a16z: 일반적인 공격 유형에 대한 자세한 설명과 Web3 보안 분야에서 배운 교훈
원문 편집: 후타오, 체인캐처
원래 제목: "Web3 Security: Attack Types and Lessons Learned》
원문 편집: 후타오, 체인캐처
web3 보안의 상당 부분은 약속을 하고 인간의 개입에 탄력적인 블록체인의 탁월한 능력에 달려 있습니다. 그러나 이와 관련된 완결성(트랜잭션은 종종 되돌릴 수 없음)으로 인해 이러한 소프트웨어 제어 네트워크는 공격자에게 매력적인 대상이 됩니다. 실제로 web3의 기반이 되는 분산형 컴퓨터 네트워크인 블록체인과 이에 수반되는 기술 및 애플리케이션이 가치를 축적함에 따라 점점 더 공격자들의 탐나는 표적이 되고 있습니다.
web3가 인터넷의 이전 반복과 다르지만 우리는보안 동향공통점. 많은 경우 가장 큰 문제는 여느 때와 동일합니다. 개발자, 보안 팀 또는 일상적인 암호화폐 사용자 등 수비수는 이러한 영역을 연구함으로써 잠재적인 도둑으로부터 자신과 프로젝트 및 지갑을 더 잘 보호할 수 있습니다. 아래에서 우리는 경험을 바탕으로 몇 가지 일반적인 주제와 예측을 제안합니다.
자금을 따르십시오
공격자는 일반적으로 투자 수익을 극대화하는 것을 목표로 합니다. 그들은 잠재적인 보상이 더 크기 때문에 더 많은 "잠금된 총 가치" 또는 TVL로 프로토콜을 공격하는 데 더 많은 시간과 노력을 들일 수 있습니다.
가장 수완이 풍부한 해커 그룹은 가치가 높은 시스템을 더 자주 표적으로 삼습니다. 새로운 공격은 또한 이러한 중요한 대상을 더 자주 표적으로 삼고 있습니다.
피싱과 같은 저비용 공격은 결코 사라지지 않을 것이며 가까운 미래에 이러한 공격이 더 보편화될 것으로 예상합니다.
버그 수정
개발자가 검증된 공격으로부터 학습함에 따라 web3 소프트웨어의 상태를 "기본적으로 안전"한 지점까지 높일 수 있습니다. 일반적으로 여기에는 애플리케이션 프로그래밍 인터페이스를 강화하거나API, 사람들이 실수로 버그를 도입하는 것을 더 어렵게 만듭니다.
보안은 항상 진행 중인 작업이지만 방어자와 개발자는 공격자에 대한 저비용 과일을 많이 제거하여 공격 비용을 증가시킬 수 있습니다.
보안 관행이 개선되고 도구가 성숙함에 따라 거버넌스 공격, 가격 오라클 조작 및 재진입 취약점과 같은 공격의 성공률이 크게 떨어질 수 있습니다. (아래에서 자세히 설명합니다.)
"완벽한" 보안을 보장할 수 없는 플랫폼은 손실 가능성을 줄이기 위해 취약성 완화를 사용해야 합니다. 이는 비용-이득 분석의 "이점" 또는 장점을 줄임으로써 공격자를 저지할 수 있습니다.
분류 공격
서로 다른 시스템에 대한 공격은 공통된 특성에 따라 분류할 수 있습니다. 정의 특성에는 공격의 정교함, 공격이 얼마나 자동화되었는지, 공격을 방어하기 위해 취할 수 있는 예방 조치가 포함됩니다.
아래는 지난 해 가장 큰 해킹에서 본 공격 유형의 일부 목록입니다. 또한 오늘날의 위협 환경에 대한 관찰과 미래에 web3 보안이 어디로 갈 것으로 예상하는지를 포함합니다.
