블록 체인의 스마트 계약 취약점은 무엇입니까? 그들을 막는 방법?

Ethereum과 같은 블록 체인 플랫폼의 자체 실행 코드 인 Smart Contracts는 Cryptocurrency 세계에서 거래 및 계약이 처리되는 방식에 혁명을 일으켰습니다. 그러나 채택이 증가함에 따라 이러한 스마트 계약의 취약점은 면밀히 조사되었습니다. 이러한 취약점을 이해하고이를 방지하는 방법을 배우는 것은 개발자와 사용자 모두에게 중요합니다.

일반적인 스마트 계약 취약점

현명한 계약 취약점은 상당한 재정적 손실로 이어질 수 있으며 블록 체인 기술에 대한 신뢰를 손상시킬 수 있습니다. 가장 일반적인 취약점은 다음과 같습니다.

• 재창조 공격 : 이는 계약이 자체 상태를 해결하기 전에 외부 계약을 호출 할 때 발생합니다. 공격자는 기능의 첫 번째 호출이 완료되기 전에 원래 계약에 반복적으로 다시 전화 할 수 있으며 잠재적으로 자금을 배수 할 수 있습니다.

• 정수 오버플로 및 언더 플로 : 스마트 계약은 종종 정수 유형을 사용하여 수치 값을 처리합니다. 이러한 값이 최대 또는 최소 한도를 초과하면 예상치 못한 행동이나 취약성을 초래할 수 있습니다.

• 타임 스탬프 의존성 : 일부 스마트 계약은 중요한 기능에 대한 블록 타임 스탬프에 의존합니다. 광부는 특정 범위 내에서 이러한 타임 스탬프를 조작 할 수 있으며, 이는 계약 결과에 영향을 미치기 위해 이용 될 수 있습니다.

• 정면 공격 : 공개 블록 체인에서는 거래가 채굴되기 전에 볼 수 있습니다. 공격자는 보류중인 거래를보고 먼저 더 높은 가스 가격으로 유사한 거래를 제출하여 원래 거래의 결과에 영향을 미칩니다.

• 확인되지 않은 외부 통화 : 스마트 계약이 다른 계약 또는 외부 시스템과 상호 작용할 때 통화가 성공했는지 확인하지 않을 수있어 외부 통화가 실패하면 잠재적 인 취약점이 발생할 수 있습니다.

재창조 공격 방지

재창조 공격은 스마트 계약에서 가장 위험한 취약점 중 하나입니다. 이러한 공격을 방지하기 위해 개발자는 이러한 모범 사례를 따를 수 있습니다.

• Checks-Effects-interactions 패턴 사용 :이 패턴은 외부 통화가 실행되기 전에 모든 상태 변경이 이루어 지도록합니다. 먼저 상태를 업데이트하면 재창조 가능성을 방지합니다.

  • 트랜잭션 조건을 검증하기 위해 수표를 구현합니다.
  • 거래의 영향을 계약의 상태에 적용하십시오.
  • 상태 변경이 완료된 후에는 외부 전화를받습니다.

• Mutex 잠금을 구현하십시오 : Mutex (Mutual Exclusion) 잠금 장치는 한 번에 하나의 기능 만 실행할 수 있도록 재창조를 방지 할 수 있습니다.

  • 상태 변수를 사용하여 함수가 현재 실행 중인지 추적하십시오.
  • 함수를 입력하기 전에 잠금 장치를 사용할 수 있는지 확인하십시오. 그렇지 않은 경우 거래를 되돌립니다.
  • 함수의 시작 부분에서 잠금을 true로 설정하고 끝에서 False로 재설정하십시오.

정수 오버플로 및 언더 플로를 방지합니다

정수 오버플로 및 언더 플로우는 다음 방법을 통해 완화 할 수 있습니다.

• Safemath Library 사용 : Safemath Library의 Safemath Library는 오버플로 및 언더 플로우를 확인하는 기능을 제공하여 이러한 조건이 감지되면 거래를 되돌립니다.

  • Safemath 라이브러리를 계약으로 가져 오십시오.
  • 표준 산술 작업을 add , sub , mul 및 div 와 같은 Safemath 함수로 바꾸십시오.

