DeFi 세계의 안전 문제는 빈번하게 발생하고, 해커 보상 사냥꾼 플랫폼 Immunefi가 이를 해결할 수 있을까?

저자: 노야피

3년 전, DeFi에 잠금된 암호화폐 총 가치는 8억 달러에 불과했습니다. 2021년 2월까지 이 숫자는 400억 달러로 증가했으며, 2021년 4월에는 800억 달러의 이정표에 도달했습니다. 현재 이 가치는 2460억 달러를 초과했습니다. 이 새로운 분야는 자본 유동성의 가치를 빠르게 성장시키고 있습니다.

해커의 관점에서 볼 때, DeFi 생태계에 대한 공격은 이상적이고 빠른 부의 수단으로, 여기서는 다양한 해커와 사기꾼의 놀이터가 되고 있습니다. CipherTrace는 최신 '암호 자산 범죄 및 자금 세탁 방지 보고서'에서 7월 말 기준으로 DeFi와 관련된 해킹 사건이 사용자들에게 3.61억 달러의 손실을 초래했다고 지적했습니다. 그들의 주요 수법은 무엇이며, 우리는 어떻게 대응해야 할까요?

DeFi 프로토콜의 자금은 어떻게 도난당하는가?

REENTRANCY ATTACK(재진입 공격)

뚜렷한 예는 2020년 4월 19일에 발생한 DForce 해킹 사건입니다.

DeFi 프로토콜에서 스마트 계약은 다음의 네 가지 인출 단계를 가지고 있습니다:

사용자가 계약을 호출하여 계약에서 모든 자금을 인출할 준비를 합니다.

계약은 사용자가 계약에 자금을 가지고 있는지 확인합니다.

계약은 사용자가 계약에 있는 자금을 사용자에게 전송합니다.

계약은 스스로 업데이트되며, 사용자는 계약에 자금이 없습니다.

재진입 취약점은 해커가 계약이 완전히 실행되기 전에 계약을 다시 호출할 수 있게 합니다(‘재진입’). 위의 예에서 공격자는 세 번째 단계와 네 번째 단계 사이에 계약에 재진입하여 사용자 잔액이 업데이트되기 전에 다시 인출할 수 있습니다. 이 과정을 반복함으로써, 그들은 계약에서 모든 기존 자금을 인출할 수 있으며, 반복적으로 자금을 인출하여 2500만 달러를 도난당했습니다.

FLASH LOAN ATTACK(플래시 론 공격)

최근 플래시 공격은 가장 인기 있는 해킹 공격 방법이 되었습니다. 플래시 론은 단 한 번의 블록체인 거래 내에서만 유효한 대출로, 채무 불이행 위험이 없습니다. 이는 대출자가 주어진 시간 내에 대출 금액을 대출자에게 반환하는 조건으로 대출자에게 어떤 금액의 대출을 제공하는 것을 의미합니다. 그렇지 않으면 대출자는 전체 거래를 롤백할 수 있습니다. 해커는 대출 메커니즘을 우회하여 자산 가격 조작과 같은 다양한 취약점을 초래합니다.

플래시 론 공격은 특정 플랫폼의 스마트 계약 보안성을 악용하는 것으로, 공격자는 일반적으로 담보 없이 대량의 자금을 빌립니다. 그런 다음 그들은 거래 플랫폼에서 암호화폐 자산의 가격을 조작하고, 신속하게 다른 거래 플랫폼에서 재판매합니다.

스마트 계약의 취약점

코딩 오류는 부주의하게 실행된 스마트 계약 보안 감사 또는 검토되지 않은 스마트 계약 취약점 및 약점에서 발생합니다. 안타깝게도 많은 블록체인 프로젝트의 창립자들은 테스트 커버리지가 부족한 상태에서 프로젝트를 운영하기로 결정하고, 보안 감사의 중요성을 무시하여 공격받을 가능성을 증가시키고 투자자에게 손실을 초래했습니다.

