OKEx Academy Talks 요약 : DCEP – DeFi 투자자의 보안을 보장하는 방법은 무엇입니까?

탈 중앙화 금융의 줄임말 인 DeFi는 2019 년부터 암호 화폐 공간에서 유행어가되었습니다. DeFi가 성장함에 따라 우리는 금융의 미래로 한 걸음 더 나아가고 있습니다. 오늘날 모든 금융 서비스에 대해 저축, 대출, 거래 등을위한 글로벌하고 투명한 프레임 워크 구축.

OKEx Academy는 일부 특별 게스트와 함께 온라인 웨비나를 마련하여 DeFi 보안에 대한 통찰력과 DeFi 투자자가 투자를 안전하게 보장 할 수있는 방법을 공유했습니다..

이 기사는 토론의 요약을 안내합니다..

초청 연사:

Yu Guo-SECBIT Labs 설립자

Dominik Teiml-Certik의 수석 이더 리움 감사관

Zhengchao Du-Slowmist의 수석 보안 엔지니어

중재자:

Michael Gui-Boxmining

남자 이름: 탈 중앙화 금융은 빠른 속도로 성장하고 있으며, 현재 우리는 DeFi 스마트 계약에 잠긴 암호 화폐와 함께 8 억 달러 이상을 보유하고 있습니다. 이러한 계약이 분산되어 있으므로 제작자는 이러한 계약 뒤에있는 코드가 안전한지 확인해야합니다. 그렇게하지 않으면 재앙적인 해킹이 발생할 수 있습니다. 예를 들어 2 주도 채 안되어 해커가 dForce 계약에서 2,500 만 달러 상당의 암호를 “훔쳤습니다”. 해킹으로부터의 보안은 DeFi의 장기적인 성장을 보장하는 데 가장 중요합니다. 다행히 오늘은 보안 전문가 패널이 있습니다..

DeFi 비평가의 비판적 인용으로 시작 "프로젝트가 실패하고 자금이 손실 될 때만 DeFi에 대해 배웁니다.". 탈 중앙화 금융의 가장 큰 보안 위험은 무엇이라고 생각하십니까??

SECBIT: DeFi는 여러 팀에서 개발 한 여러 모듈로 구성된 코드를 기반으로합니다. 기본 모듈, 빌딩 블록에 대한 오해는 더 큰 손실을 가져올 것입니다. 각 모듈의 인터페이스는 명확화, 지정 또는 형식화가 쉽지 않습니다..

Certik: 키 보안, 프런트 엔드 및 / 또는 DNS 서버 하이재킹, OpSec 등과 같은 오프 체인 항목 외에도. 가장 큰 온 체인 위험은 실행 부정확성 (Hegic 버그) 및 다른 계정과의 상호 작용, 즉 : 조작 가능한 오라클 (bZx 해킹) 및 재진입 공격 (Uniswap & Lendf.me 마구 자르기)

슬로우 미스트: 분산 형 금융은 상호 운용성, 프로그래밍 가능성 및 구성 가능성의 세 가지 주요 기능을 제공합니다. 이 세 가지 기능 덕분에 레고 블록 결합과 같은 모든 종류의 스마트 계약을 결합 할 수있어 풍부한 금융 상품과 무한한 가능성을 제공합니다. 그러나 DeFi는 위험이 증폭 될만큼 복잡한 시스템입니다. 즉, 중앙 집중식 금융 시스템의 경우 표준 작업 및 액세스 권한 제한을 통해 가능한 위험 시나리오를 제어 할 수 있으며, DeFi의 경우 계약 표준을 충족하는 두 계약 중 하나를 함께 결합 할 수 있습니다. 더 많은 가능한 시나리오와 각각의 새로운 시나리오는 잠재적 인 새로운 위험을 가져옵니다. 무엇보다 중요한 것은 표준의 기능이 어떤 상황에서도 결함이 될 수 있다는 것입니다..

남자 이름: DeFi로 완전한 안전을 달성 할 수 있습니까??


SECBIT: 성배입니다. 이론적으로나 실제적으로 목표에 도달하는 것은 불가능합니다. 모든 보안은 가정을 기반으로합니다. 시스템이 복잡할수록 더 많은 보안 가정에 의존합니다. 그러나 이러한 안전 가정의 신뢰성은 알려져 있지 않습니다. 대부분의 경우 이러한 안전 가정은 느슨해 질 수 있습니다..

이론적으로 안전의 정의는 다소 모호합니다. 예를 들어 정수 오버플로가없는 특정 안전성을 정의 할 수 있습니다. 그러나 일반적으로 불완전합니다. DeFi의 개념이 계속 성장함에 따라 안전의 의미도 커지고 있습니다. 안전의 완전한 개념을 정의하는 방법은 없습니다..

