블로그 1뉴스 개발자 엔터프라이즈 블록 체인 설명 이벤트 및 컨퍼런스 보도 자료뉴스 레터

뉴스 레터 구독.

이메일 주소

우리는 귀하의 개인 정보를 존중합니다

홈 블로그 Codefi

Ethereum DeFi의 보안 위험

by Everett Muzzy 5 월 19, 2020Posted on 5 월 19, 2020

9

위험에 대한 모니터링 및 보호 접근 방식

2020 년은 Ethereum DeFi 생태계에 중요한 해였습니다. DeFi에 고정 된 미화 10 억 달러 이상과 중요한 플랫폼 이정표를 기념하는 것 외에도 업계는 신규 및 기존 DeFi 애플리케이션 모두에서 사소한 보안 사고와 주요 보안 사고가 빈번하게 발생했습니다..

5 DeFi 보안 사고 4 월에 일어난 일 : 

  • Uniswap : 18 일 재진입 공격 벡터를 통해 $ 340k USD 도난

  • Lendf.me : 19 일 재진입 공격 벡터를 통해 2,500 만 달러를 도난당했습니다. 팀이 해커와 협상 한 후 자금이 재발행 됨.

  • Curve : 스테이 블코 인 거래소 플랫폼, sUSD 예비 계약에서 버그를 발견하고 해결했다고 밝혔습니다..

  • PegNet : 교차 체인 DeFi 플랫폼 PegNet은 네트워크의 광부 4 명이 해시 레이트를 70 % 제어했을 때 51 % 공격을 받았습니다..

  • Hegic : 계약 버그로 인해 만료 된 옵션 계약에 고정 된 2 만 8 천 달러의 유동성, 팀은 해당 사용자에게 자체 자금으로 보상하겠다고 약속했습니다..

Uniswap 및 Lendf.me – ERC-777에 대한 재진입 공격

2 월과 3 월의 bZx 및 Maker 이벤트는 잘 다루어졌지만 Uniswap 및 Lendf.me 프로토콜의 최근 이벤트, 특히 해커가 허용 한 ERC-777 토큰 표준의 타협에 대한 일부 데이터와 통찰력을 가져 왔습니다. 4 월 18 일 2,500 만 달러 상당의 암호 화폐 유출 & 19 일.

imBTC 토큰은 ERC-777 토큰입니다. Tokenlon, 0x 프로토콜에서 실행되는 DEX. Uniswap 및 Lendf.me 사건에서 해커는 ERC-777 토큰 표준과 DeFi 프로토콜 간의 비 호환성으로 인해 발생하는 재진입 취약점을 악용했습니다. 대체로 말하면, 재진입 취약점은 해커가 본질적으로 imBTC의 초기 예금을 다시 지출 할 수있게하여 거래 또는 대출을 제정 할 수있는 무제한 자본을 효과적으로 제공합니다..

Uniswap

Uniswap V1에는 ERC-777 표준과 상호 작용할 때 이러한 유형의 재진입 공격을 방지 할 수있는 조치가 없기 때문에 공격이 가능해졌습니다. 전체적으로 해커는 imBTC 및 ETH에서 ~ $ 300,000 USD (~ $ 141k ETH + ~ $ 160k imBTC)로 돈을 벌었습니다..

흥미롭게도이 공격 벡터는 Uniswap이나 크립토 커뮤니티 전체에 알려지지 않았습니다. Uniswap 공격이 발생하기 거의 1 년 전에 ConsenSys가 제공하는 보안 감사 서비스 인 ConsenSys Diligence는 식별 및 게시 ERC-777 재진입 공격 벡터. Uniswap은 그들의 공격 벡터를 해결할 계획을 가지고있었습니다. 3 월 23 일 블로그 게시물 Uniswap V2의 기능에 대해.

그림 1. Uniswap imBTC 토큰 계약 잔액

그림 1. Uniswap imBTC 토큰 계약 잔액

Lendf.me

Lendf.me 사건은 대출 프로토콜과 ERC-777 토큰 표준 사이의 불완전한 호환성으로 인해 사용 가능한 동일한 재진입 취약점을 악용했지만 훨씬 더 광범위한 성공을 거두었습니다. Lendf.me 자금의 거의 100 % (미화 2,400 만 달러 이상)가 4 월 19 일 공격으로 인해 소진되었습니다..

