a16z ：웹3 보안 분야의 일반적인 공격 유형 및 교훈 자세히 설명하기

원저자: Riyaz Faizullabhoy와 Matt Gleason

원제목: 《Web3 Security: Attack Types and Lessons Learned》

편집: 후타오, 체인 포착기

web3의 많은 보안성은 블록체인이 약속을 하고 인위적 개입에 대해 탄력적인 특별한 능력에 달려 있습니다. 그러나 최종성의 관련 특성------거래는 일반적으로 되돌릴 수 없기 때문에------이러한 소프트웨어 제어 네트워크를 공격자에게 매력적인 목표로 만듭니다. 사실, 블록체인------web3의 기초가 되는 탈중앙화 컴퓨터 네트워크------과 그에 수반되는 기술과 애플리케이션이 가치를 축적함에 따라, 이들은 점점 더 공격자들이 꿈꾸는 목표가 되고 있습니다.

web3가 초기 인터넷 반복과 다르지만, 우리는 이전 소프트웨어 보안 트렌드와의 공통점을 관찰했습니다. 많은 경우, 가장 큰 문제는 예전과 같습니다. 이러한 분야를 연구함으로써 방어자------개발자, 보안 팀 또는 일반 암호화 사용자------는 자신과 그들의 프로젝트 및 지갑을 잠재적인 도둑으로부터 더 잘 보호할 수 있습니다. 아래에서는 경험에 기반하여 몇 가지 일반적인 주제와 예측을 제시합니다.

• 자금을 따라가라
• 공격자는 일반적으로 투자 수익을 극대화하는 것을 목표로 합니다. 그들은 더 많은 "총 가치 잠금" 또는 TVL을 가진 프로토콜을 공격하는 데 더 많은 시간과 노력을 들일 수 있습니다. 잠재적인 보상이 더 크기 때문입니다.
• 자원이 풍부한 해커 조직은 더 높은 가치 시스템을 더 자주 겨냥합니다. 새로운 공격은 이러한 귀중한 목표를 겨냥하는 경우가 더 많습니다.
• 저비용 공격(예: 피싱)은 결코 사라지지 않을 것이며, 우리는 이러한 공격이 예측 가능한 미래에 더 보편화될 것으로 예상합니다.
• 취약점 수정
• 개발자가 오랜 공격으로부터 배우면서, 그들은 web3 소프트웨어의 상태를 "기본 보안" 수준으로 끌어올릴 수 있습니다. 일반적으로 이는 애플리케이션 프로그래밍 인터페이스 또는 API를 강화하여 사람들이 실수로 취약점을 도입하기 어렵게 만드는 것을 포함합니다.
• 보안은 항상 진행 중인 작업이지만, 방어자와 개발자는 공격자의 저비용 과실을 대부분 제거함으로써 공격 비용을 높일 수 있습니다.
• 보안 관행의 개선과 도구의 성숙에 따라, 다음 공격의 성공률은 크게 감소할 수 있습니다: 거버넌스 공격, 가격 예언기 조작 및 재진입 취약점. (아래에서 이에 대한 더 많은 내용이 있습니다.)
• "완벽한" 보안을 보장할 수 없는 플랫폼은 손실 가능성을 줄이기 위해 취약점 완화 조치를 사용해야 합니다. 이는 공격자가 비용-편익 분석의 "이익" 또는 상승 여력을 줄임으로써 공격을 저지할 수 있습니다.
• 공격 분류
• 서로 다른 시스템에 대한 공격은 그들의 공통 특성에 따라 분류할 수 있습니다. 정의된 특성에는 공격의 복잡성, 공격의 자동화 수준 및 이를 방어하기 위해 취할 수 있는 예방 조치가 포함됩니다.

다음은 우리가 지난 1년 동안 가장 큰 해킹 공격에서 본 공격 유형의 비포괄적인 목록입니다. 우리는 또한 오늘날 위협 환경에 대한 우리의 관찰과 미래 web3 보안의 발전 방향에 대한 우리의 예측을 포함했습니다.

