#Conflux #Blockchain #DeFi #Audit #컨플럭스 #블록체인 #감사

새로운 DeFi 프로토콜을 적절히 보호하여 감사 공간과 사용자 적응을 위한 중요성에 대해 살펴보자.

2020년은 DeFi 생태계의 성장에 있어 가장 중요한 한 해다. 중앙 집중식 토큰 거래소와 비교하여 DeFi에서 총 10억 달러의 총 고정 가치에 도달하고 DEX 토큰에 대한 5배 이상의 수익이 중요한 추진 계획이다. 그러나 업계에서는 새로운 DeFi 프로토콜과 기존의 DeFi 프로토콜 모두에서 몇 가지 사소한 보안 침해에 취약하다는 것을 입증했다. 지난 4월에만 보안 취약성으로 수백만 달러의 손실이 발생했다. Uniswap나 Curve와 같은 대형 탈중앙화 거래소 사이에서도 감사 후 스마트 계약의 버그가 발견되었고, “재진입 공격 (reentrancy attack)”을 통해 수십만 달러를 도난 당했다. Uniswap나 Curve 넘어서 Lendf.me는 2,500만 달러의 자금 유출을 경험했고 Hegic은 옵션 계약 만료로 고정된 유동성을 잃었으며, PegNet은 51%의 공격을 받았다.

이러한 보안 침해의 대부분은 감사를 통해 검토한 후 구축된 기본 코드로 추적할 수 있다. 문제는 많은 프로토콜들이 비용이 많이 들고 시간이 많이 소요되기 때문에 이 과정에서 가장 빠른 방법을 찾고 있다는 것이다. 이용자 자금뿐만 아니라 DeFi 채택을 위험에 빠뜨리고 있다. 이 문제를 해결하기 위해서는 개발자에게 감사의 중요성을 강조하고, DeFi 프로토콜을 감사할 때 가장 효율적일 수 있는 방법에 대한 지속 가능한 해결책을 모색해야 한다.

“감사는 묘책은 아니고, 모든 감사가 동일한 것은 아니지만, DeFi 계약을 사용하기 전에 있어서는 중요한 단계다.”

DeFi “감사”란 무엇인가?

사용자에게 수백만 달러를 유치할 수 있는 기능을 제공하는 Conflux Network에 DeFi DApps를 구축하려는 개발자들에게 제공되는 보안 및 도구에 대한 평가는 필수 사항이 된다. 스마트 계약 보안 감사는 탈중앙화 애플리케이션 뒤에 숨겨진 코드를 검사하고 잠재적인 보안 악용, 프로그래밍 규약 위반, “재진입” 공역 (Reentrancy Attack), 버그 등을 검색하는데 사용된다. 일반적으로 제 3자가 감독하는 이러한 감사는 사용자가 투자한 애플리케이션의 보안뿐만 아니라 DeFi 생태계의 건강한 성장을 유지하는 데에도 중요한 역할을 한다.

가장 간단한 의미에서 보면 스마트 계약 감사는 스마트 계약의 소스 코드에 대한 제 3자 검토다. 감사가 완료된 것은 코드가 검토되었다는 것을 의미하지만, 감사의 엄격성은 상황마다 많이 다를 수 있다. 예를 들어 DApps은 감사 과정에서 오류가 발견되지 않았다고 랜딩페이지에 홍보할 수 있지만, 이것이 코드 자체의 품질이 좋았다는 뜻인지, 감사인이 기준 미달이었는지를 판단하기는 여전히 어려움이 존재한다.

시장 공격, 사전 실행 및 재진입 공격 등 감사를 통해 완화시킬 수 있는 다양한 공격이 있다.

우리의 감사 파트너 Quanstamp에 따르면, 감사를 위한 평균 프로세스는 프로젝트 규모에 따라 1개월에서 12개월 사이일 수 있다고 한다. 기법은 기업마다 다르지만 대개 프로젝트 컨설팅과 기술 아키텍처 설계로 시작하고 그 뒤에 구현과 통합이 뒤따른다. 이 과정의 끝은 엄격한 감사 분석이다.

