블록 체인의 스마트 계약 취약점은 무엇입니까?

스마트 계약 취약점 소개

스마트 계약은 코드에 직접 작성된 계약의 조건과 자체적으로 실행하는 계약입니다. 그들은 블록 체인 생태계, 특히 이더 리움과 같은 플랫폼에서 중요한 역할을합니다. 그러나 혜택에도 불구하고 스마트 계약에는 공격자가 악의적 인 목적으로 악용하는 취약점이 포함될 수 있습니다. 이러한 결함은 종종 코딩 오류, 감독 설계 또는 프로그래밍 구조의 부적절한 사용에서 비롯됩니다.

이러한 취약점을 이해하는 것은 개발자와 사용자 모두에게 상당한 재무 손실이나 시스템 실패를 유발할 수 있으므로 필수적입니다. 이 기사는 일반적인 유형의 스마트 계약 취약점, 이들이 나타나는 방법 및이를 완화하기 위해 어떤 단계를 수행 할 수 있는지를 탐구합니다.

재창조 공격

가장 악명 높은 스마트 계약 취약점 중 하나는 DAO 해킹에서 유명한 유명한 재창조 공격 입니다. 이 취약점은 내부 상태 변수를 업데이트하기 전에 외부 계약 전화가 이루어질 때 발생합니다. 결과적으로 공격자는 실행을 완료하기 전에 원래 함수로 재귀 적으로 다시 호출 할 수 있습니다.

이것을 설명하기 위해 :

• 계약은 에테르를 사용자 주소로 보냅니다.
• 사용자의 주소는 악의적 인 계약을 가리 킵니다.
• 계약 보내기가 잔액을 업데이트하기 전에 악성 계약은 동일한 기능을 다시 호출합니다.
• 이 재귀 루프는 계약에서 자금을 배수합니다.

완화 전략에는 다음이 포함됩니다.

• 체크-효과를 사용하여 패턴을 사용합니다
• 재입국을 방지하기 위해 뮤트 잠금 장치를 사용합니다
• 외부 주소로 직접 전송을 피합니다

개발자는 외부 통화 전에 모든 중요한 상태 변경이 발생하도록해야합니다.

정수 오버플로 및 언더 플로우

스마트 계약의 또 다른 일반적인 문제는 정수 오버플로와 언더 플로 입니다. 0.8.0 이전의 Solidity 버전에서 산술 작업은 오버플로 또는 언더 플로에서 자동으로 되돌아 가지 않았습니다. 이를 통해 공격자는 예상 범위를 넘어 값을 조작 할 수있었습니다.

예를 들어:

• 토큰 잔액이 서명되지 않은 정수로 저장되고 보유하는 것보다 더 큰 값으로 빼면 매우 많은 숫자로 감습니다.
• 공격자는 이것을 사용하여 토큰 잔액을 인위적으로 팽창시킬 수 있습니다.

이것을 싸우기 위해 :

• 내장 된 오버플로 체크를 포함하여 견고성 버전 0.8.0 이상을 사용하십시오.
• 이전 버전에 대한 Safemath 라이브러리를 구현하십시오
• 산술 작업을 수행하기 전에 입력 값을 신중하게 검증하십시오

이러한 예방 조치는 데이터 무결성을 유지하고 숫자 상태의 무단 조작을 방지하는 데 도움이됩니다.

선택되지 않은 외부 통화

스마트 계약은 종종 다른 계약 또는 외부 기능과 상호 작용합니다. 이러한 상호 작용이 제대로 점검되지 않으면 취약점을 도입 할 수 있습니다. 확인되지 않은 외부 통화는 통화 계약을 올바르게 처리하지 않고 오류를 반환하거나 오류를 던질 수 있습니다.

잠재적 위험은 다음과 같습니다.

• 유효하지 않은 계약 주소로 전송되는 자금
• 실패한 전화에도 불구하고 실행 계속
• 처리되지 않은 예외로 인한 예기치 않은 행동

모범 사례는 다음과 같습니다.

• 항상 외부 통화의 반환 값을 확인하십시오
• call , delegatecall 또는 staticcall 과 같은 저수준 통화 사용이 필요한 경우에만
• 폴백 기능이 과도한 가스를 소비하지는 않습니다

외부 상호 작용을 검증함으로써 개발자는 침묵 실패를 방지하고 계약 신뢰성을 향상시킬 수 있습니다.

가스 한계 및 루프

블록 체인 트랜잭션에는 가스 제한이 있어 트랜잭션이 수행 할 수있는 계산량이 제한됩니다. 무한한 반복이있는 루프를 포함하는 계약은이 한도를 초과하여 거래가 실패하거나 엄청나게 비싸게됩니다.

일반적인 문제는 다음과 같습니다.

• 큰 배열 또는 매핑을 통해 반복합니다
• 동적 입력을 기반으로 계산을 수행합니다
• 사용자 제어 루프 길이를 허용합니다

가스 관련 문제를 피하기 위해 :

• 가능한 경우 루프를 피하기 위해 논리를 재구성하십시오
• 무거운 계산에 오프 체인 솔루션을 사용하십시오
• 루프의 최대 반복 수를 캡하십시오

가스 효율을 염두에두고 계약을 설계하면 더 부드러운 실행과 더 나은 사용자 경험이 보장됩니다.

프론트 실행 및 거래 주문

공공 블록 체인에서는 거래가 채굴되기 전에 볼 수 있습니다. 이 투명성은 전면 달리기 공격 의 문을 열어줍니다. 악의적 인 행위자는 계류중인 거래를 관찰하고 먼저 가스 수수료로 자신을 제출합니다.

그러한 시나리오의 예 :

• 경매 입찰
• 분산 된 거래소에 대한 가격에 민감한 거래
• 상태 변경 기능은 거래 주문에 따라 다릅니다

방어 조치에는 다음이 포함됩니다.

• Commit-reveal 체계를 사용하여 민감한 데이터를 숨 깁니다
• 해당되는 경우 실행 순서를 무작위로 찍습니다
• 재정렬 트랜잭션에 탄력성이있는 시스템 설계

트랜잭션 가시성 및 광부 행동에 대한 인식은보다 안전한 스마트 계약 논리를 만들어내는 데 도움이됩니다.

자주 묻는 질문 (FAQ)

Q1 : 스마트 계약 취약점을 완전히 제거 할 수 있습니까? 모든 위험을 제거하기는 어렵지만 모범 사례에 따라 공식적인 검증 도구를 사용하고 감사 수행은 악용 가능한 버그의 가능성을 크게 줄입니다.

Q2 : 새로운 블록 체인 플랫폼이 스마트 계약 취약성에 덜 쉬운가요? 일부 최신 플랫폼에는 더 엄격한 기본 동작 (자동 오버플로 체크)과 개발 프레임 워크가 향상됩니다. 그러나 보안은 궁극적으로 플랫폼에 관계없이 개발자 근면에 달려 있습니다.

Q3 : 배포 전에 취약점에 대한 스마트 계약을 어떻게 테스트 할 수 있습니까? Slither 또는 Oyente와 같은 정적 분석 도구를 사용하고 Truffle과 같은 프레임 워크로 단위 테스트를 수행하며 전문 감사를 고려하십시오. 에지 케이스와 적대 조건을 시뮬레이션하는 것도 중요합니다.

Q4 : 스마트 계약에서 타사 라이브러리를 사용하는 것이 안전합니까? 타사 라이브러리는 감사하고 널리 사용되는 경우 안전 할 수 있습니다. 그러나 계약에 통합하기 전에 항상 소스 코드를 검토하고 그 의미를 이해하십시오.