DeFi 프로토콜 궁극적인 보안 가이드
TVL이 높다고 해서 절대적으로 안전하다는 것은 아니며, 감사 보고서도 맹목적으로 믿어서는 안 된다.저자:Ignas
편집:Crush, Biteye 핵심 기여자
FTX의 붕괴는 자가 관리와 위험 관리의 중요성을 증명했습니다. 그러나 DeFi에서는 여전히 많은 취약점, Rug Pull 및 계약 BUG가 존재하여, 조금만 방심하면 손실을 입을 수 있습니다.
오늘 이 글에서는 자산을 보호하기 위해 프로젝트의 안전성을 평가하는 방법에 대해 이야기하겠습니다.
만약 당신이 경험이 풍부한 스마트 계약 개발자라면, 직접 프로젝트 코드의 안전성을 검증할 수 있다면 더할 나위 없이 좋겠지만, 대부분의 사람들은 그렇지 않다고 믿습니다.
그래서 우리는 다른 데이터를 기반으로 프로젝트를 평가할 수밖에 없으며, 이는 어느 정도 신뢰를 필요로 합니다.
TVL이 높다고 반드시 안전할까?
잘 알려진 바와 같이, 대부분의 사람들은 스마트 계약에 예치된 자산 가치를 통해 DeFi 프로젝트의 우열을 평가합니다. 따라서 많은 사람들은 TVL이 어느 정도 이 프로젝트의 안전성을 반영할 수 있다고 생각합니다.
잠금된 자산이 많을수록 이 프로토콜의 안전성이 높다는 것을 의미합니다. 이렇게 생각할 수 있습니다. 이렇게 많은 자금을 잠글 수 있는 프로토콜이라면, 이 돈을 예치한 사람들은 충분한 조사를 통해 프로토콜의 안전성을 확인했기 때문에 돈을 넣었을 것입니다.
불행히도, TVL은 종종 잘못된 안전감을 줍니다. 한편으로는 높은 TVL의 프로토콜이 더 안전하다고 생각하지만, 해커들도 이러한 프로토콜을 공격 대상으로 삼기 때문에 더 많은 이익을 얻을 수 있습니다. 다른 한편으로는 낮은 TVL이 반드시 프로토콜이 안전하지 않다는 것을 의미하지는 않습니다.
따라서 단순히 TVL만으로 프로토콜의 안전성을 판단하는 것은 다소 애매할 수 있습니다.
우리는 TVL을 기준으로 기존 DeFi 프로젝트를 순위 매겨 보겠습니다:
이 그림을 보고 나서
당신은 여전히 높은 TVL이 반드시 안전하다고 생각하나요?
그림 속에서 어떤 프로토콜이 신뢰할 수 없다고 생각하나요? 그 이유는 무엇인가요?
직접 검증하기
「신뢰하지 말고, 검증하라」는 우리가 스마트 계약 감사의 이유입니다. 그렇지 않았다면 우리는 감사가 필요하지 않을 것입니다. 코드가 오픈 소스이기 때문에 커뮤니티는 코드의 모든 문제를 찾을 수 있습니다. 그러나 커뮤니티는 코드 검증을 위한 올바른 동기, 인센티브 또는 전문 지식이 부족할 수 있습니다.
따라서 감사자는 충분히 전문적이어야 하지만, 더 중요한 것은 감사자 자신이 문제를 일으키지 않아야 한다는 것입니다. 예를 들어, 유명한 감사 회사인 Certik이 감사한 많은 프로젝트가 여전히 해킹당했으며, 이는 방지하기 어려운 일입니다.
동시에 감사 회사는 자신의 명성을 쌓고 있습니다. 그들이 감사(및 안전하다고 평가한) 프로토콜이 해킹당하면, 이는 비전문적인 인상을 줍니다. 사실 Certik은 3422개 이상의 프로젝트를 감사했기 때문에, 그 중 일부 프로젝트가 해커의 공격을 받거나 취약점이 있는 것은 피할 수 없는 일입니다.
따라서 단순히 감사를 받았다고 해서 프로토콜이 안전하다는 것을 의미하지 않습니다. 나는 어떤 프로젝트가 자랑스럽게 「감사를 완료했다」고 발표하는 것을 보았지만, 감사 보고서를 읽어보면 그들의 안전 점수가 실제로는 매우 낮다는 것을 발견했습니다.
내가 감사 보고서를 읽고 싶지 않다면 어떻게 해야 할까요?