DeFi의 보안 감사 가치

스마트 계약이 새로운 혁신인 만큼 이러한 유형의 금융 상품에 대한 보안 표준은 아직 걸음마 단계에 머물러 있다. 이런 이유로 지난 몇 년 동안, 몇몇 다른 감사 회사들이 인기를 얻었다. 새로운 프로토콜의 경우, 그들의 DApp이 대량의 암호 자산을 취급하고 거래하는데 안전한지 확인하기 위해 감사인의 도움을 받는 것이 다소 핵심이 되었다. 업계에 대한 신뢰도가 높아졌음에도 불구하고 민간 기업들은 여전히 감사 플랫폼에 대한 그들만의 접근법을 취하고 있다. 고객들은 감사를 실시하는 이들 회사와 팀원들의 평판에 의존해야 한다. 현재 시장에서는, 많은 프로토콜이 다음 중 하나로 인해 여전히 감사 프로세스를 방해하고 있다.

● 보안 감사의 중요성에 대한 지식 부족

● 감사 완료에 걸리는 긴 시간

● 사용자가 전체 감사 보고서를 읽어야 할 과제 의식을 느끼는 경우

프로토콜 운영자들은 그들의 프로토콜을 감사하거나 그것을 제대로 할 수 있는 충분한 예산을 할당하지 않기 때문에, 그들은 관련 커뮤니티 사람들에게 피해를 주고 있다. 더 많은 사용자들이 사용하고 보안을 유지하지 않고는 DeFi 채택이 계속 증가할 수 없다. DeFi 플랫폼인 Gossamer가 사용자들에게 해킹에 대한 우려와 DeFi 플랫폼 투자를 꺼리는 이유에 대해 물은 결과 다음과 같이 답했다:

“조사 응답자 중 많은 수가 같은 이야기를 공유하고 있다. 즉, 거래소나 지갑이 해킹 당했기 때문에 그들의 아는 사람들이 돈을 잃어버렸다는 것이다. 기술에 대해 잘 모르는 사람들은 생태계의 모든 금전적 손실을 혼동하는 경향이 있다. Compound와 같은 생태계처럼 해커의 위험을 평가하기 어렵고, 보안에 대해 신뢰할 수 있는 제 3자의 조언을 얻길 바란다. 기술에 대해 더 잘 아는 사용자들은 스마트 계약의 보안을 보다 구체적으로 분석할 수 있는데, 이들은 버그가 정상적인 개발 중에 자주 발생한다는 것을 알고 있기 때문에 많은 가치를 지닌 스마트 계약을 신뢰하지 않는다. “

DeFi는 서로 연결된 부분(Lego 블록, 크로스체인 상호운용성)을 가진 보다 복잡한 시스템을 계속 생산하기 때문에, 이것은 시스템 설계 업자들이 반드시 창의적인 방법으로 이러한 새로운 시스템을 활용할 수 있는 기회를 만든다. 올해 ETHDenver 2020 Hackathon에서 제출된 104건의 프로젝트 중 92%가 기능하기 위해 외부 프로토콜이나 블록체인에 의존하고 있다. 개발자들이 잠재적인 침해로부터 사용자와 유동성을 안전하게 유지하기를 원한다면, 새로운 프로토콜이 모든 반복을 통해 제3자의 눈을 갖게 하는 것이 어느 때보다 더 필요하게 되었다.

현재 감사 방법의 단점

업계가 진척되고 있지만 아직 충분히 공론화되지 않은 시장 이슈가 몇 가지 있다. 현재 DApps은 감사를 통해 프로토콜을 넣은 뒤 QR코드가 부착된 디지털 배지를 받아 전면 감사로 이어진다. 거기서 사용자들은 DApps가 정말로 투자하기에 안전한지 또는 DApps의 검색 및 버그 수정에 얼마나 많은 노력을 기울였는지를 명확히 그려내지 못하는 깊은 기술적 언어에 압도당했다. 해킹 전에 이미 감사를 완료하고 안전하다고 공개한 여러 DeFi 프로토콜은 안전하다고 말했다. 올해 4월 계약서의 버그들이 악용되기 전에 Hegic에 대해 실시한 평가 요약의 예를 들어보자.