APT 작전: 상위 포식자
APT(Advanced Persistent Threat)라고도 하는 전문 적들은 보안 악마입니다. 그들의 동기와 능력은 매우 다양하지만 부유하고 끈기 있는 경향이 있습니다. 불행히도 그들은 항상 주변에있을 것입니다. 서로 다른 APT는 다양한 유형의 작업을 실행하지만 이러한 위협 행위자는 종종 목표를 달성하기 위해 회사의 네트워크 계층을 직접 공격할 가능성이 가장 높습니다.
우리는 일부 상위 그룹이 web3 프로젝트를 적극적으로 목표로 삼고 있다는 것을 알고 있으며 아직 식별되지 않은 다른 그룹이 있다고 생각합니다. 가장 유명한 APT의 배후에 있는 사람들은 미국 및 EU와 범죄인 인도 조약을 맺지 않은 지역에 거주하는 경향이 있어 활동에 대해 기소되기가 더 어렵습니다. 가장 잘 알려진 APT 중 하나는 라자루스(Lazarus)로 FBI는 최근 사상 최대 규모의 암호화 해킹을 수행했다고 밝혔습니다.
예:
Ronin유효성 검사기가 공격을 받았습니다.
윤곽
WHO:국가, 자금이 충분한 범죄 조직 및 기타 선진 조직 그룹. 예를 들면 로닌 해커(북한과 광범위한 관계가 있는 라자루스)가 있습니다.
복잡성:높음(일반적으로 기소되지 않는 국가에서 리소스가 풍부한 그룹에만 해당).
자동화 가능성:낮음(일부 사용자 지정 도구를 사용하는 경우 여전히 대부분 수동)
미래에 대한 기대:APT가 자신의 활동을 수익화하거나 다양한 정치적 목표를 달성할 수 있는 한 계속 활동할 것입니다.
사용자 대상 피싱: 사회 공학
피싱은 잘 알려진 일반적인 문제입니다. 피셔는 인스턴트 메시징, 이메일, 트위터, 텔레그램, 디스코드, 해킹된 웹사이트 등 다양한 채널을 통해 유인 메시지를 전송하여 먹잇감을 유인하려고 합니다. 스팸 메일함을 탐색하면 암호를 알려 주거나 돈을 훔치도록 속이려는 수백 건의 시도를 보았을 것입니다.
이제 web3를 통해 사람들은 토큰 또는 토큰과 같은 자산을 직접 거래할 수 있습니다.NFT, 피싱 캠페인이 사용자를 대상으로 하고 있다는 것이 거의 즉시 확인되었습니다. 지식이나 기술 전문성이 거의 없는 사람들에게 이러한 공격은 암호화폐를 훔쳐 돈을 버는 가장 쉬운 방법입니다. 그럼에도 불구하고 조직화된 그룹이 가치가 높은 대상을 추적하거나 고급 그룹이 예를 들어 웹 사이트 탈취를 통해 광범위하고 지갑을 소진시키는 공격을 시작하는 귀중한 방법으로 남아 있습니다.
예
사용자에게 직접OpenSea 피싱 캠페인
프런트엔드 애플리케이션용BadgerDAO 피싱 공격
윤곽
WHO:스크립팅 초보자부터 조직화된 그룹까지 누구나 가능합니다.
복잡성:낮음-중간(공격은 낮은 품질의 "스프레이" 또는슈퍼 타겟, 공격자의 노력에 따라 다름).
자동화 가능성:중간-높음(대부분의 작업을 자동화할 수 있음).
미래에 대한 기대:피싱은 비용이 적게 들고 피셔는 최신 방어 수단에 적응하고 우회하는 경향이 있으므로 이러한 공격이 증가할 것으로 예상됩니다. 교육 및 인식 향상, 필터링 개선, 경고 배너 개선, 지갑 제어 강화를 통해 사용자 방어를 개선할 수 있습니다.
공급망 취약성: 가장 약한 고리
자동차 제조업체는 차량에서 결함 부품을 발견하면 안전 리콜을 발행합니다. 소프트웨어 공급망도 예외는 아닙니다.