가격 오라클(oracle)의 조작: 대표 사례 Maker Dao

스마트 계약의 실행은 가격 오라클이 제공하는 정확한 데이터에 의존합니다. 그러나 이러한 가격 데이터를 얻는 것은 사람들이 원하는 만큼 안전하고 신뢰할 수 없습니다. 오라클이 부정확한 데이터를 제공하면 스마트 계약은 거래를 잘못 실행하게 됩니다. 이 사실은 가격을 조작하려는 해커에게 유리합니다. 오라클이 의존하는 정보 출처를 조작하여 단기간에 가격을 조작하여 체인 상의 가격을 오도하는 것은 전형적인 오라클 공격으로, 본질적으로 오라클을 조작하여 내부와 외부 가격 차이를 발생시키고 플래시 론과 같은 새로운 금융 도구를 이용해 차익을 취하는 것입니다.

Defi 취약점 보상 플랫폼의 출현

전통적인 웹사이트와 애플리케이션 버그 보상 플랫폼인 HackerOne과 BugCrowd는 이러한 구세계 모델에서 성공을 거두었습니다. 그러나 기존의 'Web 2.0' 버그 보상과 블록체인 및 암호화폐와 관련된 'Web 3.0' 버그의 새로운 시대 사이에는 큰 차이가 있습니다. 분산 금융(DeFi) 시대에서 Web 3.0 취약점 보상의 핵심 특성은 실제 화폐 가치와 관련이 있으며, 단순히 소프트웨어 취약점에 국한되지 않습니다.

Immunefi란 무엇인가?

Immunefi는 2020년 12월에 출시되어 버그 보상을 통해 스마트 계약 보안을 제공합니다. 더 중요한 것은, 그들이 세계 최고의 버그 보상 플랫폼이라고 주장하고 있다는 것입니다! Immunefi는 DeFi 해킹 공격 문제를 억제할 야망을 가지고 있습니다. 이를 위해 블록체인 프로젝트에 컨설팅 서비스, 취약점 탐지, 프로젝트 관리, 그리고 가장 중요한 것은 화이트 해커 팀을 제공합니다. Immunefi는 DeFi 프로토콜과 해커를 연결하여 플랫폼과 사용자의 자산을 보호하고자 합니다.

취약점(Bug) 보상이란 무엇인가?

취약점 보상 프로그램은 스마트 계약 및 애플리케이션의 잠재적 취약점을 발견한 보안 연구자에게 보상을 제공합니다. 또한, 보상은 화이트 해커가 취약점을 발견하고 프로젝트에 보고하도록 유도하며, 프로젝트는 취약점의 심각도에 따라 그들에게 보상을 지급합니다.

전통적인 버그 보상이 직면한 난관

1. 경제적 유인

세계는 해커를 화이트 해커와 전통 해커로 나누지만, 대부분은 회색 지대에서 활동합니다. 예를 들어, 500만 달러를 빠르게 벌 수 있는 취약점을 발견한 해커는 큰 이익 앞에서 도덕적 딜레마에 빠질 수 있습니다. 그는 올바른 일을 하여 버그가 있는 플랫폼과 협상하여 5천 달러의 버그 보상을 받을 것인가? 아니면 그 버그에 대해 스스로 행동할 것인가? 일관되고 공정한 화이트 해커 보상 시스템이 없다면, 인간의 어두운 면에 대한 유혹은 영원히 존재할 것입니다.

2. 보고

DeFi 프로젝트는 일반적으로 버그 보상 사건을 처리할 책임자가 없습니다. 따라서 화이트 해커가 취약점을 보고하려고 할 때, 의사 결정자를 찾으려 할 것입니다. 또한, CTO가 외부에서 코드에 결함이 있다는 위험 경고를 받으면, 그들의 자존심이 쉽게 우위를 점할 수 있으며, 보상 사냥꾼은 환영받지 못합니다. 버그 발견 과정이 적절한 경로를 통해 회사 책임자에게 보고되더라도, 회사가 보상을 할 것이라는 보장은 없습니다. 재무 부서는 개발 팀과 취약점 보상의 가치에 대해 이견을 가질 수 있으며, 전체 과정은 일련의 교착 상태에 빠질 수 있습니다.

