감사관이 DeFi Rug Pull 사기를 감지하는 방법: 스스로 할 수 있습니까?

해커들은 2022년에 그 어느 때보다 탈중앙화 금융(DeFi) 플랫폼에서 더 많은 암호 화폐를 훔쳤습니다. DeFi의 플래그맨 DEX Uniswap에서 출시된 모든 토큰의 거의 98%가 러그 풀로 식별되었습니다.

가장 최근에 나온 제상금융, 온 12만 달러의 돈을 날리는 암호화폐 투자자들에게는 크리스마스 악몽으로 여겨집니다. 

DeFi 플랫폼에 대한 대부분의 해킹은 보안 위반 및 코드 악용을 통해 발생합니다. 러그 풀 사기로 끝나는 프로젝트에는 의도적으로 미끄러지거나 감지되지 않는 심각한 보안 문제가 있습니다. 유사한 위험을 방지하려면 DeFi 보안 감사가 중요합니다.

여기서는 이러한 감사, 수행 방법, DeFi 감사를 직접 실행할 수 있는지 여부에 대해 자세히 알아봅니다. 

DeFi 프로젝트는 복잡하고 자체 실행되는 스마트 계약으로 구현되며, 종종 투명하고 오픈 소스입니다. 이는 두 당사자 간의 법적 계약 역할을 합니다. 그리고 그 뒤에는 중앙 집중식 실체가 없기 때문에 스마트 계약의 작은 버그라도 되돌릴 수 없는 결과를 초래할 수 있습니다.

이는 스마트 계약에서 오류의 여지가 없어야 함을 의미합니다. DeFi 스마트 계약 보안 감사는 이를 보장하기 위한 것입니다.

보안 감사는 스마트 계약의 코드와 이것이 계약 조건의 근거가 되는 방법을 조사합니다. 상세한 분석은 코드의 잠재적인 보안 결함, 위반 및 시스템 버그를 검색하므로 악용되지 않습니다. 

일반적으로 제3자가 수행하는 보안 감사는 프로젝트의 보안과 신뢰성을 보장하고 건강한 DeFi 생태계를 유지하는 데 필수적입니다.

러그 풀(Rug Pull)은 간단한 모델에서 작동하는 일종의 이탈 사기입니다. 개발자는 합법적인 것처럼 보이는 DeFi 프로토콜을 만들고 프로젝트가 충분한 유동성을 확보할 때까지 이를 실행하고 홍보한 다음 자금을 빼내고 사라집니다. 

글쎄요, 항상 그런 것은 아닙니다. 때때로, 러그풀 사기꾼들은 해커들이 유동성을 훔쳤다고 비난하고 다음 번까지 사업을 계속합니다.

공격을 구현하기 위해 사기꾼은 스마트 계약에 악성 코드를 삽입합니다. 그들은 투자자가 판매하지 못하도록 수정합니다: 최대(100%) 판매 수수료를 설정하고, 토큰 소유자를 블랙리스트에 올리고, 사용자의 돈을 계약에 잠급니다.

일부 스마트 계약에는 개발자가 유동성을 인출할 수 있는 악의적인 "백도어" 코딩이 포함됩니다.  

대부분의 경우 수정된 스마트 계약은 보안 감사자에 의해 확인되지 않으며 대중의 눈에 띄지 않습니다. 대부분의 온체인 계약은 공개적으로 사용 가능하기 때문에 투명성이 부족합니다. GitHub의 위험 신호일 수 있습니다. 

블록체인 및 스마트 계약 산업은 아직 상대적으로 젊고 스마트 계약 감사 부문도 마찬가지입니다. 수많은 회사가 스마트 계약 보안 감사를 전문으로 하고 도구를 개발하며 노하우를 형성합니다. 

스마트 계약 보안 산업 표준 및 모범 사례는 진화하고 있습니다. 그럼에도 불구하고 DeFi 감사 업계 참가자들은 꽤 표준적인 감사 방법을 사용합니다.

일반적으로 그들의 조사는 스마트 계약 평가로 시작됩니다. 감사자는 DeFi 프로토콜의 백서, 비즈니스 논리 및 기술 사양을 분석하여 잠재적 위험 및 보안 기능을 추정합니다.

그런 다음 그들은 스마트 계약의 코드로 관심을 돌립니다. 이것은 코드 검토 및 분석이 시작되는 때입니다. 

감사자는 코드를 한 줄씩 검사하여 다양한 수준의 취약점을 찾습니다. 유동성 누출을 초래할 수 있는 중요한 취약점; 스마트 계약을 부분적으로 손상시킬 수 있는 중간 수준 계약의 보안에 가장 적은 영향을 미치는 낮은 수준의 문제.