Uniswap 이벤트와 달리 훔친 자금은 ETH와 imBTC에만 국한되지 않았습니다. 훔친 자금의 대부분은 WETH ($ 10.8m) 였지만 USDT와 HBTC는 추가로 970 만 달러를 충당했으며 그 다음으로 최소 16 개의 다른 토큰이 이어졌습니다. 아래 그래프는 4 월 19 일 공격으로 이어진 Lendf.me의 훼손된 펀드의 자산 분포와 월간 토큰 볼륨을 보여줍니다..

그림 2. 토큰 유형별 손실 자금 분배

그림 2. 토큰 유형별 손실 자금 분배

그림 3. Lendf.Me 계약 잔액

그림 3. Lendf.Me 계약 잔액

예기치 않은 사건으로 Lendf.me 해커는 훔친 자금을 프로토콜에 반환했습니다. 실수로 IP 주소를 노출 공격 중. 아래 Sankey 다이어그램은 해킹 후 자금 흐름을 보여줍니다. 자금은 Lendf.me 계약 (녹색)을 떠나 핸들러 계약 (회색)을 거쳐 해커의 주소 (검정색)로 전달되었습니다. IP가 공개 된 후 해커는 자금을 Lendf.me 관리자 주소로 다시 이체 한 후 복구 주소 (둘 다 보라색)로 자금을 이체했습니다. 도표가 많은 개별 펀드 스트림으로 흐르는 그래프의 맨 오른쪽은 Lendf.me가 반환 된 자금 개별 사용자에게.

그림 4. Lendf.Me 사건을 통한 자금 흐름

그림 4. Lendf.Me 사건을 통한 자금 흐름

DeFi 애플리케이션이 전체 재정적 동작주기를 위해 함께 연결되는 방식과 레버리지, 차익 거래, 대출 및 거래의 역학 관계가 어떻게 작동하는지 보는 것은 놀랍습니다. DEX, Loans (Flashloans) 및 Oracles 간의 시너지는 이더 리움에서 더 많은 재무 요소를 개발할 수있는 기회를 열었으며 포용적인 금융 세계로서 소규모 참가자의 장벽을 낮췄습니다..

DeFi 자산을 보호하기 위해 할 수있는 일?

스마트 계약 감사

감사 서비스는 프로토콜 또는 기능 출시 전에 엄격한 테스트와 화이트 햇 해킹을 통해 잠재적 인 계약 취약성을 식별 할 수 있습니다. 타사 자동화 도구는 일반적인 취약성 집합을 식별 할 수 있지만 이러한 도구는 실제 감사 서비스와 결합 할 때 가장 효과적입니다..

4 월의 Uniswap 공격은 감사 서비스 인 ConsenSys Diligence에 의해 예고되었습니다. 더욱이 2020 년의 사건은 보안 문제와 관련하여 DeFi 개발자들 사이에 새로운 투명성의 시대를 촉발 한 것으로 보입니다. 거래 프로토콜 Hegic의 개발자 공개 된 ‘사후 분석’게시 일부 자금을 액세스 할 수 없게 만든 코드의 버그에 대해 Exchange 프로토콜 루프 링이 프런트 엔드 취약점을 식별하고 교환을 일시 중지했습니다., 커뮤니티에 발표, 문제를 해결하기 위해 노력했습니다. 이러한 종류의 투명성은 신규 및 기존 사용자 간의 신뢰를 구축하고 더 안전한 DeFi 프로토콜 네트워크를 확장하는 데 중요합니다..

DeFi 프로토콜의 수, 복잡성 및 상호 연결성이 증가함에 따라 더 많은 보안 취약성과 손상이 발생할 가능성이 있습니다. 안타깝지만 이러한 사건은 신흥 기술의 안전한 개발에 매우 ​​중요합니다. 이러한 공격 벡터를 식별하고 보호하는 데 사용할 수있는 서비스와 도구를 더 많이 사용할수록 사람들은 새롭게 떠오르는 개방형 금융 생태계와 더 자신있게 상호 작용할 것입니다..

