BitsLabAI 스캐너, 감사 대회에서 다수의 감사원을 제치고 2위 입상
서론
Bitslab은 Web3 애플리케이션의 분석 및 보호를 전문으로 하는 최첨단 AI 감사 에이전트인 BitsLabAI Scanner를 개발했다. 우리는 최근 SuiDex 퍼블릭 감사 대회에서 이 기술을 시험해보았으며, 매우 뛰어난 결과를 얻었다. BitsLabAI Scanner는 AI 기반 스캐너를 활용해 감사 경쟁에서 다수의 감사 인력을 제치고 우리 팀이 2위를 차지하는 데 기여했다.
배경 소개
Web3 생태계는 놀라운 속도로 확장되고 있으며, 스마트 계약 또한 점점 더 복잡해지고 있다. 이러한 혁신은 흥미롭지만, 특히 Sui와 같은 신생 생태계에서는 중대한 보안 위험도 동반한다. Move 언어로 작성된 스마트 계약을 감사하는 것은 어려운 과제인데, EVM 세계에 비해 충분한 역사적 취약점 데이터와 성숙한 도구가 부족하기 때문이다.
이러한 핵심적인 보안 격차를 해결하기 위해, Bitslab은 Web3 애플리케이션의 분석 및 보호를 위한 최첨단 AI 에이전트인 BitsLabAI Scanner를 개발했다. 우리는 최근 SuiDex 퍼블릭 감사 대회에서 이 기술을 시험해보았으며, 매우 뛰어난 결과를 얻었다. BitsLabAI Scanner는 AI 기반 스캐너를 활용해 감사 경쟁에서 다수의 감사 인력을 제치고 우리 팀이 2위를 차지하는 데 기여했다. 이는 AI의 도움 없이는 쉽게 간과될 수 있는 심각한 보안 취약점을 BitsLabAI Scanner가 효과적으로 탐지할 수 있음을 입증한다.
왜 안전 중심의 BitsLabAI Scanner를 개발했는가
온체인 보안 세계는 기초 AI에 의해 근본적인 변화를 겪고 있다. 일반적인 대규모 언어 모델(LLM)이 현재 스마트 계약 코드에 대한 기본적인 분석 능력을 갖추고 있지만, 엄격한 보안 감사를 위한 전문성과 적대적 사고방식에는 여전히 부족하다. 이러한 모델들은 좋은 보조 도구이지만, 감사원 그 자체는 아니다.
이 핵심적인 격차를 메우기 위해, 우리는 안전 중심의 다층 구조인 BitsLabAI Scanner를 개발했다. 이는 단일 대형 모델이 아니라, 여러 전용 AI 구성 요소가 협업하는 통합 시스템이다. 각 구성 요소는 스마트 계약 보안의 특정 과제에 특화되어 있다:
● 의미 기반 코드 분석: 문법 수준을 넘어서 코드의 의도와 논리를 이해하며, 계약의 비즈니스 목적을 파악한다.
● 취약점 탐지: 재진입 공격부터 복잡한 경제 조작 벡터까지, 알려진 취약점과 반복 패턴(anti-pattern)이 포함된 방대한 데이터셋을 기반으로 학습한다.
● 공격 시뮬레이션: 잠재적인 공격 경로를 자율적으로 생성하고 검증하여 이론상의 취약점이 실제로 악용 가능한지를 확인하는 고급 구성 요소.
이러한 통합 접근법은 일반적인 AI나 수동 감사에서 쉽게 놓칠 수 있는 복잡한 논리 결함과 은폐된 공격 벡터를 발견할 수 있게 한다. AI의 속도와 규모, 그리고 보안 전문가의 정밀성을 결합함으로써, 우리의 프레임워크는 다음 세대 Web3 애플리케이션에 대해 더욱 심층적이고 포괄적인 보안 분석을 제공한다.
개념에서 실천으로: BitsLabAI Scanner가 보여준 진정한 역량
BitsLabAI Scanner의 능력은 기존 정적 분석의 한계를 넘어선다는 점에 있다. 이는 단순히 코드에 알려진 취약점 목록이 포함되어 있는지 여부만 확인하는 것이 아니라, 일류 보안 연구원의 사고 과정을 모방한다. 코드가 실제로 무엇을 하는지뿐만 아니라, 무엇을 강제로 하게 될 수 있는지까지 분석한다. 여기에는 경제적 인센티브, 잠재적 경계 조건, 적대적 사고를 요구하는 새로운 유형의 공격 기법 등이 포함된다.
이러한 깊이 있고 컨텍스트를 인식하는 접근법은 우리가 SuiDex 감사에서 성공을 거둔 기반이 되었다. AI는 잠재적 문제 목록을 제공하는 것을 넘어서, 핵심 취약점으로 감사 전문가를 직접 유도할 수 있는 우선순위가 매겨진 실행 가능한 통찰을 출력한다. 다음은 본 분석을 뒷받침하는 핵심 기능들과 구체적인 SuiDex 사례들이다:
● 자동 취약점 탐지: 재진입, 정수 오버플로, 접근 제어 문제, 정밀도 오류 등 일반적이거나 드문 취약점을 스캔한다.
