스마트 계약의 재진입 공격 이해(DAO 해킹 설명)

재진입 공격이란 무엇입니까?

1. 재진입 공격은 초기 실행이 완료되기 전에 외부 계약이 현재 계약을 다시 호출할 때 발생합니다.

2. 이 취약점은 부적절한 상태 관리, 특히 상태 변수가 외부 호출 이전이 아닌 이후에 업데이트되는 경우 발생합니다.

3. 공격자는 대상 계약의 취약한 기능을 반복적으로 호출하는 폴백 기능이 포함된 악성 계약을 배포합니다.

4. 각 재귀 호출은 동일한 논리 경로에 다시 들어가 전체 호출 스택이 해제될 때까지 잔액이 업데이트되지 않고 반복적으로 자금을 소모합니다.

5. 이러한 공격은 외부 호출이 호출 컨텍스트 내에서 제어 흐름을 유지하는 Ethereum의 동기식 단일 스레드 실행 모델을 악용합니다.

DAO 사건: 역사적 붕괴

1. DAO는 2016년 이더리움에서 시작된 분산형 자율 조직으로, 스마트 계약 규칙에 따라 관리되는 벤처 캐피탈 펀드로 설계되었습니다.

2. 해당 코드를 사용하면 토큰 보유자가 DAO에서 분할하고 SplitDAO 함수를 호출하여 이더리움을 회수할 수 있습니다.

3. 해당 기능은 내부 잔액을 업데이트하기 전에 요청자의 주소로 이더를 전송하여 전형적인 재진입 창을 생성했습니다.

4. 공격자는 자금을 받으면 SplitDAO를 다시 트리거하는 폴백 기능이 포함된 계약을 배포했습니다.

5. 여러 번의 중첩 호출을 통해 거래가 되돌리거나 중단되기 전에 당시 5천만 달러 이상의 가치가 있는 360만 개 이상의 ETH가 빠져나갔습니다.

Ethereum의 실행 모델이 재진입을 활성화하는 방법

1. Solidity의 모든 외부 호출은 동일한 트랜잭션 컨텍스트에서 실행되어 메모리, 저장소 및 호출 스택 가시성을 유지합니다.

2. Checks-Effects-Interactions와 같은 패턴을 통해 명시적으로 구현되지 않는 한 자동 재진입 보호 기능은 없습니다.

3. 가스 제한은 재발을 방지하지 않습니다. 전체 계산만 제한하며 대체 기능은 실행하는 데 최소한의 가스만 필요합니다.

4. EVM은 호출자와 호출 수신자 간의 격리를 강제하지 않습니다. 호출 수신자가 변경한 상태는 실행이 진행되는 동안 호출자에게 표시됩니다.

5. 개발자들은 특히 제3자 토큰이나 오라클이 포함될 때 상호의존적인 계약 상호작용이 얼마나 깊게 이루어질 수 있는지를 과소평가하는 경우가 많습니다.

재진입을 유도하는 공통 코드 패턴

1. 이전 대신 이더를 보내거나 외부 계약을 호출한 후 잔액이나 플래그를 업데이트합니다.

2. 반환 값의 유효성을 검사하거나 재귀 깊이를 제한하지 않고 call.value()()를 사용합니다.

3. 저장 변수의 잔액을 추적하는 대신 회계에 this.balance를 사용합니다.

4. OpenZeppelin의 ReentrancyGuard 와 같은 잠금, 뮤텍스 또는 재진입 수정자 없이 철회 패턴을 구현합니다.

5. 상속된 논리를 감사하지 못합니다. 특히 위임자 호출이 컨텍스트를 유지하는 프록시 패턴이나 업그레이드 가능한 계약을 사용할 때 더욱 그렇습니다.

자주 묻는 질문

Q: ERC-20 전송에서 재진입이 발생할 수 있나요? A: 표준 ERC-20 전송 함수는 외부 호출을 트리거하지 않으므로 기본 재진입이 불가능합니다. 그러나 후크(예: ERC-777)와 결합된 transferFrom 과 같은 확장은 재진입이 발생할 수 있는 콜백 표면을 도입합니다.

Q: DAO 해킹은 하드포크 때문에 되돌릴 수 있었나요? 답: 그렇습니다. 이더리움 커뮤니티는 체인 기록을 다시 작성하여 도난당한 자금을 복원하기 위해 하드포크를 실행했으며 그 결과 이더리움과 이더리움 클래식이 분리되었습니다.

Q: 최신 Solidity 버전은 기본적으로 재진입을 방지합니까? A: 아니요. Solidity v0.8.x에는 더 안전한 산술 및 되돌리기 동작이 포함되어 있지만 재진입 보호 기능을 자동으로 주입하지는 않습니다. 개발자는 여전히 방어 패턴을 수동으로 적용해야 합니다.

Q: require(msg.sender.call{value: amount}('')) 를 사용하는 것이 address.send() 보다 안전한가요? A: 둘 다 본질적으로 안전하지는 않습니다. 둘 다 상태 업데이트 전에 사용되는 경우 재진입을 허용합니다. 중요한 요소는 특정 통화 메커니즘이 아니라 상호 작용 순서입니다.