스마트 계약을 해킹 할 수 있습니까?

스마트 계약의 취약점 이해

스마트 계약은 코드 라인에 직접 작성된 이용 약관과 자체 사전 계약입니다. 그들은 Ethereum과 같은 블록 체인 네트워크에서 작동하며 사전 정의 된 조건이 충족 될 때 조치를 자동으로 실행하도록 설계되었습니다. 그들의 견고성에도 불구하고, 스마트 계약은 코딩, 논리 오류 또는 기본 블록 체인 플랫폼의 취약점으로 인해 실제로 해킹 될 수 있습니다 .

한 가지 주요 관심사는 블록 체인의 불변의 특성에 있습니다. 스마트 계약이 배치되면 변경할 수 없습니다. 이는 배포시 존재하는 실수 또는 보안 허점이 업그레이드 가능성을 제공하지 않는 한 영구적으로 유지됨을 의미합니다. 해커는 종종 이러한 정적 취약점을 악용하여 자금을 배수하거나 계약 행동을 조작합니다.

스마트 계약에 대한 일반적인 공격 벡터

악의적 인 행위자가 스마트 계약에 대해 사용하는 몇 가지 알려진 공격 방법이 있습니다.

• 재창조 공격 : 이는 내부 상태 변경을 해결하기 전에 함수가 다른 신뢰할 수없는 계약으로 외부 호출을 할 때 발생합니다. 전형적인 예는 Dao Hack 이며, 여기서 수백만의 에테르가 재귀적인 전화를 통해 도난당했습니다.
• 정수 오버플로 및 언더 플로 : 산술 연산이 숫자 유형의 최대 또는 최소값을 초과하여 예상치 못한 결과를 초래할 때 발생합니다. 최신 견고성 버전에는 보호가 내장되어 있지만 구형 계약은 여전히 ​​취약합니다.
• 가스 한계 및 루프 : 계약에서 구조화되지 않은 루프는 거래가 가스 한계를 초과하여 서비스 거부 (DOS) 시나리오를 초과 할 수 있습니다.
• 선두 주자 : 광부 또는 봇은 계류중인 거래를보고, 특히 분산 된 거래소에서 실행 순서를 이익으로 조작 할 수 있습니다.
• 타임 스탬프 의존성 : 블록 타임 스탬프에 의존하는 계약은 광부에 의해 조작 될 수있어 논리 실행이 잘못되었습니다.

이러한 각 벡터는 위험을 효과적으로 완화하기 위해 개발 및 감사 단계에서 신중한주의를 기울여야합니다.

타협 된 스마트 계약의 실제 사례

몇 가지 유명한 사건은 실제적이고 손상된 스마트 계약 위반이 어떻게 될 수 있는지 보여줍니다.

• 2016 년 DAO는 재창조 취약점을 사용하여 악용되어 5 천만 달러가 넘는 에테르가 손실되었습니다. 이 행사는 궁극적으로 이더 리움 블록 체인의 단단한 포크를 초래했습니다.
• 2017 년 Parity Wallet의 멀티 시그 계약은 도서관 계약의 취약성으로 인해 한 번, 초기화 프로세스의 결함으로 인해 3 억 달러가 넘는 자금이 얼어 붙었습니다.
• 보다 최근에, 공격자들은 플래시 대출 공격을 통해 다양한 Defi 프로토콜을 대상으로했으며, 공격자는 일시적으로 많은 양의 토큰을 빌려 가격을 조작하고 유동성 풀을 배수합니다.

이러한 사례는 스마트 계약을 배치하기 전에 엄격한 테스트 및 타사 감사의 중요성을 강조합니다.

스마트 계약을 확보하기위한 모범 사례

착취 가능성을 줄이기 위해 개발자는 스마트 계약 보안에 대한 다층 접근 방식을 채택해야합니다.

• 감사 감사 : 전문 감사를 참여 시키거나 오픈 소스 도구를 사용하여 계약 코드를 검토하십시오. Consensys Diligence 및 Bits Of Bits 와 같은 평판이 좋은 회사는이를 전문으로합니다.
• 기존 라이브러리 사용 : 토큰 표준 및 액세스 제어와 같은 일반적인 기능을 위해 OpenZeppelin과 같은 잘 알려진 라이브러리를 활용하십시오.
• 업그레이드 가능성을 안전하게 구현하십시오 : 업그레이드 가능한 계약을 위해 프록시 패턴을 사용하지만 적절한 거버넌스 및 타임 락을 보장하여 무단 변경을 방지하십시오.
• 철저히 테스트 : 여러 환경에서 단위 테스트, 퍼징 및 통합 테스트를 사용하십시오. Hardhat 및 Truffle과 같은 도구는 훌륭한 프레임 워크를 제공합니다.
• 외부 통화 제한 : 특히 사용자 제어 주소를 처리 할 때 외부 계약에 대한 종속성을 줄입니다.
• 배포 후 모니터링 : 부드럽게 또는 Blocksec 와 같은 모니터링 플랫폼을 활용하여 비정상적인 행동 또는 의심스러운 거래를 감지합니다.

이러한 관행에 따라 개발자는 스마트 계약의 탄력성을 크게 향상시킬 수 있습니다.

스마트 계약 보안에서 블록 체인 플랫폼의 역할

개발자는 많은 책임을지고 있지만 블록 체인 플랫폼의 설계 및 기능은 계약 보안에서 중요한 역할을합니다. 예를 들어:

• 이더 리움은 시간이 지남에 따라 EIP-1559 와 같은 기능과 개선 된 가스 역학을 포함하여 계약 상호 작용에 간접적으로 영향을 미쳤습니다.
• 이더 리움 스마트 계약을 작성하는 데 가장 널리 사용되는 언어 인 견고성은 더 나은 구문 검사 및 컴파일러 경고로 계속 발전하고 있습니다.
• Solana , Polkadot 및 Tezos 와 같은 일부 최신 플랫폼은 본질적으로 특정 클래스의 취약점을 줄일 수있는 대체 스마트 계약 언어 및 실행 모델을 제공합니다.

올바른 플랫폼을 선택하고 진화하는 기능으로 업데이트를 유지하면 개발자가 특정 생태계에 특정한 함정을 피할 수 있습니다.

자주 묻는 질문

Q : 배포 후 스마트 계약을 수정할 수 있습니까? A : 대부분의 스마트 계약은 일단 배포되면 불변입니다. 그러나 일부는 지정된 관리 기능을 통해 제한된 수정을 허용하는 프록시 패턴 또는 업그레이드 가능한 계약을 구현합니다.

Q : 스마트 계약이 감사되었는지 어떻게 알 수 있습니까? A : 검증 된 소스 코드 및 감사 보고서가 종종 게시되는 Etherscan 또는 BSCSCAN 과 같은 플랫폼의 계약 주소를 확인할 수 있습니다. 또한 프로젝트는 일반적으로 공식 커뮤니케이션 채널을 통해 감사 결과를 발표합니다.

Q : 모든 스마트 계약 해킹은 가역적입니까? A : 아니요. 블록 체인 거래가 돌이킬 수 없기 때문에 도난당한 자금을 회수하려면 일반적으로 DAO 의 경우에 볼 수 있듯이 커뮤니티 합의 또는 단단한 포크가 필요합니다.

Q : 배치 된 계약에서 취약성을 찾으면 어떻게해야합니까? A : 책임있는 공개가 핵심입니다. 프로젝트 팀에 개인적으로 연락하여 문제를 악용하지 않고 버그 바운티 솔루션을 제공하는 것을 고려하십시오. Immunefi 와 같은 플랫폼은 윤리적보고 및 보상을 촉진합니다.