모니터링 및 순위 지정 도구

이더 리움 블록 체인의 개방성을 활용하여 대중이 금융 애플리케이션과보다 자신있게 상호 작용할 수 있도록 DeFi 관련 모니터링 도구 호스트를 사용할 수 있습니다.. Codefi 검사 공개 감사, 관리자 키 세부 정보, 오라클 종속성 및 온 체인 활동을 포함하여 DeFi 프로토콜에 대한 중요한 보안 정보를 집계하는 오픈 소스 도구입니다. Codefi의 DeFi 점수 DeFi 애플리케이션 중에서 선택할 때 사용자의 결정을 더 잘 알리기 위해 프로토콜간에 비교할 수있는 플랫폼 위험의 가치입니다..

네트워크 상태 모니터링 : 개별 사용자 용

대출 플랫폼에서 사용자의 예금은 청산 될 위험이있는 담보 비율이 가격 변동으로 인해 특정 임계 값 아래로 떨어지면 그림 5는 Maker의 플랫폼에서 “물린”자금의 양을 보여줍니다. 2018 년 11 월과 2020 년 3 월, ETH 가격이 역사적 최저치를 기록했을 때 1,700 만 달러 이상의 담보가 Maker에서 청산되었습니다 (2018 년 11 월 ~ $ 110 / ETH, 2020 년 3 월 ~ $ 105)..

적절한 모니터링 도구를 사용하면 사용자가 대출 플랫폼에서 자동화 된 청산을 원하지 않는 사람으로부터 자신을 더 잘 보호 할 수 있습니다. 대출 상품의 경우 필요한 담보 비율 (예금 자산 가치, 차입 자산 가치 나누기, 대부분의 경우 USD로 측정)이 금고 소유자의 안전선을 정의합니다. 담보 가치가 떨어지면 비율이 떨어지고 금고가 청산을 위해 열립니다. 사용자는 담보 비율을 추적하고 대출금을 상환하거나 예금을 추가하여 금고를 안전한 상태로 유지하고 청산 범위를 벗어날 수 있습니다. 모니터링 도구는 사용자가 사전에 조치를 취하도록 경고하기 위해 다양한 자산에 대해 신뢰할 수있는 실시간 Oracle 가격 피드를 제공하는 경우 사용자가 대출 프로토콜과 자신있게 상호 작용하는 데 중요한 역할을합니다..

그림 5. 메이커 청산 량

그림 5. 메이커 청산 량

대출 플랫폼에서 모니터링 할 또 다른 지표는 자산 유동성 풀의 활용률입니다. 가동률은 미결제 부채 총액을 유동성 풀의 공급량으로 나누어 계산합니다. 풀의 모든 자금을 빌려서 상환하지 않으면 사용률이 거의 100 %에 도달합니다..

사용률의 급격한 변화는 그룹 반응을 유발하는 시장 변화 (예 : 3 월의 ETH 가격 하락)를 반영하거나 해커가 풀을 고갈시킬 위험을 표시 할 수 있습니다 (예 : Lendf.me 사례). 그림 6은 Maker, Lendf.me 등의 자산 활용률 %를 보여줍니다. 3 월에는 대부분의 플랫폼에서 사용률이 급증하는 것을 볼 수 있습니다. 이는 3 월 12 일에 시장 이벤트에 대한 반응이 지연된 것 같습니다..

ETH 가격의 하락으로 인해 이러한 대부분의 프로토콜에서 총 공급 가치 (ETH로 뒷받침되는 경우)가 하락하여 사용률이 갑자기 급증했습니다. 한편, ETH 가격으로 담보 비율이 하락했기 때문에 청산으로 인해 막대한 부채가 청산되었습니다. 따라서 시간이 지남에 따라 이러한 많은 플랫폼에서 사용률이 감소했습니다..

Lendf.me는 해킹에 대한 사용률 그래프가 어떻게 보이는지 보여주는 예입니다. 4 월에는 모든 토큰의 사용률이 거의 즉시 100 %까지 급증하는 것을 볼 수 있습니다. 이는 해커가 ERC-777 재진입 취약점을 악용했음을 나타냅니다..

