본문 바로가기

디파이(DeFi)/디파이 일반

[DeFi] 바이낸스 스마트 체인은 과연 안전할까?

안녕하세요, 디온입니다. 오늘 디파이의 보안 리스크 이해하기라는 포스팅에 이어 2번째로 바이낸스 스마트 체인 공식 블로그에 바이낸스 스마트 체인은 안전할까?라는 제목으로 기고된 포스팅의 번역본을 공유합니다. 일부 내용은 보다 자연스러운 흐름을 위해 의역하였으며 일부 내용은 생략된 관계로 보다 자세한 내용이 궁금하신 분들은 아래의 원문을 참고하시기 바랍니다.

 

[DeFi] 디파이의 보안 리스크 이해하기

안녕하세요, 디온입니다. 최근 들어서 바이낸스 스마트 체인(BSC) 기반의 디파이 프로젝트들에서 다양한 사건·사고가 벌어지고 있는데, 이와 관련하여 스마트 컨트랙트 보안 감사 전문 업체인 Ce

dcrypto.tistory.com

바이낸스 스마트 체인은 안전할까?

최근 BSC 생태계에서 여러 스캠 프로젝트의 러그풀(먹튀) 사태와 해킹 공격들이 벌어졌습니다. BSC 블록체인의 탈중앙화와 비허가성(permissionless)의 특성으로 인해 이는 쉽게 해결할 수 있는 문제가 아닙니다. 현재 BSC에는 몇 가지 숙제가 존재합니다.

BSC 생태계가 빠른 속도로 성장함에 따라 해커들의 주요 표적이 되고 있습니다. 해커 집단은 잘 조직화되어 있고 다양한 프로토콜들의 잠재적인 취약점을 찾기 위해 부단히 노력 중에 있으며, 더 많은 제로데이 공격을 준비하고 있습니다.

[참고] 제로데이 공격이란?

  • 보안상 취약점이 발견되면 해당 프로젝트의 자체적인 보안 패치 배포 전에 취약점을 이용하여 공격을 실행하는 것으로 패치가 배포되기까지 기다리지 않고 취약점을 발견한 당일에 공격을 한다는 의미에서 제로데이 공격이라고 불립니다.

바이낸스 스마트 체인 생태계의 몇몇 프로젝트들은 보안 소프트웨어 개발 경험이 부족하고, 리스크 관리 전문가가 없는 경우가 많습니다. 더불어 코드 감사, 침투 테스트 및 보안 전문가와의 협업도 많이 부족한 편입니다.

블록체인이 성공하기 위해서는 무엇보다 "안전"한 것이 최우선이지만, 이는 매우 어려운 문제이기도 합니다. 바이낸스 스마트 체인에서는 "보안"이 최우선 과제가 되어야 합니다. 보안 우선 원칙은 우리가 하는 모든 일에 뿌리를 두고 있으며, 본 포스팅에서는 기초적인 위협 사항에 대해 소개하고 BSC의 보안이라는 뜨거운 감자에 대해 자주 묻는 질문들과 관련된 답변을 해보도록 하겠습니다.

위협이란?

BSC에서 직면할 수 있는 위협은 대부분의 암호화폐 관련 위협과 크게 다르지 않습니다. 어떤 의미에서 BSC는 수백만 명의 사용자들이 참여하는 수백 개의 프로젝트들로 넘쳐나면서 해커들과 사기꾼들의 표적이 되었던 2017년의 이더리움을 떠올리게 합니다.

커뮤니티는 기본적인 소셜 미디어 사기, 해킹, 개인 데이터 절도, 스캠 프로젝트, 폰지 사기에 직면했습니다. 그 이후로 공격자들은 수년간에 걸쳐 노하우와 경험을 축적해왔으나, 그 방식에는 큰 변화는 없었습니다.

위협은 크게 2가지의 카테고리로 나눌 수 있습니다.

(1) 외부로부터의 위협

  • 외부로부터의 위협은 프로젝트 외부의 공격자가 일반적인 기술 또는 운영상의 취약점을 악용하고 해킹이나 사회공학을 통해 내부 시스템에 침투하여 자금이나 귀중한 정보들을 훔치고 프로젝트를 망가뜨리는 것을 의미합니다.