APT 작전: 최상위 포식자

일반적으로 고급 지속 위협 (APT)으로 알려진 전문가 상대는 보안의 악마입니다. 그들의 동기와 능력은 다양하지만, 그들은 종종 부유하고 끈질깁니다. 불행히도, 그들은 계속해서 주변에 있을 가능성이 높습니다. 서로 다른 APT는 여러 가지 다른 유형의 작전을 수행하지만, 이러한 위협 참여자는 종종 목표를 달성하기 위해 회사의 네트워크 계층을 직접 공격할 가능성이 가장 높습니다.

우리는 일부 고급 그룹이 web3 프로젝트를 적극적으로 겨냥하고 있다는 것을 알고 있으며, 아직 확인되지 않은 다른 그룹도 있을 것이라고 의심합니다. 가장 주목받는 APT 뒤에 있는 사람들은 종종 미국 및 유럽 연합과 송환 조약이 없는 지역에 거주하여 그들의 활동으로 인해 기소되기 어렵습니다. 가장 유명한 APT 중 하나는 Lazarus로, 북한 조직이며, 미국 연방 수사국은 최근 그들이 지금까지 가장 큰 암호 해킹 공격을 수행했다고 밝혔습니다.

• 예시:
• Ronin 검증자가 공격받음
• 개요
• 누구: 국가, 자금이 풍부한 범죄 조직 및 기타 고급 조직 그룹. 예시로는 Ronin 해커(Lazarus, 북한과 광범위한 연관이 있음).
• 복잡성: 높음(자원이 풍부한 그룹에만 해당되며, 일반적으로 기소되지 않는 국가에서 활동).
• 자동화 가능성: 낮음(여전히 주로 일부 사용자 정의 도구를 사용하여 수동으로 작업).
• 미래에 대한 기대: APT가 그들의 활동을 수익화하거나 다양한 정치적 목적을 달성할 수 있는 한, 그들은 계속해서 활동할 것입니다.

사용자 대상 피싱: 사회 공학

피싱은 잘 알려진 보편적인 문제입니다. 피싱 공격자는 즉시 메시지를 보내어 그들의 희생자를 유인하려고 시도하며, 이러한 채널에는 즉시 메시징, 이메일, 트위터, 텔레그램, 디스코드 및 해킹된 웹사이트가 포함됩니다. 스팸 메일함을 살펴보면, 비밀번호와 같은 정보를 유출하거나 돈을 훔치려는 수백 건의 시도를 볼 수 있습니다.

현재 web3는 사람들이 자산(예: 토큰 또는 NFT)을 직접 거래할 수 있도록 하여, 피싱 활동이 그 사용자들을 겨냥하고 있다는 것을 거의 즉시 확인할 수 있습니다. 지식이나 기술 전문성이 거의 없는 사람들에게 이러한 공격은 암호화폐를 훔치는 가장 간단한 방법입니다. 그럼에도 불구하고, 조직된 그룹에게는 고가치 목표를 추적하거나 고급 그룹에게는 웹사이트 탈취와 같은 광범위한 지갑 탈취 공격을 감행하는 가치 있는 방법입니다.

• 예시
• 사용자 직접 겨냥한 OpenSea 피싱 활동
• 프론트엔드 애플리케이션을 겨냥한 BadgerDAO 피싱 공격
• 개요
• 누구: 스크립트 초보자부터 조직된 그룹까지.
• 복잡성: 낮음-중간(공격은 저품질의 "분사식" 또는 초특화일 수 있으며, 이는 공격자가 들인 노력에 따라 다릅니다).
• 자동화 가능성: 중간-높음(대부분의 작업은 자동화할 수 있습니다).
• 미래에 대한 기대: 피싱의 비용이 낮고, 피싱 공격자는 종종 최신 방어 조치를 우회하고 적응하기 때문에 이러한 공격의 발생률이 증가할 것으로 예상합니다. 교육과 인식 증가, 더 나은 필터링, 개선된 경고 배너 및 더 강력한 지갑 제어를 통해 사용자 방어를 개선할 수 있습니다.