그림 6. 프로토콜 간 자산 활용률

그림 6. 프로토콜 간 자산 활용률

분산 형 거래소에서 유동성 풀 크기는 사용자가 어떤 플랫폼이 더 탄력적 인 예비금인지 결정하는 데 도움이 될 수 있습니다. DEX는 bZx에서 입증 된 차익 거래 체인에서 가장 중요한 게이트 중 하나입니다. 케이스. Uniswap은 가장 활발하게 사용되는 DEX 중 하나이며 유동성 풀은 많은 DeFi / DEX 프로토콜 인터페이스에 연결됩니다. 그림 7은 Uniswap의 유동성 풀 크기를 보여줍니다. 가장 급격한 하락은 두 번째 bZx 공격이 발생한 2 월 18 일에 발생했습니다. 2 월 18 일 Uniswap의 유동성 풀은 악용자가 KyberUniswap 보유를 통해 bZx에서 대량의 WBTC를 빌 렸기 때문에 하락했습니다. 두 번째로 큰 하락은 암호화 시장이 하락한 3 월 13 일에 발생했습니다. 3 월 13 일, 암호 화폐 보유자가 시장 변동에 대해 우려하고 Uniswap 풀에서 많은 양의 유동성을 철회했기 때문에 Uniswap 유동성 풀이 떨어졌습니다. 그러나 유동성 풀 크기가 크게 감소 했음에도 불구하고 Uniswap은 지난 몇 달 동안의 취약성과 시장 변동을 매우 잘 견뎌냈습니다. 더 큰 유동성 풀로 DeFi 프로토콜의 탄력성을 입증했습니다..

그림 7. Uniswap의 유동성 풀 크기

그림 7. Uniswap의 유동성 풀 크기

몇 가지 도구 – 같은 pools.fyi – DeFi 사용자가 주요 DEX에서 가장 큰 유동성 풀을 찾는 데 도움이 될 수 있습니다..

네트워크 상태 모니터링 : 플랫폼 용

DeFi 플랫폼의 위험 모니터링에는 이상 탐지가 포함됩니다. 일반적으로 비정상적인 행동은 1) 큰 가치 이전, 2) 높은 빈도의 거래 또는 단시간 내 기능 (특히 대중에게 노출되지 않는 기능)에 대한 호출, 3) 고정 금액의 행동으로 분류 할 수 있습니다. , 다른 모든 고정 된 기간 (봇)에서 발생하고, 4) 여러 플랫폼에서 “수퍼 유저”의 행동 및 / 또는 엄청나게 많은 자금의 소유권.

비정상적인 동작이 감지되면 프로토콜 팀은 스마트 계약에서 설계된 일부 관리자 제어를 사용할 수 있습니다. 예를 들면 다음과 같습니다.

  1. 스마트 계약 또는 프로토콜의 일부 / 모든 기능을 종료하기위한 브레이크.

  2. 일부 대량 거래에 보류 세션 추가.

  3. 의심스러운 거래 되돌리기.

비정상적인 행동의 범주에 대해 자세히 설명하려면 :

  1. 큰 자금 가치의 이전

차입, 예금, 거래 및 임계 값을 초과하는 청산을 포함하여 체인에서 발생하는 큰 가치 행동은 풀 또는 플랫폼의 안정성을 흔들거나 의심스러운 움직임 (자금 해킹, 자금 세탁 또는 공격 후 피아트 출구). 스테이 블코 인은 그 가치가 명목 화폐로 벤치마킹되기 때문에 큰 가치 이전에서 특히 중요한 역할을 할 수 있습니다..

2. 특정 시간 범위 내에서 높은 빈도의 작업 (트랜잭션 또는 특정 기능 호출 포함)

높은 빈도의 함수 호출, 특히 외부에 노출되지 않은 호출은 공격의 신호가 될 수 있습니다. 재진입은 자금을 소모하는 일반적인 공격으로, 동일한 트랜잭션 내에서 함수가 반복적으로 여러 번 호출됩니다. 보다 일반적인 경우, 플랫폼이 계약 사용의 일반 메트릭에 대한 벤치 마크 통계를 수집하고 (즉, 함수는 일반적으로 “x”번 호출 됨) 숫자가 훨씬 더 높은 트랜잭션을 모니터링하면 비정상적인 동작을 다음과 같이 캡처 할 수 있습니다. 일어나 자마자.