● 컨텍스트 이해: 계약 내 다양한 모듈 간 상호작용과 외부 호출을 분석하여 복잡한 종속성 하에서 발생할 수 있는 논리적 결함을 식별한다.
● 정확성과 신뢰성: 잘못된 경보(false positive)를 최소화하면서 실제 리스크에 대한 높은 정확도를 유지한다.
● 확장성: 대규모 복잡한 코드베이스를 효율적으로 감사할 수 있어 다양한 블록체인 프로젝트에 적용 가능하다.
도전에 직면: SuiDex 감사 대회에서 감사 인력을 초월한 핵심 발견
SuiDex 프로토콜에 대한 AI 기반 분석에서 우리는 매우 높은 성과를 거두었으며, 플랫폼의 무결성과 사용자 자금을 위협할 수 있는 여러 취약점을 발견했다. 최종적으로 우리는 7개의 핵심 취약점과 3개의 고위험 취약점을 식별하여 분석의 깊이를 입증했다.
전체 목록은 아직 공개되지 않았지만, 다음의 대표적인 사례들은 AI의 능력을 잘 보여준다:
1. 핵심 발견: 핵심 산술 연산의 호환되지 않는 수학 체계 (SUIDEXCA-122)
● 문제: 프로토콜의 고정 소수점 수학 라이브러리는 서로 호환되지 않는 두 가지 수학 체계를 동시에 사용한다. 논리적으로는 이진 분해(2의 거듭제곱)를 기반으로 계산하지만, 프로토콜의 정밀도 기준은 십진법(10의 거듭제곱)에 기반하고 있다. 십진 체계에서 이진 연산을 수행하는 것은 공식 안에서 미터와 피트를 변환 없이 섞어 쓰는 것과 같다.
● 영향: 모든 비단순 곱셈 및 나눗셈 연산은 예측 불가능하고 잘못된 결과를 낳게 된다. 이는 언제든 폭발할 수 있는 시한폭탄으로, 전체 AMM의 신뢰성을 완전히 무너뜨리며 중대한 재정적 차이와 사용자 신뢰 상실을 초래할 것이다.
이 발견은 AI가 표면적인 코드 결함을 넘어서 깊이 있는 수학적 결함을 탐지할 수 있음을 보여준다.
2. 핵심 발견: 잘못된 Swap 로직 플래그
● 문제: Token A → Token B 교환을 수행하는 핵심 함수는 필요한 입력 금액을 계산하기 위해 내부 라이브러리를 호출하지만, 잘못된 하드코딩된 매개변수를 전달하여 라이브러리가 반대 방향의 교환(Token B → Token A)이 진행 중이라고 착각하게 만든다.
● 영향: 이 작은 오류 하나로 인해 프로토콜은 모든 거래의 입력 금액을 잘못 계산하게 되며, 이는 거래 가격의 불공정 또는 거래 실패로 이어져 DEX의 핵심 기능을 심각하게 손상시킨다.
이 발견은 AI의 함수 간 컨텍스트 분석 능력을 보여준다. 특정 함수를 고립해서 분석하는 것이 아니라, 전체 실행 경로를 추적하여 논리적 모순을 식별한 것이다.
3. 고위험 발견: 무제한 토큰 발행 취약점 (SUIDEXCA-30)
● 문제: 보상 토큰의 시간 계산 로직에 미세한 오류가 존재하여, 사전 설정된 3년 계획에 따라 발행 상한을 올바르게 제한하지 못한다.
● 영향: 프로토콜은 정해진 일정을 훨씬 초과하여 무기한으로 새로운 토큰을 발행하게 된다. 이는 프로젝트의 토큰 이코노미를 완전히 붕괴시키고 인플레이션을 유발하며, 토큰 가치를 파괴하고 커뮤니티에 대한 약속을 저버리게 된다.
이 사례는 AI가 비즈니스 로직과 장기적인 경제적 결과를 분석하여 프로토콜의 금융적 무결성을 지킬 수 있음을 보여준다.
우리의 상세한 보고서는 이미 SuiDex 개발팀과 신속히 공유되었으며, 해당 팀은 발견 내용을 확인하고 즉시 수정 조치를 취했다.
단순히 2위 이상: BitsLabAI Scanner가 지닌 가치와 의미
BitsLabAI Scanner는 SuiDex 감사 대회에서 뛰어난 성과를 거두어 2위를 차지했으며, 다수의 핵심 및 고위험 취약점을 발견함으로써 그 우수한 능력을 입증했다. 이 성과는 BitsLabAI Scanner가 스마트 계약 보안 감사에서 효과적임을 검증했을 뿐 아니라, 분산된 보안 미래를 구축하겠다는 우리의 약속을 더욱 강화하는 계기가 되었다.
블록체인 생태계가 계속 확장됨에 따라 강력하고 효율적인 보안 솔루션에 대한 수요는 더욱 증가할 것이며, BitsLabAI Scanner는 이러한 도전에 맞서 미래를 선도할 준비를 마쳤다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@0xbitslab