단순한 옵션 주문을 만들고 이 개방형 프로토콜의 보안성을 신속하게 확인하고자 하는 일반 사용자에게는 이러한 다양한 해시 및 견고성 계약에 직면하는 것이 어렵다. 사실 3쪽짜리 보안감사의 이 스크린샷 하나만으로도 핵심을 놓치기 십상일 정도로 힘든 일이다.

● 단 한 명의 엔지니어만 수학적 오류, 재진입 공격, 경제적 영향 등의 버그 리뷰

● 이틀 (16시간)에 걸쳐 전체 감사 완료

● 11개의 핵심 시스템의 버그를 수정 후 5일 만에 재검토.

모든 감사가 제대로 이뤄지지 않고 있다 거나 감사원의 잘못이라는 말은 아니다. 이러한 감사 없이는, 훨씬 더 많은 손실이 발생할 가능성이 있다. 이후 시장은 큰 경종을 울렸고 사용자와 개발자들은 오픈소스 스마트 계약을 통해 거액을 거래할 때 보안의 중요성을 이해할 수 없게 일깨워주었다. ConsenSys Dealth는 감사가 일반 사용자를 위해 쉽게 소화되도록 함으로써 이러한 프로세스를 단순화하는 데 탁월한 역할을 수행했다. 다음은 0x 감사 예:

이는 올바른 방향으로 나아가는 조치지만 모든 감사법인이 같은 입장에 있는 것은 아니다. 모든 감사 회사가 보안 점검에 다르게 접근하고 있으며 주요 보안 리스크가 제대로 표현되지 않고 있으며, 이는 매우 유동적인 프로토콜의 위반 측면에서 전체 DeFi 시장에 심각한 영향을 미쳤다.

감사의 표준화

이 분야의 리더들은 또한 커뮤니티의 감사 무시로 인해 DeFi의 성장이 방해받고 있다고 느낀다. DeFi Pulse의 Scott Lewis는 이 분야에서 감사 표준화의 개념을 제안했는데, 각 감사에서 프로젝트에 소요된 엔지니어링 시간, 발견된 버그 수, 위험도가 얼마나 높거나 낮은지 척도로 순위가 매겨진 버그, 그리고 기술에 정통하지는 않지만 상호작용을 원하는 사람들을 위해 읽기 쉬운 외부 의견 등을 명확히 했다.

감사 표준을 만드는 것은 DeFi를 확보한 다음 핵심 개발이어야 하며 사용자와 개발자 모두에게 이 분야의 채택을 장려하는 데 도움이 될 것이다. 최근 해킹 이력 이후, “플랫폼 리스크 측정에 있어 일관성 있게 비교 가능한 단일 가치”인 DeFi Score와 같은 커뮤니티의 감사 중요성에 대한 지식을 촉진하기 위한 새로운 개발이 이루어지고 있다. 이와 같은 앱은 감사 이력, 중앙집중화 지수, 재무 리스크 등 DApps 핵심 보안 지표를 사용자에게 알려주는 데 도움이 된다. 그들은 또한 공간에서의 보안을 증진시키고, 경험이 부족한 사용자들로 하여금 분산된 플랫폼을 시험하여 투자하도록 유도하는데 도움을 준다.

Conflux Network 보안

Conflux Network에서는 감사를 매우 중요하게 여긴다. Conflux 모든 프로토콜과 기반 인프라는 Quanstamp, Slowmist, Beosin, Peakshield와 같은 분야의 리더들에 의해 감사되어, Conflux Network를 기반으로 구축하려는 개발자들이 과거에 다른 블록체인이 직면했던 몇 가지 잠재적 공격으로부터 Conflux Network가 안전하다고 믿을 수 있다.