공급망 취약점: 가장 약한 고리

자동차 제조업체가 차량 내 결함 부품을 발견하면, 그들은 안전 리콜을 발행합니다. 소프트웨어 공급망에서도 예외는 아닙니다.

제3자 소프트웨어 라이브러리는 큰 공격 면을 도입합니다. web3 이전에는, 이는 지난해 12월에 광범위하게 영향을 미친 웹 서버 소프트웨어의 log4j 취약점 이용과 같은 시스템 간의 보안 도전이었습니다. 공격자는 인터넷을 스캔하여 알려진 취약점을 찾아 그들이 이용할 수 있는 패치되지 않은 문제를 찾습니다.

가져온 코드는 프로젝트 자체의 엔지니어링 팀이 작성한 것이 아닐 수 있지만, 그 유지 관리가 중요합니다. 팀은 소프트웨어 구성 요소의 취약점을 모니터링하고, 업데이트를 배포하며, 그들이 의존하는 프로젝트의 동향과 건강 상태를 적시에 파악해야 합니다. web3 소프트웨어 취약점 이용의 실제적이고 즉각적인 비용은 이러한 문제를 사용자에게 책임감 있게 전달하는 것을 어렵게 만듭니다. 팀이 사용자 자금을 위험에 빠뜨리지 않는 방식으로 이러한 정보를 어떻게 또는 어디에서 상호 소통할지는 아직 결론이 나지 않았습니다.

• 예시
• Wormhole 브리지 공격
• Multichain 취약점
• 개요
• 누구: 조직된 그룹, 예를 들어 APT, 독립 해커 및 내부자.
• 복잡성: 중간(기술 지식과 약간의 시간이 필요).
• 자동화 가능성: 중간(결함이 있는 소프트웨어 구성 요소를 찾기 위해 자동 스캔할 수 있지만, 새로운 취약점이 발견되면 수동으로 취약점 공격 프로그램을 구축해야 함).
• 미래에 대한 기대: 소프트웨어 시스템의 상호 의존성과 복잡성이 증가함에 따라, 공급망 취약점이 증가할 수 있습니다. web3 보안을 위해 잘 정립된 표준화된 취약점 공개 방법이 개발되기 전까지는 기회주의적 해킹 공격도 증가할 수 있습니다.

거버넌스 공격: 선거 약탈자

이는 암호 산업에 특화된 첫 번째 문제입니다. web3의 많은 프로젝트는 거버넌스 측면을 포함하고 있으며, 토큰 보유자는 네트워크를 변경하는 제안을 제시하고 투표할 수 있습니다. 이는 지속적인 발전과 개선의 기회를 제공하지만, 악의적인 제안을 도입할 수 있는 뒷문을 열어 네트워크를 파괴할 수 있습니다.

공격자는 통제를 회피하고, 리더십을 탈취하며, 국고를 약탈하기 위한 새로운 방법을 설계했습니다. 공격자는 최근 DeFi 프로젝트 Beanstalk에서 발생한 사건처럼 충분한 투표를 얻기 위해 대량의 "플래시 론"을 사용할 수 있습니다. 제안의 자동 실행을 유도하는 거버넌스 투표는 공격자가 이용하기 더 쉽습니다. 그러나 제안의 수립에 시간 지연이 있거나 다수의 수동 서명이 필요한 경우(예: 다중 서명 지갑을 통해) 구현이 더 어려울 수 있습니다.

• 예시
• Beanstalk 자금 이체 사건

• 개요
• 누구: 조직된 그룹 (APT)부터 독립 해커까지.
• 복잡성: 프로토콜에 따라 낮음에서 높음까지.
• 자동화 가능성: 프로토콜에 따라 낮음에서 높음까지.
• 미래에 대한 기대: 이러한 공격은 거버넌스 도구와 표준에 크게 의존하며, 특히 모니터링 및 제안 수립 과정과 관련이 있습니다.

