스마트 계약의 위험은 무엇입니까?

스마트 계약 취약점과 관련된 위험

1. 스마트 계약은 이더 리움과 같은 블록 체인 네트워크에 배포 된 코드로 작성된 자체 실행 계약입니다. 자동화와 투명성을 제공하는 동안 프로그래밍의 결함은 돌이킬 수없는 결과를 초래할 수 있습니다. 부적절한 입력 검증 또는 잘못된 논리 흐름과 같은 단일 코딩 오류로 인해 공격자는 계약을 이용하고 자금을 배수 할 수 있습니다.

2. 가장 악명 높은 사례 중 하나는 2016 년 DAO 해킹으로, 재귀적인 통화 취약성을 통해 공격자는 6 천만 달러 이상의 에테르를 철회 할 수있었습니다. 이 사건은 잘 자금을 지원하고 널리 검토 된 프로젝트에 보안을 손상시키는 중요한 버그가 어떻게 포함될 수 있는지 강조했습니다.

3. 블록 체인은 불변이기 때문에 스마트 계약이 배치되면 업그레이드 기능으로 구축하지 않으면 변경할 수 없습니다. 이 불변성은 하드 포크와 같은 외부 중재를 통해 완화되지 않는 한 배치 후 발견 된 취약성이 여전히 악용 가능하다는 것을 의미합니다.

4. 많은 개발자들은 블록 체인 환경에 특정한 안전한 코딩 관행에 대한 공식적인 교육이 부족합니다. 결과적으로 재창조, 정수 오버플로 및 체크되지 않은 외부 통화와 같은 일반적인 프로그래밍 실수는 새로운 프로젝트에서 자주 반복됩니다.

5. 표준화 된 감사 프로토콜이 없으면 살아있는 계약에서 감지되지 않은 취약점의 가능성이 높아져 사용자와 투자자가 상당한 재무 위험에 노출됩니다.

타사 의존성 및 공급망 위험

1. 현대의 스마트 계약은 종종 외부 라이브러리, 오라클 및 기타 스마트 계약에 의존합니다. 이러한 종속성은 모든 연결된 구성 요소의 타협이 전체 시스템에 영향을 줄 수 있으므로 공격 표면을 확장합니다.

2. 스마트 계약에 실제 데이터를 제공하는 Oracles는 주요 실패 지점을 나타냅니다. Oracle이 조작되거나 잘못된 정보를 공급하는 경우, 계약은 'Oracle Attack'으로 알려진 시나리오 인 False 입력에 따라 실행될 수 있습니다.

3. 개발에 사용 된 오픈 소스 구성 요소에는 숨겨진 백도어 또는 알려진 익스플로잇이있는 오래된 기능이 포함될 수 있습니다. 이러한 도구의 무결성 및 유지 보수 상태를 확인하지 못하는 프로젝트는 공급망 공격에 노출됩니다.

4. 일부 분산 금융 (DEFI) 플랫폼은 여러 타사 프로토콜을 통합하여 기능을 향상시킵니다. 그러나 하나의 통합 프로토콜이 위반을 겪는 경우 파급 효과는 상호 연결된 시스템에서 계단식 실패를 유발할 수 있습니다.

5. 외부 서비스를 심사하는 데있어 실사 부족은 생태계 내에서 체계적인 위험을 크게 증폭시킵니다.

경제 및 거버넌스 착취

1. 기술적 결함을 넘어서, 경제 설계 약점을 통해 스마트 계약을 활용할 수 있습니다. 예를 들어, 특정 행동을 보상하는 인센티브 구조는 이익을 위해 시장 조건을 조작하는 정교한 행위자들에 의해 길들일 수 있습니다.

2. 플래시 대출 공격은이 범주를 예시합니다. 공격자는 담보없이 많은 금액을 빌려, 분산 거래소에서 자산 가격을 조작하고 대출을 단일 거래 내에서 상환합니다. 이러한 공격은 유동성과 효율성을 높이기위한 메커니즘을 이용합니다.

3. 거버넌스 토큰은 보유자에게 프로토콜 변경에 대한 투표권을 부여하지만 집중된 소유권을 통해 고래는 소규모 참가자를 희생하여 스스로 이익을 얻는 결정을 촉진 할 수 있습니다.

4. 일부 계약은 중앙 집중식 멀티시 지갑에 의해 제어되는 시간 잠금 업그레이드 또는 비상 일시 정지 기능을 구현합니다. 이러한 키가 손상되거나 오용되면 거버넌스는 내부자 위협이나 강요의 벡터가됩니다.

5. 제대로 설계되지 않은 인센티브 모델과 중앙 집중식 제어 지점은 탈 중앙화 원칙을 약화시키고 조정 된 착취의 문을 열어줍니다.

자주 묻는 질문

개발자는 어떻게 스마트 계약에서 재창조 공격을 방지 할 수 있습니까? 재창조 공격은 악성 계약이 최초 실행이 완료되기 전에 반복적으로 취약한 기능으로 다시 전화 할 때 발생합니다. 개발자는 '체크-효과 상호 작용'패턴을 사용하여이를 완화 할 수있어 외부 통화 전에 상태 변경이 발생하도록합니다. 또한, 비확산 수정자를 적용하고 Mythx 또는 Slither와 같은 도구로 철저한 테스트를 수행하면 잠재적 인 문제를 식별하는 데 도움이됩니다.

스마트 계약 확보에서 감사는 어떤 역할을합니까? 감사에는 보안 전문가의 스마트 계약 코드에 대한 체계적인 검토가 포함되어 배포 전에 취약점을 감지합니다. 평판이 좋은 감사 회사는 논리 흐름을 분석하고 테스트 가장자리 사례를 분석하며 모범 사례 준수를 평가합니다. 감사는 위험을 줄이지 만, 특히 검토 후 새로운 공격 벡터가 나타나는 경우 악용으로 인한 면제를 보장하지 않습니다.

배포 후 스마트 계약을 업데이트 할 수 있습니까? 대부분의 스마트 계약은 일단 배포되면 불변이 불가능하므로 코드가 변경 될 수 없습니다. 그러나 일부는 논리를 스토리지와 분리하는 프록시 패턴 또는 업그레이드 가능한 아키텍처를 사용합니다. 이러한 설계를 통해 개발자는 사용자 데이터를 보존하면서 복잡성과 잠재적 인 보안 트레이드 오프를 도입하면서 새로운 버전의 논리 계약을 배포 할 수 있습니다.

Flash 대출이 Defi 프로토콜에 위험한 이유는 무엇입니까? 플래시 대출을 통해 차용자는 동일한 거래 내에서 상환되는 조건에 따라 무시되지 않은 대출을받을 수 있습니다. 공격자는 이러한 대출을 활용하여 분산 된 거래소에서 토큰 가격을 인위적으로 팽창 시키거나 수축시켜 스마트 계약을 잘못 평가하는 데 속합니다. 이 조작은 대출 수영장이나 가격 오라클의 도난을 용이하게합니다.