타사 소프트웨어 라이브러리는 대규모 공격 표면을 제공합니다. 이는 지난 12월 웹 서버 소프트웨어가 널리 퍼진 영향과 같이 web3 이전에는 교차 시스템 보안 문제였습니다.log4j 익스플로잇.공격자는 악용할 수 있는 패치되지 않은 문제를 찾기 위해 알려진 취약점이 있는지 인터넷을 스캔합니다.
가져온 코드는 프로젝트 자체 엔지니어링 팀에서 작성하지 않았을 수 있지만 유지 관리가 중요합니다. 팀은 소프트웨어 구성 요소의 취약성을 모니터링하고, 업데이트가 배포되었는지 확인하고, 의존하는 프로젝트의 추진력과 상태를 파악해야 합니다. web3 소프트웨어 악용의 실제적이고 즉각적인 비용으로 인해 이러한 문제를 사용자에게 책임감 있게 전달하는 것이 어렵습니다. 배심원단은 실수로 사용자의 자금을 위험에 빠뜨리지 않는 방식으로 팀이 이 정보를 서로에게 전달하는 방법 또는 위치에 대해 여전히 미정입니다.
예
Wormhole다리 공격
윤곽
WHO:APT, 독립 해커, 내부자와 같은 조직화된 그룹.
복잡성:보통(기술적 지식과 약간의 시간이 필요함).
자동화 가능성:보통(결함이 있는 소프트웨어 구성 요소를 자동으로 스캔할 수 있지만 새로운 취약성이 발견되면 익스플로잇을 수동으로 구축해야 함)
미래에 대한 기대:소프트웨어 시스템의 상호 의존성과 복잡성이 증가함에 따라 공급망 취약성이 증가할 가능성이 높습니다. Web3 보안을 위해 취약성 공개에 대한 우수하고 표준화된 접근 방식이 개발될 때까지 기회주의적 해킹도 증가할 가능성이 있습니다.
거버넌스 공격: 선거 약탈자
이것은 목록을 만드는 최초의 암호화 산업 관련 질문입니다. web3의 많은 프로젝트에는 토큰 보유자가 네트워크 변경 사항을 제안하고 투표할 수 있는 거버넌스 측면이 포함됩니다. 이것은 지속적인 개발 및 개선의 기회를 제공하지만 구현될 경우 네트워크를 중단시킬 수 있는 악의적인 제안을 도입할 수 있는 백도어도 엽니다.
공격자들은 통제를 우회하고 리더십을 몰수하며 국고를 약탈하는 새로운 방법을 고안했습니다. 공격자는 DeFi 프로젝트인 Beanstalk에서 최근 발생한 것처럼 충분한 표를 얻기 위해 많은 수의 "플래시 론"을 꺼낼 수 있습니다. 제안을 자동으로 실행하는 거버넌스 투표는 공격자가 더 쉽게 악용할 수 있습니다. 그러나 제안 공식화에 시간 지연이 있거나 여러 당사자가 수동으로 서명해야 하는 경우(예: 다중 서명 지갑을 통해) 구현하기가 더 어려울 수 있습니다.
예
Beanstalk자금 이체 이벤트
윤곽
WHO:조직화된 그룹(APT)에서 독립적인 해커에 이르기까지 누구나 가능합니다.
복잡성:프로토콜에 따라 낮음에서 높음으로.
자동화 가능성:프로토콜에 따라 낮음에서 높음으로.
미래에 대한 기대:이러한 공격은 특히 모니터링 및 제안 개발 프로세스와 관련된 거버넌스 도구 및 표준에 크게 의존합니다.
