
해커 사건들에 대해 이야기해보기 | 체인브레이커 팟캐스트 5회 하이라이트

다음은 이번 라이브 방송의 주요 논점 요약입니다.
배경 소개
지난주 DeFi 세계는 잠잠하지 못했습니다. Poly Network와 NEAR 생태계의 탈중앙화 거래소 Ref.Finance 등 여러 프로젝트가 차례로 해킹을 당했으며, 손실 금액은 수백만 달러에서 수억 달러에 이릅니다. 우리는 그중 몇 가지 사건을 돌아보고, 왜 해킹 사건이 자주 발생하는지, 그리고 어떻게 대응해야 하는지 논의할 것입니다.
블록체인 전문가 크리스 (Mr. Block)
대부분의 개발자들이 다 아는 것처럼 보이지만 실상 그렇지 않습니다. 많은 개발자들도 투기꾼처럼 돈을 벌려는 목적이 강하며, 어떤 부분이 공격당할 수 있는지를 꼼꼼히 고민하지 않습니다. 따라서 한 프로젝트가 여러 차례 감사를 받았다고 해도 절대적으로 안전하다고 볼 수 없습니다. 현재 비교적 안전한 프로젝트는 Aave, Curve, Compound 같은 대형 프로젝트들뿐입니다.
높은 연간 수익률(금리)에는 매우 경계해야 합니다. 높은 수익률을 내세우는 프로젝트를 두세 개 정도 이용하다 보면 코인 가격 폭락이나 직접적인 해킹을 당할 위험이 있습니다.
좋은 프로젝트들은 마케팅보다는 보안 강화에 시간과 노력을 많이 씁니다. 반면, 과도하게 홍보에 치중하거나 너무 빠르게 진행되는 프로젝트는 잠재적 리스크가 크므로 특히 주의해야 합니다. 한 번이라도 해킹을 당하면 사용자들의 신뢰가 크게 훼손됩니다.
감사(Audit) 문제에 관해서는, 유명 감사 회사가 검토한 프로젝트라 하더라도 절대 안전하다고 볼 수 없습니다. DeFi가 각광받으면서 감사 회사들은 엄청난 주문량을 처리해야 하며, 이 때문에 철저한 검토가 어려워질 수 있습니다. 현재 대부분의 스마트 계약은 포크(Fork) 형태인데, 예를 들어 감사 회사가 Uniswap을 이미 검토했다면, 이후 100개의 프로젝트가 Uniswap을 포크하더라도 모두 동일한 것으로 간주하고 형식적인 검토만 수행하는 경우가 많습니다. 하지만 해당 프로젝트에서 일부 코드를 수정했을 경우, 감사 회사가 이를 놓칠 가능성이 큽니다. 또한 많은 프로젝트가 보안 강화보다는 마케팅 목적에서 감사를 받는 경우가 많아, 유명 감사 회사조차도 충분히 세심하게 검토하지 않을 수 있습니다. 따라서 오히려 현지 소규모 감사 회사나 일감이 적은 회사에게 맡기는 것이 더 책임감 있게 작업을 수행할 가능성이 있습니다.
체인뉴스 판즈시옹
DeFi 프로토콜 운영 측면에서 보안을 강화하기 위해선 어떻게 해야 할까요? 우선 새로운 프로토콜의 경우 1~2곳의 보안 감사는 필수적입니다. 보안 감사를 통해 일반적인 오류를 발견할 수 있습니다. 그 외에도 정식 메인넷 출시 전에 버그 바운티 프로그램(Bug Bounty Program)을 시행하는 것도 좋은 방법입니다. 일반적으로 프로토콜은 메인넷 출시 전 테스트넷에서 테스트를 하지만, 테스트넷의 문제점은 인센티브가 없다는 것입니다. 해커가 취약점을 발견하더라도 공격하거나 개발자에게 알릴 유인이 없기 때문에, 이러한 취약점이 메인넷 출시 후까지 그대로 남아 있게 됩니다. 자금이 늘어날수록 해커들의 관심도 커지게 되고, 결국 공격으로 이어질 수 있습니다.