우리는 개발자들이 어떻게 그들의 감사 경험을 최대한 활용할 수 있는지에 대해 더 잘 이해하기 위해 맨하탄에 본사를 둔 감사 회사인 CertiK와 이야기를 나누었다. 그들은 Kava, Thorchain, 그리고 현대와 같은 여러 프로젝트에서 일했다. 다시 한 번, 큰 도약은 감사 기준 개념이 행해지는 것보다 말하는 것이 더 쉽다는 것이었다. 코드의 각 부문은 그 자체로 고유하며 수많은 프로그래밍 언어로 코딩될 수 있기 때문에, 감사 표준을 효과적으로 DeFi 프로젝트의 Catch-all 솔루션으로 적용할 수 있다고 말하는 것은 다소 순진하게 생각한 일일 것이다. 단, 프로젝트를 검토할 때는 특히 “네 개의 눈 원칙 (four-eye principle)” 및 라인별 코드베이스 심사와 관련하여 일정한 원칙을 준수해야 한다. 마지막으로 각 프로젝트의 구조와 통합을 고려하여 위험도가 높은 영역을 식별한 후 이를 강조하기 위한 방법을 설계해야 한다.

우리의 블록체인에 DApp을 배치하고자 하는 개발자로서, 그들은 항상 침해로부터 프로토콜을 추가로 보호할 수 있는 새로운 방법을 찾고 제3자 보안 점검을 최대한 활용할 수 있는 적절한 조치를 취하도록 해야 한다. CertiK는 철저한 문서 작성, 최신 보안 관행 적용, 저장소에 강력한 코드 윤리 적용, 완전한 테스트 적용, 테스트넷에 DApp의 스트레스 테스트 등에 시간을 할애할 것을 권고한다. 대부분의 경우, 이러한 보안 침해는 사실상 감사 권한을 넘어선 것이며, 감사 표준화의 개념에도 불구하고 이러한 기본 기능을 무시하는 부실한 코드는 감사에서 수리할 수 없는 것이다.

Conflux Network에서 우리는 개발자들과 긴밀하게 협력하여 개발자들이 우리의 네트워크에서 DApps를 개발하는 원활한 경험을 할 수 있도록 한다. 개발자와 사용자가 자금이 빠져나가지 않도록 DeFi 플랫폼 감사의 중요성을 그들에게 강조하는 것이 중요하다. 우리는 우리의 모든 프로토콜과 기술이 블록체인의 수준에서 엄격하게 테스트되고 안전하게 배치되어 모든 당사자들이 안전한 경험을 즐길 수 있도록 하고 프로토콜이 레이어-2 애플리케이션에 대해 동일한 것을 하도록 장려하여 우리가 함께 DeFi의 성장을 개발할 수 있도록 할 수 있다.

향후 권장 사항

이 주제에 대한 전문가 의견을 바탕으로, DeFi 위반을 제거하고 사용자 채택을 얻기 위한 다음 단계는 보안 위험을 사용자에게 알리는 데 더 중점을 두고 개발자들이 현명하고 상세하게 코딩을 하도록 장려하며, 독자들에게 주어진 노력뿐만 아니라 새로운 감사 기준을 보고서에 제시하는 것이다. 감사뿐만 아니라 감사 이력, 중앙 집중화 지수, 재무 리스크와 같은 주요 보안 공격 벡터를 쉽게 요약할 수 있다.

최근 보안 침해와 DeFi 프로토콜에 대한 감사를 둘러싼 의문에도 불구하고 업계에서는 여전히 DeFi의 기회에 대해 압도적으로 긍정적인 반응을 보이고 있다. DeFi 통계는 엄청나게 비싼 가격을 요구함에 불구하고 시장의 긍정적인 성장을 뒷받침한다. 감사 산업은 이러한 새로운 환경에 서서히 적응하고 지역사회와 긴밀히 협력하여 감사 표준이 마련되고 개발자들이 현명하게 구축되며 보안 리스크에 대한 인식을 제고하여 DeFi 사용자들이 안전하게 자금을 투자할 수 있도록 지원함으로써 코드베이스의 보안을 언제나 투명하고 안전하게 유지하여 추진에 도움을 주고 있다.

출처: https://medium.com/conflux-network/the-overlooked-element-of-defi-adoption-e3b29829e3da

 

Conflux 카카오 그룹: https://open.kakao.com/o/gmyEjl2b​

Conflux 텔레그램: https://t.me/ConfluxKorea