(2) 내부적 위협

  • 이와 반대로 내부위협은 잘 알려진 러그풀(먹튀), 탈출 전략을 가지고 시작된 사기, 내부 유출을 의미합니다. 예방하기가 훨씬 더 어렵고 해당 사건을 조사하는데 훨씬 복잡하다는 특성을 가집니다. 대부분의 경우 특정 팀원이 자신이 가지고 있는 힘을 이용하여 한탕 저지르려는 경우가 많으며, 조직적인 사기를 저지르는 경우도 있습니다.

바이낸스 스마트 체인은 안전한가?

사실 BSC를 비롯하여 여타 블록체인이 안전하냐는 질문에는 2가지 측면에서 대답이 가능합니다. 하나는 코드, 노드 및 블록체인 자체의 보안이고, 또 다른 하나는 생태계의 보안입니다. BSC 생태계는 여러 부분과 참여자들로 구성되며 각 부분에는 서로 다른 위협이 있습니다. 코드와 알고리즘, 밸리데이터 및 하드웨어, BSC를 기반으로 하는 프로젝트, 사용자 등이 있겠죠.

탈중앙화된 BSC 블록체인은 투명한 감사를 위해 모든 사람들이 접근할 수 있는 오픈 소스 코드를 기반으로 실행됩니다. 오픈 소스 코드를 사용하면 (필요한 수준의 기술 지식이 있는) 누구나 코드를 검토하고 약점이나 위협에 대해 평가할 수 있습니다. 21명의 선출된 밸리데이터로 구성된 PoSA 알고리즘은 개별 밸리데이터가 네트워크를 좌지우지 하거나 악용하는 것을 방지합니다.

BSC 네트워크와 작동하는 알고리즘은 실제로 매우 안전합니다. BSC에서 사건이나 해킹을 정리한 기록을 살펴보면 블록체인단 자체에서 악용될 수 있는 알려진 취약점이나 공격 벡터가 없다는 것을 알 수 있습니다. 바운티 프로그램을 통해 인센티브를 받는 보안팀과 프로젝트들은 BSC의 보안과 관련된 모든 요소를 정기적으로 엄격하게 테스트하여 사소한 문제라도 즉시 해결되도록 부지런히 작업을 수행하고 있습니다.

BSC의 디앱은 안전한가?

BSC 네트워크 및 코드를 사용하면 거의 모든 것을 확인하고 감사할 수 있으나 개별 프로젝트단에서는 조금 더 어렵습니다. BSC의 모든 프로젝트가 오픈 소스인 것은 아니기 때문입니다. 그렇다고 해서 오픈 소스가 된다고 무조건 안전하다는 의미도 아닙니다. 스마트 컨트랙트 관련 보안, 무결점의 코드, 독립적인 팀에서 개발하는 프로젝트 여부 등도 확인이 필요하며 항상 결함이 발생할 가능성이 존재합니다.

BSC의 탈중앙화된 특성으로 인해 기본적으로 누구나 네트워크를 구축하고 많은 탈중앙화거래소 중 하나에 토큰을 상장시킬 수 있습니다. 악의적인 프로젝트가 BSC를 기반으로 런칭하는 것을 막을 수 있는 별도의 검토절차나 중앙집중식 거버넌스는 존재하지 않습니다. 그러한 방식의 검열은 탈중앙화의 정신은 손상시키고 기술적으로나 논리적으로 불가능하기 때문입니다.

다양한 종류의 BSC기반 토큰 및 디앱을 감사하고 확인하는 팩실드나 써틱과 같은 여러 보안 회사가 있습니다. 섬세한 보안 감사는 코드, 비즈니스 모델 및 기타 측면에서 잠재적인 취약점을 찾습니다. 또한 종종 핵심 팀원을 확인하고 이전 경력을 살펴보거나 프로젝트의 자금을 감사합니다. 그러나 이러한 감사는 필수사항이 아니며 신규 디앱을 거의 다루지 않습니다. 진짜배기 프로젝트를 찾을 때는 인증되지 않은 프로젝트를 피하고 항상 다른 여러 회사들로부터 코드 감사를 받은 프로젝트를 찾는 것이 좋습니다.

BSC 브릿지가 해킹을 중지하거나 되돌릴 순 없나요?