사용자 입장에서는 자신의 리스크 성향을 명확히 아는 것이 중요합니다. 또한 자금을 한 프로토콜에 집중하지 말고 분산 투자해야 합니다. 또한 DeFi는 여전히 초기 단계라는 점을 인지해야 합니다. Uniswap, Curve, Compound, Aave처럼 오랜 기간 테스트를 거친 프로젝트는 극소수이며, 대부분의 새 프로토콜은 잠재적 리스크를 내포하고 있으므로 쉽게 시도해서는 안 됩니다.
사용자 질문
1. 해커가 스마트 계약을 악용해 대량의 자금을 탈취한 행위는 도덕적 또는 법적 문제가 없는지? 만약 Poly Network 사건의 해커가 최종적으로 자금을 돌려주지 않는다면, 블록체인 컨센서스는 이를 어떻게 해결할 수 있는가? 어느 국가의 법정에서 재판이 열리거나 어느 국가의 사법 기관이 조사를 진행하게 되는가?
체인뉴스 판즈시옹:
첫 번째 질문에 답하자면, 계약은 모두 오픈소스이므로 누구나 확인할 수 있지만, 각 계약은 특정 비즈니스 로직과 의도된 서비스 제공 목적을 가지고 있으며, 동시에 일정한 제한 조건을 포함합니다. 예를 들어, 자금 풀을 운용할 때는 권한을 초과한 접근이나 자금 인출을 막기 위한 로직이 반드시 필요합니다. 그러나 개발자는 이런 세밀한 비즈니스 로직을 구현하는 과정에서 실수하거나 버그를 만들 수 있습니다. 해커가 이러한 비즈니스 로직의 허점이나 코드 상의 결함을 찾아내고 이를 악용해 이득을 얻었다면, 이는 도덕적으로나 법적으로도 정당화될 수 없습니다.
두 번째 질문에 대해서는, 해커가 자금을 반환하지 않는다면 피해자들은 자연스럽게 O3 혹은 Poly Network 팀을 찾아갈 것입니다. 그들이 해당 프로젝트의 운영 및 유지보수를 담당하고 있기 때문입니다.
블록체인 전문가 크리스:
미래에는 DAO가 등장해 정부나 경찰 역할을 할 수도 있습니다. 사람들이 자금을 모아 시장의 계약들을 종합적으로 심사하고, 나아가 평가 점수를 부여하거나 취약점을 수정하는 데 도움을 줄 수 있을 것입니다. 현재 DeFi 세계에는 이러한 자치 조직이 부족합니다.
2. IDO 플랫폼은 프로젝트의 리스크를 통제하고 질을 높이기 위해 무엇을 할 수 있나요?
체인뉴스 판즈시옹:
IDO 플랫폼은 프로젝트가 어떤 비즈니스를 하는지, 팀 구성원은 누구인지, 어떻게 운영되는지에 대한 기본적인 심사를 수행할 수 있습니다. 그러나 IDO 플랫폼 자체는 전문적인 감사 능력을 갖추고 있지 않으므로, 주로 외부 감사 회사의 보고서에 의존해 프로젝트의 안전성을 판단합니다.
ChainBreaker 소개
「ChainBreaker」는 글로벌 블록체인 통합 마케팅 회사 Winkrypto가 기획하고, YouTube 채널 구독자가 만 명 이상인 유명 유튜버 Mr.Block(블록체인 전문가 크리스)과 블록체인 분야 최대 중국어 콘텐츠 플랫폼 체인뉴스(ChainNews)가 공동으로 제작하는 라이브 방송 프로그램입니다. 이 프로그램은 국내외 암호화폐 커뮤니티의 소통과 연결을 목표로 하며, 매주 금요일 오후 8시에 업계 주요 인사들을 초청해 암호화폐 분야의 핫이슈, 기술 트렌드, 업계 뒷이야기 등을 다룹니다. 라이브 방송 중 Q&A에 참여하면 특별한 「ChainBreaker Podcast」NFT 티켓 등의 혜택을 받을 수 있습니다.
채널 구독 및 과거 방송 다시 보기:
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