• Solidity 버전 0.8.0 이상 : 버전 0.8.0에서 시작하여 Solidity에는 산술 오버플로 및 언더 플로우에 대한 내장 검사가 포함되어있어 Safemath를 불필요하게 사용합니다.

  • 계약의 견고성 버전을 ^0.8.0 이상으로 지정하십시오.
  • 오버플로와 언더 플로에 대해 걱정하지 않고 표준 산술 작업을 사용하십시오.

타임 스탬프 의존성 완화

타임 스탬프 의존성과 관련된 위험을 줄이려면 이러한 전략을 고려하십시오.

• 타임 스탬프 대신 블록 번호를 사용하십시오 : 블록 번호는 타임 스탬프보다 더 예측 가능하고 조작에 취약합니다.

  • block.timestamp 계약 로직에서 block.number 으로 교체하십시오.
  • 평균 블록 시간과 블록 번호를 사용하여 시간 기반 조건을 계산하십시오.

• 시간 버퍼 구현 : 잠재적 인 타임 스탬프 조작을 설명하기 위해 시간에 민감한 작업에 버퍼를 추가하십시오.

  • 계약에서 15 분 동안 시간 버퍼를 정의하십시오.
  • 안전 한 마진을 보장하기 위해이 버퍼를 시간 기반 검사에 추가하십시오.

선두 공격 방지

선두 주자는 예방하기가 어려울 수 있지만 이러한 접근 방식은 도움이 될 수 있습니다.

• Commit-reveal 체계 사용 :이 계획에는 공개하기 전에 가치를 약속하는 것이 포함되므로 공격자가 선두를 달리기가 어렵습니다.

  • 첫 번째 트랜잭션에서 사용하려는 값의 해시를 커밋하십시오.
  • 후속 트랜잭션에서 값을 밝히고 커밋 된 해시에 대해 확인하십시오.

• 무작위 화 메커니즘 구현 : 암호화 무작위성을 사용하여 공격자가 트랜잭션의 결과를 예측하기가 더 어려워집니다.

  • 검증 가능한 랜덤 함수 (VRF)를 사용하여 랜덤 숫자를 생성하십시오.
  • 예측 가능성을 줄이기 위해 이러한 랜덤 숫자를 계약 로직에 통합하십시오.

확인되지 않은 외부 통화를 피하십시오

확인되지 않은 외부 통화와 관련된 문제를 방지하려면 다음 지침을 따르십시오.

• 요구 사항을 사용하십시오 . 견고한 require 사항을 사용하여 외부 통화의 성공을 확인할 수 있습니다.

  • 외부 통화를 한 후에는 통화가 성공적으로 확인하기 위해 사용이 require .
  • 예 : require(address(this).call(data), 'External call failed');

• 시합-캐치 블록 구현 : Solidity 버전 0.6.0 이상은 외부 통화 실패를 우아하게 처리하는 데 사용할 수있는 트리 캐치 블록을 지원합니다.

  • 잠재적 인 고장을 처리하기 위해 외부 통화를 트리 캐치 블록으로 감싸십시오.
  • 캐치 블록을 사용하여 거래를 되돌리거나 실패를 적절하게 처리하십시오.

FAQ

Q : 스마트 계약 취약점을 완전히 제거 할 수 있습니까?

A : 취약점을 완전히 제거하는 것은 불가능하지만 모범 사례와 철저한 감사를 수행하면 위험이 크게 줄어들 수 있습니다.

Q : 스마트 계약을 얼마나 자주 감사해야합니까?

A : 스마트 계약은 배포 전에 적어도 한 번 감사를 받아야합니다. 중요한 계약의 경우 새로운 취약점을 해결하기 위해 정기 감사 및 업데이트가 필요할 수 있습니다.

Q : 스마트 계약 취약점을 감지하는 데 도움이되는 도구가 있습니까?

A : 그렇습니다. Mythril, Slither 및 Oyente와 같은 몇 가지 도구는 스마트 계약에서 일반적인 취약점을 감지하는 데 도움이 될 수 있습니다. 이러한 도구는 수동 코드 리뷰와 함께 사용해야합니다.

Q : 배포 된 스마트 계약에서 취약성을 찾으면 어떻게해야합니까?

A : 취약점을 찾으면 계약 개발자에게 즉시보고하십시오. 취약성이 심한 경우, 더 넓은 커뮤니티에 착취를 방지하기 위해 알리십시오.