그림 8. 시간 경과에 따른 메이커의 CDP 오픈

그림 8. 시간 경과에 따른 메이커의 CDP 오픈

그림 8은 Maker의 플랫폼에서 발생하는 고주파 이벤트의 예를 보여줍니다. 2019 년 3 분기에 일일 CDP 오픈은 8.7k에 도달했으며 이는 과거 평균 인 172 / 일보다 훨씬 높습니다. 몇 주와 몇 달 동안 높은 CDP 오픈 배치가 몇 개 더 발생했습니다. 이러한 데이터 급증은 캠페인 사용자 획득을 목표로하지만 수동 푸시가 흔적을 남기고 모니터링하여 경계를 유지할 수 있음을 보여줍니다..

3. 고정 된 행동 패턴 (봇 탐지)

개인 또는 팀이 (일부) DeFi 프로토콜과 상호 작용할 재정 거래 봇을 구축하는 것은 합법적 인 관행이지만 플랫폼 개발 팀은 봇이 사용자 기반 경험에 미치는 영향에 대해 우려 할 수 있습니다. 자동화 된 봇 동작을 나타내는 특정 규칙 및 패턴을 정의함으로써 (다른 모든 고정 된 시간 동안 고정 된 작업 수) 봇을 감지하고 풀에 미치는 영향을 모니터링하는 메커니즘을 구축 할 수 있습니다..

4. 슈퍼 유저 (고래)

DeFi 프로토콜 사용자 기반의 활동적인 고래는 시스템의 안정성에 상당한 영향을 미칠 수 있습니다. 따라서 일반적인 체계적 보안에 대한 또 다른 접근 방식은 “수퍼 유저”의 행동을 이해하고 잠재적 위험에 대해 더 깊이 생각하는 것입니다..

그림 9. 대규모 DeFi 사용자의 움직임. Alethio Q1 DeFi 보고서의 그래프.

그림 9. 대규모 DeFi 사용자의 움직임. Alethio Q1 DeFi 보고서의 그래프.

위험 관리 제품

블록 체인 기반 보험은 한동안 존재했지만 지난 몇 개월 동안 급격히 초점을 맞췄습니다.. Nexus 상호 – 블록 체인 보험 베테랑 행동 bZx 익스플로잇 피해자의 첫 번째 응답자이며 최근에는 오핀 보호 된 자산에 대한 헤지 옵션 역할을하는이 인접한 DeFi 산업에서 최고의 플레이어로 (재) 등장했습니다. 에 따르면 블록, 이름과 유사한 다른 제품으로는 Etherisc, iXledger, VouchForMe 및 aigang이 있습니다. 이러한 위젯은 유사한 요구를 충족하는 동시에 서로를위한 추가 계층으로 보호 할 수 있습니다. Nexus 보험은 Opyn 옵션에 대해 “재보험”으로 구매할 수 있습니다..

ConsenSys는 디지털 자산을위한 자동화되고 민첩한 규제 및 규정 준수 플랫폼 인 Codefi Compliance를 출시했습니다. Codefi Compliance는 Codefi 제품군의 일부로, 비즈니스 프로세스를 최적화하고 금융 상품을 디지털화하여 상거래 및 금융을 총체적으로 지원합니다. 자금 세탁 방지 (AML) 및 테러 자금 조달 (CFT) 대응을위한 차세대 솔루션 인 Codefi Compliance는 관할권 및 설계에 관계없이 디지털 자산이 시장 및 비즈니스 요구 사항을 손상시키지 않고 규제 기대치를 충족하도록 보장합니다. 이더 리움 기반 자산 전용으로 설계되고 이더 리움 개발 리더 인 ConsenSys가 구축 한 유일한 컴플라이언스 솔루션입니다. Codefi Compliance는 KYT (know-your-transaction) 프레임 워크, 고위험 사례 관리 및 실시간보고를 포함하는 고급 규정 준수 기능을 제공합니다..