가격 예언기 공격: 시장 조작자

자산 가격을 정확하게 책정하는 것은 어렵습니다. 전통적인 거래 분야에서는 시장 조작을 통해 자산 가격을 인위적으로 높이거나 낮추는 것이 불법이며, 이로 인해 벌금이나 체포를 당할 수 있습니다. DeFi 시장에서는 무작위 사용자들이 "플래시 거래"를 통해 수억 또는 수십억 달러를 거래하고 가격이 갑자기 변동하는 문제가 분명합니다.

많은 web3 프로젝트는 "예언기"에 의존합니다------실시간 데이터를 제공하는 시스템으로, 체인에서 찾을 수 없는 정보 출처입니다. 예를 들어, 예언기는 두 자산 간의 교환 가격을 결정하는 데 자주 사용됩니다. 그러나 공격자는 이러한 소위 진실 출처를 속이는 방법을 찾았습니다.

예언기의 표준화가 진행됨에 따라, 체인 외부와 체인 내부 세계 간에 더 안전한 다리가 생길 것이며, 우리는 시장이 조작 시도에 대해 더 탄력적으로 변할 것으로 기대할 수 있습니다. 운이 좋다면, 언젠가는 이러한 공격이 거의 완전히 사라질 수 있습니다.

• 예시
• Cream 시장 조작
• 개요
• 누구: 조직된 그룹 (APT), 독립 해커 및 내부자.
• 복잡성: 중간(기술 지식 필요).
• 자동화: 높음(대부분의 공격은 자동화된 취약점 탐지와 관련이 있을 수 있음).
• 미래에 대한 기대: 정확한 가격 책정 방법이 더 표준화됨에 따라 감소할 수 있습니다.

신규 취약점: 알 수 없는 알 수 없는 것들

"제로 데이" 취약점 공격------이름 그대로, 이들은 공개된 지 0일인 취약점------은 정보 보안 분야의 핫 이슈이며, web3 보안 분야에서도 예외는 아닙니다. 이들은 갑자기 나타나기 때문에 방어하기 가장 어려운 공격입니다.

만약 있다면, web3는 이러한 비싼 노동 집약적인 공격을 더 쉽게 수익화할 수 있게 합니다. 왜냐하면 사람들이 한 번 도난당하면 암호화 자금을 회수하기가 매우 어렵기 때문입니다. 공격자는 체인 상의 애플리케이션을 운영하는 코드를 면밀히 연구하여 그들의 모든 노력을 증명할 수 있는 오류를 찾는 데 많은 시간을 소비할 수 있습니다. 동시에, 한때 새로웠던 일부 취약점은 여전히 무방비 프로젝트를 괴롭히고 있으며; 유명한 재진입 취약점은 초기 이더리움 프로젝트 TheDAO에서 발생했으며, 현재 다른 곳에서도 계속 재발하고 있습니다.

업계가 이러한 유형의 취약점을 분류하는 데 얼마나 빨리 또는 쉽게 적응할 수 있을지는 불확실하지만, 감사, 모니터링 및 도구와 같은 보안 방어에 대한 지속적인 투자는 공격자가 이러한 취약점을 공격하려는 비용을 증가시킬 것입니다.

• 예시
• Poly Network의 크로스 체인 거래 취약점
• Qubit의 무한 발행 취약점
• 개요
• 누구: 조직된 그룹 (APT), 독립 해커(가능성 낮음) 및 내부자.
• 복잡성: 중간-높음(기술 지식 필요하지만 모든 취약점이 너무 복잡하지는 않음).
• 자동화 가능성: 낮음(새로운 취약점을 발견하는 데 시간과 노력이 필요하며 자동화 가능성이 낮음. 발견 후 다른 시스템에서 유사한 문제를 스캔하는 것은 더 쉬움).
• 미래에 대한 기대: 더 많은 관심은 더 많은 화이트 해커를 끌어들이고 새로운 취약점을 발견하는 "진입 장벽"을 높일 것입니다. 동시에, web3 채택이 증가함에 따라 블랙 해커들이 새로운 취약점을 찾으려는 동기도 증가하고 있습니다. 많은 다른 보안 분야와 마찬가지로, 이는 여전히 고양이와 쥐의 게임이 될 가능성이 높습니다.