금융은 본질적으로 위험합니다. 일반적으로 이익은 위험 감수에서 발생합니다. 이제 재무 위험은 계산의 복잡성과 혼합되어 결합 된 위험을 제어하기가 더 어렵습니다. 실제로 안전은 확인하기 어렵고 확인하기도 어렵습니다. 다양한 수준, 보안 가정, 블록 체인, 가상 머신 및 컴파일러, 라이브러리, 코드 논리, 서비스 인터페이스에서 안전 문제가 발생할 수 있습니다. 그들 중 어느 것도 버그없이 쉽게 얻을 수 없습니다.

DeFi의 유망한 기능 중 하나는 스마트 계약이 서로 다른 팀에서 개발 된 경우에도 스마트 계약이 매우 구성 가능하다는 것입니다. 그러나 우리는 인터페이스에서 발견 된 버그 (예 : ERC777, ERC827, ERC 233)를 보았습니다. 구성 가능성은 시스템을 더 개방적이고 역동적으로 만들 것입니다. 많은 전통적인 접근 방식은 정적 시스템을 안전하게 만드는 것이 새롭고 개방적이며 동적이며 거대한 시스템에서는 작동하지 않습니다..

세르 틱: 안전은 수익 감소의 문제입니다. 논리의 역설 인 검증 자체에서 실수를 할 수 있기 때문에 논리 추론이 타당하다는 것을 결코 확신 할 수 없습니다. 같은 방식으로 우리는 어떤 것이 안전하다고 100 % 확신 할 수 없습니다. 그러나 적절한 조치를 통해 높은 수준의 보안을 보장 할 수 있다는 점은 매우 낙관적입니다. 광범위하고 집중적 인 감사, 공식 검증, 관대 한 버그 바운티…

더 흥미로운 질문은 이러한 확장 여부입니다. 보안을 자동화하는 도구를 찾을 수 있습니까? 아직 아무도 그것을 달성하지 못했습니다. 아직 열린 질문입니다.

슬로우 미스트: DeFi를 포함한 모든 제품에 대한 완전한 보안은 불가능합니다. 보안에는 해커가 얻을 수있는 혜택보다 훨씬 더 많은 비용이 들기위한 대책이 포함된다는 것을 인식해야합니다. 그리고 보안은 역동적이고 새로운 시나리오, 새로운 기술 및 DeFi 제품의 반복은 새로운 보안 문제를 일으킬 수 있으므로 한 번에 보안을 유지할 수 없습니다..

남자 이름: Vyper (Ethereum), Haskell (Cardano)과 같은 새로운 프로그래밍 언어가 채택되면 이것이 블록 체인 보안에 도움이 될 것이라고 생각하십니까??

SECBIT: Vyper는 대부분의 개선점 인 견고 함과 거의 비슷합니다. 반면에 Haskell은 더 수학적입니다. 그러나 내가 말했듯이 가장 큰 보안 문제는 언어 수준이 아니라 논리 수준에서 발생합니다. 새로운 공격은 순전히 언어 수준이 아니며 전체 블록 체인 시스템에서 나왔는데 이는 매우 복잡합니다. 해커들은 우리가 전에 보지 못했던 새로운 공격을 계속 발명하고 있습니다. 새로운 취약점은 컴파일러에 내장 된 도구로 탐지하기 어렵습니다. 공격이 자동으로 방지 될 것이라고는 상상할 수 없습니다. 언어 도구가 개선되고 있더라도 논리 수준에서 비롯된 더 많은 취약점을 보게 될 것입니다. 코드는 전문가의 감사를 받아야합니다..

정적 타이핑이 프로그래머가 어리석은 실수를하는 것을 방지하는 프로그래밍 언어 커뮤니티의 작업에 감사드립니다. 예를 들어, Facebook에서 제안한 MOVE라는 언어는 Libra 체인에서 실행됩니다. 그것은 RUST의 아이디어를 빌려 "이동 대 복사", "소유권 및 차용". 정적 유형 시스템은 디지털 자산의 총량이 변경되지 않도록하여 개발자 나 해커가.

반면에 우리는 공식적인 사양이나 공식적인 검증이 필요합니다. "단정" 어느 정도. 100 %가 아니라 최대한의 안전을 위해 우리는 수학에만 의존합니다. 그러나 도구와 관행은 아직 진행 중입니다. CertiK 팀의 작업을 제안합니다..

세르 틱: 아마. 생태계의 초기 단계에서 보안을 과소 평가했다고 생각합니다. 나중에 변경하기 매우 어려운 아키텍처 결정을 내 렸습니다. EVM에는 동적 점프가있어 정적 분석이 매우 번거롭고 이점이 거의 없습니다. 내 생각에 0.5 이후의 견고성은 보안에 중점을 두어 뒤따른 잘못된 언어 디자인 결정의 일부를 뒤집 었습니다..