Immunefi의 보상 프로그램

Immunefi 플랫폼은 그들의 화이트 해커와 프로젝트 팀을 대신하여 처리/소통 및 협상하여 효율성을 크게 높이고 양측의 시간 비용을 절감합니다. Immunefi는 해커의 익명성을 유지하며 KYC 문서 제공을 요구하지 않습니다.

Immunefi 플랫폼은 이미 몇 가지 수익성 있는 보상을 발표했으며, 고객인 Astroport는 최대 300만 달러의 보상을 제공합니다. 다른 주목할 만한 보상은 Celer에서 제공하며, 최대 20만 달러, xDAI는 최대 200만 달러, Sushi는 125만 달러의 보상을 발표했습니다.

Immunefi는 현재 7100만 달러의 보상금을 보유하고 있으며, 버그 사냥 작업을 취미에서 실행 가능한 직업으로 전환하고자 합니다. 현재까지 이 플랫폼은 1000만 달러 이상을 지급하여 고객이 200억 달러의 손실을 피하도록 도왔습니다.

보상 프로그램을 어떻게 시작할까?

고객이 Immunefi 버그 보상 등록 양식을 작성하면, 그들은 설문지를 받게 됩니다.

Immunefi는 이러한 질문의 답변을 바탕으로 버그 보상 프로그램 초안을 작성하기 시작하며, 이 초안은 고객에게 검토를 위해 전송됩니다. 수정이 완료되면, 해당 프로그램은 Immunefi의 운영 전문가에게 전달됩니다. 운영 전문가는 프로젝트 팀과 협력하여 보상 활동의 시작 시기와 보상의 PR/마케팅 세부 사항 및 비용과 지급 방법을 결정합니다.

Immunefi에서 버그 보상을 게시하는 데는 선불 비용이 필요하지 않습니다. 해커가 실제 취약점을 발견하면, 고객은 버그 보상의 기본에 따라 Immunefi에 10%의 성과 수수료를 지불하면 됩니다.

DeFi 분야의 빠른 발전과 함께 발생하는 보안 문제는 대부분의 플랫폼과 사용자 자금에 손실을 초래했습니다. 이는 아마도 Immunefi가 DeFi의 새로운 버그 보상 및 보안 서비스 플랫폼 중 하나로서 가치를 신속하게 포착할 수 있었던 이유를 설명할 수 있습니다. 현재까지 550만 달러의 자금을 조달했으며, Electric Capital이 주도하고 Blueprint Forest, Framework Ventures, Bitscale Capital, P2P Capital, IDEO Colab, The LAO, BR Capital, 3rd Prime Ventures, North Island Ventures 및 기타 개인 투자자들이 참여했습니다.

Amador는 TechCrunch와의 인터뷰에서 "현실은 Web 3가 더 적대적인 환경이라는 것입니다. 이는 보고서 제출 및 처리, 보고서 검증, 지급 협상 등 모든 부분이 이전과 다르다는 것을 의미합니다. 전통적인 Web 2 버그 보상은 편리한 오류 수정 도구인 반면, 우리의 Web 3 버그 보상은 DeFi 프로젝트의 더 중요한 비상 시스템입니다."라고 덧붙였습니다.

DeFi 생태계의 구성 요소가 계속해서 풍부해지고 성장함에 따라, 보안 문제는 여전히 머리 위에 걸린 다모클레스의 검처럼 존재하고 있으며, DeFi가 해커의 공격을 받는 사건은 여전히 멈추지 않을 것이며, 앞으로도 계속 발생할 것입니다. 이는 더 이상 설명할 필요가 없습니다.