Smart Contract Security Newsletter #42(Korea Ver)

Richard Kim
9 min readJul 22, 2020

--

이 게시물은 Smart Contract Security Newsletter의 Author인 Shayan Eskandari님에게 공식적으로 허가를 받아 작업하는 번역본입니다.

출처: https://medium.com/consensys-diligence/smart-contract-security-newsletter-42-a05796bf2c37

(7월 17일에 발행된 뉴스레터이며, 메일을 통해 뉴스레터를 구독신청하려면 클릭해주세요)

지난주 컨센시스는 오픈소스 EVM Node 보안 툴킷인 Legions라는 툴을 출시했습니다. 이 툴을 이용해, ENS에 대한 정보들과 smart contract의 storage 정보 그리고 노출되어 있는 RPC 인터페이스들의 정보들을 볼 수 있습니다. 구체적인 내용들을 보고싶다면 해당하는 사이트를 통해 보시길 바랍니다.

또한 컨센시스는 NCCGroup 그리고 Trail of Bits와 함께 작업하면서 Nimbus ETH2.0 beacon chain 평가에서 Champion으로 활동할 것을 요청받아 영광으로 생각하고있습니다.

혹시 smart contract에 대해 깊게 공부하고 계신거나 주위에서 열심히 연구하고 있는 사람이 있다면 컨센시스에서 채용을 하고 있다는 좋은 소식이 있습니다.

최근 뉴스

“CryptoForHealth” 트위터 해킹 사건

어제 트위터가 해킹을 당했습니다[NYTimes, Verge]. 공격 방식은 사회공학적 방식 혹은 내부자의 소행으로 트위터의 내부 시스템으로 접근한 것으로 보입니다. 해당하는 사건에 대해 팔로우하려면 Mycrypto의 실제 트위터 쓰레드를 보거나 일어난 일에 대한 구체적인 내용을 담은 문서들을 보면됩니다.

하지만 이번 공격이 처음으로 일어난 것은 아닙니다. 2009년에 비슷한 해킹 사건이 일어났고 트위터는 미국 공정위에 개인 식별 가능 정보의 기밀성을 보호하겠다고 약속하였습니다. 또한 작년에 미국 법무부는 트위터 계정에서 사우디 아라비아 국민들에게 개인 정보를 제공한 혐의로 트위터 직원 2명을 기소했습니다. Josh Hawley 상원의원이 트위터 최고경영자(CEO)에게 보낸 편지를 바탕으로 이들이 다시 상원의원이 되는 것에 도움이 된거같습니다.

사용자가 사용하는 거래소들 또는 거래 서비스들의 공격자의 비트 코인 주소를 블랙리스트에 올리는 것이 좋지만, 사용자가 보안 설정을 하는 것만큼 커뮤니티에서는 실질적으로 할 일이 없게됩니다.

  • bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh
  • bc1qwr30ddc04zqp878c0evdrqfx564mmf0dy2w39l
  • 1AXRMCHu2yCTHJGcaaCBmWAzXCWmo7RKFx
  • bc1q0kznuxzk6d82e27p7gplwl68zkv40swyy4d24x

그러므로, 가장 좋은 대응 중 하나는 모네로를 장려하기 위한 Poem과 함께 그들의 주소로 비트코인 거래를 하는 것이었습니다.

https://btc.com/54215bf9b24db3dbf3463f305128caa0c6ac5be8fd6e7d5d534f494855fd1689

30분 안에 어떻게 백만 달러를 벌었을까요?

지난주 BzX는 Uniswap에 그들의 토큰(BZRX)을 상장했는데, 상장거래가 포함된 것을 같은 블록에서 볼 때 650ETH만큼의 BZRX를 사들이는 또 다른 거래가 있었다는 것이 주목할만햇습니다. 구매자는 점차적으로 취득한 BZRX를 매각하였고, 점진적으로 팔아서 위험한 거래에서 많은 이익을 얻었습니다.

Roman Storm의 트위터 쓰레드가 전체 단계를 설명하고 있습니다:

30분 안에 어떻게 백만 달러를 벌었을까요?

1. BZRX 뉴스가 Uniswap 목록에서 나올 때까지 기다리세요.

2. Uniswap에서 토큰을 구매하는 smart contract를 개발하세요.

3. 실패한 트랜잭션으로 인해 다른 사용자들의 이더리움 네트워크에 연결될 수 없습니다.

거버넌스 토큰의 보안 영향

Eva Beylin은 트위터에서 다음과 같은 주장을 하며 흥미로운 토론을 벌였습니다.

Defi 프로토콜의 시가총액이 TVL(총 잠긴 자산양)보다 작거나 같으면, 그것은 저평가된 것입니다.

여기서 기본적인 가정은 대부분의 이익을 추구하는 토큰 보유자들이 자신에게 이익이 되는 프로토콜 변경에 투표할 것으로 예상할 수 있습니다. 따라서 프로토콜이 백만 달러를 보유하고있고 프로토콜 거버넌스 토큰의 50%를 백만 달러 미만으로 구입할 수 있다면 공격자는 조용히 프로토콜 변경에 투표할 수 있는 충분한 잔액을 축적할 수 있습니다. 그러므로 잠금된 전체 값을 제어할 수 있게됩니다.

여기에 거버넌스 토큰은 다른 프로토콜 내에서 결합성(composability)에 영향을 미칩니다. Compound에서 인용한 예로는 Gauntlet 네트워크Formal Analysis 기간에 대한 제안이 있습니다.

COMP 발행 재조정 제안(CP011)은 컴파운드뿐만 아니라, Dai 발행, Dai 페그 등 차입/공급 수요에 영향을 미치는 외부 효과를 유발했습니다. 이러한 외부성은 두 시스템 모두에 영향을 미치며 간단한 제안보다 철저한 분석이 필요합니다.

이 주제를 다룬 또 다른 좋은 읽을 거리: 스테이블 코인 2.0: DeFi를 위한 경제 기반.

1: 물론 제안이 통과될 때와 업그레이드가 활성화될 때 사이에 일정한 시간 지연을 부과하는 등 이러한 ‘독재적(plutocratic)’ 공격을 완화하는 방법도 있습니다. 이것은 예금자들이 악의적인 제안으로부터 그들의 자금을 보호하기 위해 반응할 시간을 줄 수 있을 것입니다.

리서치 문서 리스트

참고 링크 리스트

--

--