Vyper가 더 좋지만 안타깝게도 큰 프로젝트를위한 프로덕션 준비가되어 있지 않으며 중요한 기능이 많이 부족합니다..

저는 실제로 이러한 EVM이 부과하는 문제를 극복하고 이더 리움 스마트 계약의 공식 검증을보다 쉽게 ​​허용하는 EVM 대상 프로그래밍 언어 인 DeapSEA에 대해 흥분됩니다. Certik과 Yale에서 개발 중이며 곧 더 자세히 듣겠습니다..

그것은 더 긴 지평선에 있지만 eWASM으로의 전환은 보안을 위해 훌륭 할 것이라고 생각합니다. wasm은 훨씬 더 보안에 중점을 둘뿐만 아니라 보안 도구의 에코 시스템을 활용할 수 있습니다..

슬로 미스트 : 이러한 언어에는 자체 보안 기능이 있습니다. 예를 들어, Vyper는 산술 계산에 적용되는 많은 오버 플로우 검사를 수행하며 Haskell과 같은 기능 언어는 공식 검증에 도움이 될 수 있습니다. 그러나 보안은 다차원 적이며 프로그래밍 언어 보안 기능과는 별도로 제품 개발 보안 및 비즈니스 로직 보안은 언어만큼 중요합니다..

Michael : 지금까지 겪은 가장 파괴적인 계정 해킹은 무엇입니까? 공유 할 수있는 개인적인 경험?

SECBIT: 열쇠 도난. 우리 고객 중 한 명으로부터 수백 ETH. 그러나 우리에게 도움을 요청하는 사례가 더 많았습니다. 사람들은 니모닉 코드 나 암호를 잊어 버렸습니다. 보안 세계의 또 다른 딜레마입니다. 안전한 암호를 어떻게 기억할 수 있습니까? 약한 암호는 기억하기 쉽지만 엔트로피가 낮습니다. 무차별 대입 공격에 취약합니다. (예 : Rainbow Table Attack); 더 임의의 암호는 기억하기가 매우 어렵습니다. 종이에 쓰나요? 우리는 다른 아침에 신문을 잊을 수 있습니다.

Certik : 제가 작업 한 프로젝트 중 해킹 된 프로젝트가 없다는 것은 다행입니다..

슬로 미스트 : 저희 팀에서 명명 한 이더 리움 블랙 발렌타인 데이. 이 보안 사고는 2018 년 3 월에 처음 발견되었습니다. 해커는 우리가 처음 발견하기 전에 2 년 동안 자동 스크립트를 사용하여 사용자의 지갑에서 eths 및 기타 토큰을 훔쳤습니다. 지금까지 현재 가치가 천만 달러 인 약 54864 ETH가 6679 개의 지갑에서 도난당했습니다. 이 해킹은 영향력과 지속 시간을 고려할 때 매우 인상적입니다..

Micahel : 시청자를위한 보안 팁이 하나만 있다면-시청자를 잠재적으로 수천 달러를 절약 할 수있는 팁입니다.?

SECBIT: 니모닉 코드를 기억하는 연습; 나는 그것이 어렵다는 것을 압니다. 매우 어렵습니다. 하지만 저를 믿으세요. 이것이 디지털 자산을 안전하게 유지하는 유일한 방법입니다. 서비스 제공 업체에 보안 및 위험 관리에 얼마나 많은 예산을 썼는지, 어떤 조치를 취했는지 물어보고 웹 사이트의 감사 보고서, 시스템 설계 문서와 같은 자료를 읽어보십시오. 블록 체인에서 사업을 진지하게 운영하는 공급자는 이에 대해 엄격한 정책을 가져야한다고 생각합니다..

Certik : 보고서를 읽으십시오. 분산 된 애플리케이션을 사용하기 전에 감사 보고서를 읽으십시오. 때때로 우리는 감사 중에 지적되고 수정되지 않고 나중에 악용되는 취약성을 확인합니다. 마지막으로 발행 된 보고서에 중요하거나 중요한 취약점이 언급되어 있는지 확인.

슬로우 미스트 : 개인 자산의 경우 인터넷에서 개인 키를 보호하는 것이 좋습니다..

DeFi 제품의 암호 화폐의 경우 DeFi 제품 및 플랫폼을 선택할 때 사용자가 위험 제어 메커니즘과 뛰어난 타사 보안 팀의 보안 감사 보고서 승인에주의를 기울여야합니다. 게다가 보안은 역동적이기 때문에 누구나 때때로 defi 제품과 플랫폼의 보안 배경을 확인해야합니다..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map