사실 대부분의 사람들은 감사 보고서를 읽지 않습니다. 그러나 Certik은 모든 감사 프로젝트를 포함한 데이터 대시보드를 가지고 있으며, 이 대시보드에서 프로젝트의 「신뢰 점수」를 확인할 수 있습니다. 숫자가 높을수록 안전하다는 것을 의미합니다.
다른 감사 기관인 Hacken도 유사한 데이터 대시보드를 제공합니다. 또는 아래의 Trader Joe 예시처럼 감사 요약을 간단히 읽어볼 수 있습니다. 이는 Paladin에 의해 감사되었습니다.
번역자 주: Trader Joe는 Avalanche에서의 원스톱 거래 플랫폼입니다. 거래 및 대출 기능을 제공하며, 레버리지 거래를 제공할 수 있습니다.
여기서의 데이터를 통해 우리는 Trader Joe가 모든 중간 및 높은 위험 문제를 수정했지만, 낮은 위험 문제에 대해서는 여전히 일부가 수정되지 않았음을 알 수 있습니다.
감사는 시작일 뿐입니다
프로젝트의 안전성을 평가하기 위해서는 더 많은 요소를 고려해야 합니다:
충분한 테스트
보상 활동
문서의 공개 투명성
관리 통제
오라클 문서
고려해야 할 사항이 너무 많아서, 모든 것을 직접 검증하려면 아마도 힘들 것입니다. 여기서 우리는 DeFi Safety를 언급해야 합니다. 이들은 이러한 프로토콜을 검증하고 안전 점수를 제공합니다.
그들이 제공한 결과에 따르면, Liquity Protocol, Synthetix 및 Angle Protocol은 모든 검증된 DeFi 프로토콜 중 가장 안전한 것으로 나타났습니다.
Defi Safety에서는 더 많은 세부 정보를 확인할 수 있습니다. 예를 들어, Liquidy protocol은 여전히 형식 검증이 필요합니다.
번역자 주: 컴퓨터 하드웨어 및 소프트웨어 시스템 설계 과정에서 형식 검증의 의미는 특정 형식 규범 또는 속성을 기반으로 수학적 방법을 사용하여 그 정확성 또는 비정확성을 증명하는 것입니다.
또한 Exponential DeFi를 통해 지갑의 투자 포트폴리오에 대한 안전성 평가를 수행할 수 있습니다.
「지갑 평가」 기능은 현재 투자에 대한 위험 분석을 제공합니다. 예를 들어, Tetranode의 자산 중 450만 달러의 자산이 위험이 높은(C 등급) 프로토콜에 예치되어 있습니다.
번역자 주: Tetranode는 익명의 고대 거대 고래로, 약 10억 달러의 암호 자산을 보유하고 있다고 전해지며, 그는 2009년에 비트코인에 접촉하였고 이후로도 비트코인에 대한 높은 신념을 유지하고 있습니다.
Elemental DeFi는 프로젝트 평가에 따라 점수를 부여하며, 이 평가는 자산 위험, 코드 품질 및 자산이 저장된 블록체인의 안전성을 고려합니다. 이러한 간단하고 이해하기 쉬운 위험 설명은 나를 매료시킵니다.
예를 들어, Abracadabra의 스테이블코인 MIM은 직접 경고를 제공합니다: SPELL이 담보로 사용되면 부실 채권이 발생할 수 있습니다.
번역자 주: Abracadabra는 수익 자산 스테이블코인 프로토콜로, 사용자는 수익 증명서를 사용하여 스테이블코인 MIM을 스테이킹하고 발행할 수 있습니다.
모르면 물어보세요
마지막으로 소개할 방법은 프로젝트 커뮤니티에 직접 참여한 후, 다음 몇 가지 질문을 생각해보는 것입니다:
그들은 보험 기금을 가지고 있나요?
그들은 질문을 회피하나요?
그들은 안전성을 높이기 위해 무엇을 하고 있나요?
예를 들어, 나는 이전에 Stargate 팀에게 그들이 해커의 침입을 방지하기 위해 보험 기금을 가지고 있는지 물어본 적이 있습니다. 그러나 때때로 정확한 답변을 얻는 것은 그렇게 간단하지 않으며, 프로젝트 측은 종종 여러 가지로 질문을 회피합니다. 이는 위험 신호처럼 보이며, 경계를 높일 수밖에 없습니다.
하지만 무슨 일이 있어도 DeFi는 아직 젊고, 갈 길이 멀기 때문에 모든 계란을 한 바구니에 담지 않는 것이 좋습니다!