인식

고객이 DeFi에보다 자신있게 참여할 수 있도록 많은 도구와 리소스가 이미 개발되었지만 생태계에는 더 높은 수준의 인식이 필요합니다. 2 월, 3 월, 4 월의 사건을 되돌아 보면 DeFi 공간이 다음과 같다는 사실을 인정하는 것이 중요합니다.

  1. 일부 프로토콜 중에서 여전히 취약 함. 생태계 전체가 상당히 탄력적이지만 개별 프로토콜은 여전히 ​​심각한 영향을받을 수 있습니다. 특히 제한된 유동성 풀 볼륨은 쉽게 가격 하락을 유발할 수 있습니다..

  2. 이더 리움의 ‘레고’아키텍처에 따라. DeFi는 이더 리움 위에 존재하며 적어도 당분간은 ETH 가격의 건강과 안정성에 의존합니다. 이것은 특히 3 월 시장 행사에서 입증되었습니다..

  3. 초기에 공격을 받기 쉬운 생태계. 지난 몇 달 동안 사건에서 입증 된 바와 같이, 블록 체인 기술의 엄청난 기회는 기존 기술이 가지고있는 버그와 공격 벡터를 갖는 것과 동일한 경향으로부터 그것을 보호하지 못합니다..

그러나 이러한 모든 사건의 결과는 긍정적입니다. 그리고 이러한 공격은 이더 리움 커뮤니티에 새로운 것이 아닙니다. DAO 공격이 2016 년에 암호화 생태계에서 만든 파도에서 보여준 것처럼 공격으로 인해 대부분의 팀과 참여자들은 다른 제품의 보안에 더 관심을 갖게되었습니다. 그리고 이러한 인식을 바탕으로 우리는 필요를 충족하고 위험을 헤지 할 수 있도록보다 성숙한 측정 항목과 도구가 개발 될 것이라고 믿습니다..

개발자 팀의 코드베이스 이해, 유지 관리 및 개선은 전체 생태계의 건전성과 번영에 매우 중요합니다. 다른 사람의 기존 작업에 대한 검토되지 않은 포크는 심각한 결과를 초래할 수 있습니다. 프로토콜이 메인 넷에 공개되면 사실상 허니팟이되어 모든 잠재적 인 악의적 인 공격에 노출됩니다. 이러한 금융 프로토콜은 복잡하고 가치가 있지만 아직은 매우 젊기 때문에 특히 사용자의 신뢰를 위반할 수 있습니다..

DeFi 프로토콜에 대한 이러한 보안 사고에도 불구하고 업계는 여전히 압도적입니다. DeFi의 기회와 이더 리움으로 가져 오는 추진력에 대해 설명합니다. 객관적인 DeFi 통계는 긍정적 인 감정을 지원합니다. 올해의 보안 이벤트와 3 월에 시작된 상당한 시장 압력에 대응하여 잠긴 ETH는 2 월에 사상 최고치를 기록했습니다. 그러나 수준은 2019 년 12 월 수치로만 떨어졌고,이 통계는 주목할만한 보안 사고에도 불구하고 전체적으로 DeFi 생태계가 ‘돌아갈 수없는’지점을 넘어 섰음을 시사합니다. 개별 프로토콜에 대한 신뢰는 떨어졌지만, 탈 중앙화 금융의 새로운 패러다임에 대한 전반적인 헌신은 여전히 ​​강력합니다..

Danning Sui와 Everett Muzzy 작성

부인 성명

Codefi Data는 위에서 언급 한 프로젝트에 대해 선호하거나 편견을 갖지 않습니다. 논의되는 프로토콜의 범위는 제한되어 있으며 더 전체적인 관점을 얻기 위해 목록에 더 많은 것을 추가하기 위해 계속 노력할 것입니다. 이 기사를 악의적 인 행위 나 거래 제안에 대한 가이드로 사용해서는 안됩니다..

DeFiIndustry Insight 뉴스 레터 최신 이더 리움 뉴스, 엔터프라이즈 솔루션, 개발자 리소스 등을 보려면 뉴스 레터를 구독하십시오.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me