가장 일반적인 스마트 계약 악용은 무엇입니까?

재진입 공격

1. 재진입 공격은 초기 실행이 완료되기 전에 악의적인 계약이 취약한 계약을 반복적으로 호출할 때 발생합니다. 이 악용은 신뢰할 수 없는 코드에 제어권을 전송하는 외부 호출을 이용합니다.

2. 유명한 예는 2016년의 DAO 해킹입니다. 공격자는 잔액이 업데이트되기 전에 반복적으로 자금을 인출하여 6천만 달러 이상을 유출했습니다.

3. 이러한 공격은 종종 Ether 또는 토큰을 보내는 기능을 표적으로 삼고 확인-효과-상호작용 패턴을 따르지 않습니다.

재진입 가드를 구현하거나 직접 전송 대신 철수 패턴을 사용하면 이러한 위험을 크게 완화할 수 있습니다.

정수 오버플로 및 언더플로

1. 0.8.0 이전의 Solidity 버전에서 작성된 스마트 계약은 산술 오버플로 또는 언더플로를 자동으로 확인하지 않아 공격자가 잔액을 조작할 수 있었습니다.

2. 숫자가 최대값을 초과하고 0으로 바뀔 때 오버플로가 발생합니다. 언더플로는 0 아래로 떨어지고 최대값으로 래핑될 때 발생합니다.

3. 2018년에 BeautyChain 토큰은 전송 함수의 정수 오버플로로 인해 수백만 달러의 손실을 입었고, 이로 인해 공격자는 막대한 양의 토큰을 생성할 수 있었습니다.

SafeMath 라이브러리를 사용하거나 오버플로 검사가 내장된 Solidity 0.8.0+로 업그레이드하면 이러한 취약점을 방지할 수 있습니다.

선행 실행(거래 순서 종속성)

1. 선행 실행은 채굴자나 봇이 멤풀에서 보류 중인 거래를 관찰하고 먼저 실행하기 위해 더 높은 가스 요금으로 자체 거래를 제출할 때 발생합니다.

2. 이는 타이밍이 재정적 결과에 영향을 미치는 분산형 교환 및 경매에서 특히 널리 퍼져 있습니다.

3. 예를 들어, 사용자가 대량 구매 주문을 하면 봇이 이를 감지하고 직전에 자산을 구매한 다음 직후에 더 높은 가격에 판매할 수 있습니다.

커밋 공개 방식이나 온체인 마무리와 함께 오프체인 서명을 사용하면 프런트러닝에 대한 노출을 줄이는 데 도움이 됩니다.

보호되지 않는 업그레이드 가능성 및 소유권

1. 많은 스마트 계약에는 프록시를 사용하여 업그레이드 가능한 패턴이 포함되어 있지만 부적절한 액세스 제어로 인해 악의적인 업그레이드가 허용될 수 있습니다.

2. 소유권 권한이 제대로 관리되지 않으면 단일 키 손상으로 전체 계약 탈취로 이어질 수 있습니다.

3. 개발자가 과도한 통제권을 유지하여 러그 풀이나 승인되지 않은 자금 인출로 이어지는 경우가 있었습니다.

관리 기능 제한, 다중 서명 지갑 구현, 투명한 거버넌스 메커니즘을 통해 보안이 강화됩니다.

피싱 및 가짜 토큰 배포

1. 공격자는 사용자를 속이기 위해 인기 프로젝트를 모방한 이름과 기호가 포함된 위조 토큰을 배포합니다.

2. 이러한 토큰은 종종 분산형 거래소 목록에 나타나 거래자가 실제 자산을 쓸모없는 자산으로 교환하도록 속입니다.

3. 일부 가짜 토큰은 지갑 소프트웨어의 인터페이스 버그를 악용하여 잘못된 잔액을 표시하거나 자동 승인을 활성화합니다.

공식 채널을 통해 계약 주소를 확인하고 신뢰할 수 있는 토큰 목록을 사용하면 사기성 토큰과 상호 작용할 위험이 줄어듭니다.

자주 묻는 질문

플래시론 공격이란? 플래시 대출 공격은 DeFi 프로토콜의 무담보 대출을 활용하여 시장 상황을 일시적으로 조작합니다. 공격자는 큰 금액을 빌리고 거래를 실행하여 가격에 영향을 미치거나 논리 결함을 악용한 다음 동일한 거래 내에서 대출금을 상환하는 동시에 이익을 유지합니다.

스마트 계약이 감사되었는지 어떻게 확인할 수 있나요? 프로젝트의 공식 웹사이트나 GitHub 저장소에서 CertiK, OpenZeppelin, PeckShield와 같은 유명 기업의 감사 보고서를 확인하세요. 배포된 계약 주소를 감사 문서에 나열된 주소와 상호 참조하세요.

대리계약은 왜 위험한가요? 프록시 계약은 로직과 스토리지를 분리하여 업그레이드를 가능하게 합니다. 그러나 관리 구현이 손상되거나 제대로 설계되지 않은 경우 공격자는 논리를 악성 코드로 리디렉션하여 기본 계약 주소를 변경하지 않고도 전체 시스템을 효과적으로 장악할 수 있습니다.

배포 후 스마트 계약을 패치할 수 있나요? 불변 계약은 일단 배포되면 변경할 수 없습니다. 업그레이드 가능한 계약의 경우 개발자는 프록시 패턴을 사용하여 데이터를 보존하면서 논리를 변경합니다. 모든 패치는 새로운 취약점이 발생하지 않도록 엄격한 거버넌스 및 보안 검증을 따라야 합니다.