가격 오라클 공격: 시장 조작자
정확한 자산 가격 책정은 어렵습니다. 전통적인 거래의 세계에서 시장 조작을 통해 자산 가격을 인위적으로 부풀리거나 낮추는 것은 불법이며 벌금을 물거나 체포될 수 있습니다. 문제는 무작위 사용자가 수억 또는 수십억 달러를 "플래시 거래"하여 갑작스러운 가격 변동을 일으킬 수 있는 DeFi 시장에서 분명합니다.
신탁신탁"—실시간 데이터를 제공하는 시스템은 온체인에서 찾을 수 없는 정보 소스입니다. 예를 들어 오라클은 종종 두 자산 간의 교환 가격을 결정하는 데 사용됩니다. 그러나 공격자는 이러한 정보를 속이는 방법을 찾았습니다. 진실의 근원이라고.
오라클 표준화가 진행됨에 따라 오프체인과 온체인 세계 사이에 보다 안전한 다리가 있을 것이며 시장이 조작 시도에 더 탄력적이 될 것으로 기대할 수 있습니다. 운이 좋다면 이러한 공격이 언젠가는 거의 완전히 사라질 수도 있습니다.
예
Cream시장 조작
윤곽
WHO:조직화된 그룹(APT), 독립적인 해커 및 내부자.
복잡성:오토메이션:
오토메이션:높음(대부분의 공격에는 악용 가능한 문제의 자동 탐지가 포함됨).
미래에 대한 기대:정확한 가격 책정 방법이 더 표준화됨에 따라 낮아질 가능성이 높습니다.
새로운 취약점: 알 수 없음 알 수 없음
"제로데이" 익스플로잇(표시된 지 0일 밖에 되지 않는 취약점이기 때문에 이름이 붙여짐)은 정보 보안 분야에서 뜨거운 주제이며 web3 보안도 예외는 아닙니다. 갑자기 나타나기 때문에 방어하기 가장 어려운 공격이다.
어쨌든 web3를 사용하면 사람들이 한 번 도난당한 암호화 자금을 복구하기가 매우 어렵기 때문에 이러한 비용이 많이 들고 노동 집약적인 공격을 통해 보다 쉽게 수익을 창출할 수 있습니다. 공격자는 모든 노력을 정당화하는 버그를 찾기 위해 온체인 애플리케이션을 실행하는 코드를 자세히 살펴보는 데 많은 시간을 할애할 수 있습니다. 한편, 일부 새로운 취약점은 순진한 프로젝트를 계속 괴롭히고 있으며, 초기 이더리움 프로젝트 TheDAO에서 발생한 유명한 재진입 버그는 다른 곳에서 계속해서 재등장하고 있습니다.
업계가 이러한 유형의 취약점을 분류하는 데 얼마나 빠르고 쉽게 적응할 수 있을지는 불분명하지만 감사, 모니터링 및 도구와 같은 보안 방어에 대한 지속적인 투자는 이를 악용하려는 공격자의 비용을 증가시킬 것입니다.
예
Poly Network크로스체인 트랜잭션의 취약점
Qubit에 대한 무제한 주조 익스플로잇
윤곽
WHO:조직화된 그룹(APT), 독립적인 해커(가능성이 낮음) 및 내부자.
복잡성:보통-높음(기술 지식이 필요하지만 모든 취약점이 사람이 이해하기에 너무 복잡하지는 않음).
자동화 가능성:낮음(새로운 취약점을 발견하는 데는 시간과 노력이 필요하며 자동화될 가능성이 낮습니다. 일단 발견되면 다른 시스템에서 유사한 문제를 스캔하는 것이 더 쉬울 것입니다.)
미래에 대한 기대:더 많은 관심은 더 많은 사람들을 끌어들이고 새로운 취약점을 발견하기 위한 "진입 장벽"을 더 높게 만듭니다. 동시에 web3 채택이 증가함에 따라 검은 모자 해커가 새로운 취약점을 발견할 동기도 커집니다. 다른 많은 보안 영역과 마찬가지로 이것은 고양이와 쥐의 게임으로 남을 것입니다.