결론부터 말하자면 불가능합니다. 브릿지는 해킹이나 의심스러운 거래를 중지하거나 되돌릴 수 없습니다. 브릿지는 해커나 사기꾼들이 자신이 훔친 자산을 다른 체인으로 옮겨 꼬리를 잡힐 가능성을 낮추기 위해 종종 사용됩니다. 현재 BSC와 다른 블록체인(이더리움, 비트코인, 트론 등) 사이에는 분당 수천 건의 트랜잭션을 처리하는 10개 이상의 브릿지가 있습니다. 브릿지 운영자의 경우에도 의심스러운 거래를 식별하고 중지하는 것은 매우 어려운 일입니다. 최근 사건 중 Anyswap 브릿지를 사용하여 도난한 자산을 BSC블록체인 외부로 이동한 해킹 사례는 7건이 있었습니다.

모든 브릿지 서비스가 사기 방지 메커니즘(AML, 블랙리스트 등)을 도입하고 있는 것은 아니며 오늘날까지도 리스크를 최소화하기 위해 전문 체인 분석회사 또는 보안 회사와 파트너십을 맺고 있는 것 또한 아니라는 점을 유의해야 합니다.

스캠 프로젝트를 신고할 수 있나요?

바이낸스 스마트 체인 생태계의 주요 보안 파트너사 중 하나인 PeckShield를 통해 스캠 프로젝트나 사기 의심이 가는 프로젝트를 보다 간편하게 신고할 수 있습니다. https://forms.coinholmes.com/ 사이트에 접속하여 의심스러운 프로젝트를 신고해주세요.

더 나은 블록체인 보안 시스템 구축

BSC 생태계의 보안을 강화하고 사용자와 사용자의 자금 및 데이터를 보호하기 위한 커뮤니티 주도의 많은 노력이 진행 중입니다. Peckshield, CertiK 등과 같은 보안 회사는 감사, 위협 인텔리전스 및 보안 작업을 통해 BSC 생태계 시스템을 지원하고 있으며 각 프로젝트별로 내부적으로 구축된 다양한 보안 팀들이 존재합니다.

BSC 코어 팀은 더 나은 인프라와 서비스를 도입하기 위해 업계를 선도하는 보안 회사들과 지속적으로 협력을 해 나갈 것입니다.

BSC 사용자 권고 사항

만약 BSC의 다양한 디파이들을 이용 중이라면 스스로 관련 지식을 습득하고 BSC 커뮤니티에서 주최하는 다양한 교육 프로그램에 참여하는 것을 추천합니다. 디파이는 항상 스스로 연구(DYOR; Do Your Own Research)를 해야 하고, 투기적인 프로젝트를 피하는 것이 좋습니다.

바이낸스의 Binance Academy에서는 디파이에서 스캠 프로젝트를 식별하는 방법 등 다양한 관련 콘텐츠를 제공하고 있으며, BSC 기반 프로젝트 관련 보안 정보를 제공하는 CertiK 보안 대시보드를 통해 사전에 충분한 정보를 찾아보실 수도 있습니다.

 

[암호화폐(디지털자산) 거래소 거래수수료 할인 가입링크 안내]

① 바이낸스(Binance.com) 가입링크 (거래수수료20% 페이백) : 바로가기
② 바이낸스 선물 가입링크 (1달간 거래수수료 10% 페이백) : 바로가기
③ 고팍스(GOPAX) 거래소 가입링크 (가입즉시 5,000원 원화 또는 코인지급) : 바로가기
④ FTX파생상품 거래소 가입링크 (거래수수료 5% 페이백) : 바로가기
⑤ 코인원(Coinone) 거래소 가입링크 (거래수수료 10% 페이백) : 바로가기
⑥ 폴로닉스(PolonieX) 거래소 가입링크 (거래수수료 10% 페이백) : 바로가기
⑦ OKEx 거래소 가입링크 (110달러 리워드+40달러 수수료쿠폰) : 바로가기
⑧ 코인리스트(CoinList) 토큰세일 플랫폼 가입링크 (100달러 이상 거래시 10달러 상당의 BTC지급) : 바로가기
⑨ 후오비 글로벌 가입링크 : 바로가기
⑩ 후오비 코리아 가입링크 : 바로가기