자동 및 수동 분석을 포함하여 다양한 감사 기술을 배포합니다. 둘 다 장단점이 있습니다.

자동화된 보안 감사는 알려진 취약점 데이터베이스에서 버그를 검색하고 코드에서 정확한 위치를 식별하는 자동화된 분석 소프트웨어로 코드를 스캔하는 것을 의미합니다.

소프트웨어 기반 감사는 일반적으로 사람이 간과할 수 있는 오류를 탐지하기 위해 수동 분석 전에 수행됩니다. 더 빠르고 시간 소모가 적지만 동시에 상황을 항상 인식하지 못하여 특정 취약점을 놓칠 수도 있습니다. 

수동 코드 분석은 스마트 계약 감사의 왕이며 포괄적이고 정확한 스마트 코드 보안 감사에서 가장 중요한 부분입니다. 코드를 한 줄씩 검사하는 별도의 전문가 두 명 이상이 수행합니다.

목표는 프로젝트 사양의 모든 세부 사항이 스마트 계약으로 구현되고 원래 의도된 동작을 위반하는 것이 없음을 확인하는 것입니다. 

감사자는 스마트 계약이 다른 사람과 상호 작용하는 동안 구현될 수 있는 재진입, 데이터 조작, 플래시 대출 및 기타 조작과 같은 의도하지 않은 예상치 못한 동작, 중요한 보안 문제 및 취약성에 대해 코드를 면밀히 조사합니다.

또한 수동 감사는 시뮬레이션을 실행하여 DeFi 프로젝트의 스마트 계약이 확인되지 않은 위협에 얼마나 잘 대응하고 이러한 위협으로부터 자신을 방어할 수 있는지 평가합니다. 

수동 코드 분석의 마지막 부분에서 감사자는 스마트 계약의 논리를 프로젝트 백서의 설명과 비교합니다. 

모든 취약성이 식별되고 수정되면 감사자는 이중 확인 프로세스를 실행하여 스마트 코드가 예상대로 실행되는지 확인합니다.

마지막으로 보안 감사가 완료되면 감사자는 포괄적인 보고서를 준비합니다. 이것은 그들이 발견한 것에 대한 자세한 피드백을 제공하는 곳입니다. 일반적으로 그들의 보고서에는 감지된 코드 취약점을 수정하여 프로젝트의 보안을 완화할 수 있는 방법에 대한 권장 사항이 함께 제공됩니다. 

스마트 계약은 비교적 새로운 혁신입니다. 이에 따라 보안 표준도 발전하고 있습니다. 이는 황금률이 ​​완전한 스마트 계약 안전을 보장하지 않는다는 것을 의미합니다.

또한 모든 스마트 계약 감사 회사가 동일한 것은 아니며 모든 감사가 안전을 보장하는 것은 아닙니다. 감사자는 기술 수준, 목표 및 비용이 다를 수 있습니다.

시장이 감사를 위조하고 여전히 존경받는 회사의 이름으로 이익을 얻는 개략적인 개발자들로 가득 차 있다는 사실은 말할 것도 없습니다. 블록체인 보안 및 데이터 분석 회사인 Peckshield에 1년여 전에 이런 일이 일어났습니다.

이와 같은 상황은 암호화폐 공간에서 매우 일반적입니다. 그들은 합법적이고 존경할 만한 감사인의 이름을 가져와 그들의 프로토콜이 감사를 받았다고 말하면서 백서에 넣었습니다.

이와 같은 경우를 피하는 유일한 방법은 감사자의 원래 채널에서 확인을 확인하는 것입니다. 만약 없다면 감사인의 이름이 도용되었을 가능성이 있습니다. 

항상 고객 포트폴리오를 확인하여 감사자가 탄탄하고 평판이 좋은지 평가하십시오. 사례를 검색하여 경험 기록을 확인하고 감사된 프로젝트 중 러그 풀이나 기타 공격을 받은 프로젝트가 있는지 확인하세요.

암호화폐 업계에 너무 많은 해킹과 난제들이 있기 때문에 DeFi 프로젝트를 더 자세히 조사하지 않고 안전하다고 상상하는 것은 순진합니다. 스마트 계약 감사는 중요한 안전 계층을 제공합니다. 

그러나 가장 전문적인 프로젝트라도 DeFi 프로젝트에 버그가 전혀 없다고 보장할 수는 없습니다. 스마트 계약은 복잡합니다. 여기에는 상세하고 포괄적인 분석, 전문 지식, 도구, 그리고 가장 중요한 것은 한 쌍 이상의 눈이 필요합니다.