결 및 통신을 위해 사용됩니다. 그러나 P2P 네트워크는 이상 공격(异形攻击) 취약점, 신뢰 모델 부재, 노드 수 제한 메커니즘 부족 등의 일반적인 취약점에 직면합니다.
6. DoS 공격: 메모리 고갈 공격, 하드디스크 고갈 공격, 커널 핸들 고갈 공격, 지속적 메모리 누수 등
7. 암호학 취약점: 암호학 취약점은 데이터의 기밀성과 무결성을 해쳐 시스템에 잠재적인 보안 위협을 초래합니다. 주요 유형으로는 이미 불안전하다고 입증된 해시 알고리즘 사용, 안전하지 않은 커스텀 해시 알고리즘 사용, 부적절한 사용으로 인한 해시 충돌 등이 있습니다.
8. 원장 보안 취약점: (예: 거래 메모리풀 취약점, 블록 해시 충돌 취약점, 고아 블록 처리 로직 취약점, 머클 트리 해시 충돌 취약점 등)
9. 경제 모델 취약점: 경제 모델은 블록체인 및 분산 시스템에서 중요한 역할을 하며, 네트워크 인센티브 메커니즘, 거버넌스 구조 및 전반적인 지속 가능성에 영향을 미칩니다. 보고서에서는 특히 주목해야 할 경제 모델 취약점을 명시하고 있습니다.
취약점 유형에 대한 자세한 내용은 보고서 전문을 통해 확인하세요
일반적인 공격 면 리스트
보고서는 13가지 일반적인 공격 면을 나열하였으며, 각 단계가 해커의 공격 돌파구가 될 수 있으므로 개발자와 프로젝트팀이 각별한 주의를 기울여야 합니다:
1. 가상 머신
2. P2P 노드 발견 및 데이터 동기화 모듈
3. 블록 파싱 모듈
4. 거래 파싱 모듈
5. 합의 프로토콜 모듈
…
보안 개발 최선의 실천 방법
풍부한 사례 리뷰와 공격/방어 실습을 통해, 보고서는 체계적인 보안 대응 전략을 추출하였습니다.
보안 방어 측면에서 본 보고서는 블록체인 개발의 최선의 실천 방법에 대해 블록 및 거래 처리, 스마트 계약 가상 머신, 로그 시스템 및 RPC 인터페이스, DoS 공격 방지를 위한 P2P 프로토콜 설계, 전송 계층의 암호화 및 인증, 퍼징(Fuzzing) 및 정적 코드 분석, 제3자 보안 감사 프로세스 등 전반에 걸쳐 상세한 권고를 제시하며, 블록체인 프로젝트의 전 생애주기에 걸쳐 실현 가능한 명확한 보안 지침을 제공하고자 합니다.
상세한 보안 개발 최선의 실천 방법은 보고서 다운로드를 통해 확인하세요
보고서 작성 배경:
2025년을 맞아 지난 1년을 돌아보면, 블록체인 기술은 전 세계적으로 계속해서 빠르게 진화하고 있습니다. 거래 처리 성능에서부터 크로스체인 상호작용, 스마트 계약 언어 및 노드 확장 솔루션에 이르기까지, 산업 전반은 더욱 다변화되고 복잡한 새 단계로 접어들고 있습니다. 동시에, 유연한 네트워크 아키텍처, 혁신적인 프로그래밍 모델, 다양한 응용 시나리오를 가진 주요 신생 공개 블록체인 생태계들이 급부상하며 Web3 세계의 기술 흐름과 생태계 번영을 주도하고 있습니다.
그러나 보안 위협은 끊임없이 나타나며, 공격이나 취약점 악용이 발생하면 체인 상 자산 손실뿐 아니라 네트워크 마비로 이어져 전체 블록체인 생태계의 안정성에 위협이 됩니다. 이에 따라 신생 Web3 생태계의 보호와 구축에 전념하는 글로벌 선도 보안 기관 BitsLab은 《2024 신생 생태 공개 블록체인 종합 관측 및 보안 연구 보고서》를 발행하여 업계 참가자들이 위험을 정확히 예측하고 효과적인 방어 전략을 수립할 수 있도록 지원하고 있습니다.
회사 소개
BitsLab은 블록체인 및 Web3 산업 보안에 오랫동안 집중해 왔으며, 풍부한 감사 경험과 기술적 축적을 보유하고 있습니다. Move 생태계, TON 네트워크에서부터 비트코인 확장 분야, 코스모스 애플리케이션 체인 생태계에 이르기까지, BitsLab은 다수의 블록체인 프로젝트에 보안 감사 및 인프라 지원을 제공하였습니다. 이번에 발표된 보고서는 BitsLab의 지속적인 연구와 실전 경험의 결실이자 전 업계를 위한 전문 지침이기도 합니다. 보다 많은 프로젝트팀, 투자기관, 연구자 및 커뮤니티 구성원들이 이 보고서를 읽고 빠르게 변화하는 기술 흐름 속에서 안정적으로 나아가며, 안전을 기반으로 한 탈중앙화 세계의 건강하고 지속 가능한 발전에 기여하기를 바랍니다.
《2024 신생 생태 공개 블록체인 종합 관측 및 보안 연구 보고서》는 현재 공식 출시되었으며, 관심 있는 분들은 BitsLab 공식 웹사이트 및 협력 플랫폼을 통해 보고서 전체 버전을 받으실 수 있습니다. 블록체인 보안의 최전선 동향을 깊이 있게 이해하고, BitsLab과 함께 신생 공개 블록체인의 든든한 방어선을 구축합시다. Web3 세계의 더욱 넓은 발전 전망을 함께 맞이하며, 탈중앙화 생태계가 더욱 번영하고 안정적인 미래를 향해 나아가도록 합시다!
BitsLab 소개
BitsLab은 신생 Web3 생태계의 보호와 구축을 위해 설립된 보안 조직으로, 업계와 사용자로부터 존경받는 Web3 보안 기관이 되는 것을 비전으로 삼고 있습니다. 산하에는 MoveBit, ScaleBit, TonBit라는 3개의 서브브랜드를 보유하고 있습니다.
BitsLab은 Sui, Aptos, TON, Linea, BNB Chain, Soneium, Starknet, Movement, Monad, Internet Computer, Solana 등 다양한 생태계의 인프라 개발 및 보안 감사에 집중하고 있습니다. 또한 Circom, Halo2, Move, Cairo, Tact, FunC, Vyper, Rust, Solidity 등 다양한 프로그래밍 언어의 감사에서도 탁월한 전문성을 보여주고 있습니다.
BitsLab 팀은 다수의 최고 수준 취약점 연구 전문가들로 구성되어 있으며, 국제 CTF 대회에서 다수의 상을 수상한 바 있으며, TON, Aptos, Sui, Nervos, OKX, Cosmos 등 유명 프로젝트에서 핵심 취약점을 발견한 실적을 보유하고 있습니다.
BitsLab 공식 웹사이트 방문: https://bitslab.xyz/
BitsLab 및 산하 서브브랜드 공식 X 계정 방문:
BitsLab: https://x.com/0xbitslab
MoveBit: https://x.com/MoveBit_
ScaleBit: https://x.com/scalebit_
TonBit: https://x.com/tonbit_
BitsLab 공식 Telegram 커뮤니티 참여: https://t.me/BitsLabHQ
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














