대기업은 정말 안전한가요? Binance, KuCoin 및 Jump의 주요 지갑의 계약 승인 위험 해석

원본 출처: Dilation Effect와 Wu Shuo 블록체인 공동 출시

주류 거래소와 기관은 의심할 여지 없이 네트워크 보안 보호에 많은 돈과 인력을 투자했습니다.Dilation Effect는 이러한 기관의 내부 보안 수준과 구현 세부 사항을 알 수 없습니다.주소를 간단히 분석하고 미시 지식을 보고 여부를 고려하십시오. 이러한 주소는 일반 사용자의 관점에서 볼 때 잠재적인 보안 위험이 있으며 잠재적 위험 노출이 얼마나 큰지 확인합니다.

이 플래시 리뷰의 데이터는 Etherscan 및 Debank와 같은 공공 서비스에서 제공됩니다.

1. 분석 대상 선택

Etherscan의 상위 1000개 계정을 확인하고 태그가 지정된 기관의 주소를 선택하십시오.

2. 분석 차원의 선택

지갑을 생성하고 관리하는 이러한 거래소 및 기관의 기술적 세부 사항을 모르기 때문에 주소의 보안을 분석하는 방법은 무엇입니까? 이번에 Dilation Effect가 선택한 차원은 이들 주소의 컨트랙트 권한을 분석하는 것입니다.

악의적인 계약에 의해 주소가 사취되거나 승인된 계약에 허점이 있기 때문에 코인을 훔치는 것은 매우 일반적인 공격입니다. 권한의 양을 제한하고 주기적으로 권한을 지우는 것이 최고의 보안 관행이 되었습니다. 그렇다면 이러한 대규모 거래소의 주소는 어떤가요?우리는 분석을 위해 몇 개의 주소를 무작위로 선택합니다.

사례 1번

주소:

Binance 8 (0xF977814e90dA44bFA03b6295A0616a897441aceC)

바이낸스에서 가장 많은 잔액이 있는 지갑 주소입니다.ETH 체인의 잔액은 미화 100억 달러이며 다른 체인을 합하면 총 161억 달러입니다. 일부 자산의 스크린샷은 다음과 같습니다.

ETH 체인에서 이 주소의 계약 승인을 확인하고 32억 달러의 위험이 있음을 확인합니다. 물론 이것은 결정론적 보안 위험이 있어야 한다는 것을 의미하지 않으며 잠재적인 위험 노출에 대한 가능한 설명일 뿐입니다.

그러면 이 주소가 어떤 통화로 어떤 계약에 승인되고 승인 금액은 얼마인지 등 어떻게 승인되는지 살펴보겠습니다. 아래는 쿼리 결과 중 일부를 발췌한 것입니다.

이때 이상한 현상이 발견됩니다. 즉, 이 주소의 일부 통화는 승인 금액을 제한하는 반면 일부 통화는 직접 제한이 없으며 승인 금액 규칙이 균일하지 않은 것 같습니다. 특히 잔액이 많은 BUSD, Matic, SHIB, SAND에 주목하고 있으며 주소 잔액은 19억 달러, 4억 6천만 달러, 2억 6천만 달러, 1억 4천만 달러이며 관련 승인 기록은 다음과 같습니다. 다음과 같습니다.

여기에는 몇 가지 명백한 문제가 있습니다.

하나는 계약의 승인이 정기적으로 정리되지 않는다는 것입니다. 예를 들어, BUSD에 대한 계약 승인이 2년 이상 정리되지 않았거나 주의를 기울이지 않았거나 불필요한 것으로 간주됩니다. 이것은 Binance가 내부 보안 관리 측면에서 이 영역에 대한 체계적인 커버리지가 부족함을 보여줍니다. 일부 사람들은 관련 권한 계약을 분석한 후 이러한 계약이 수행할 수 있는 작업이 제한적이고 비교적 안전하다는 것을 발견했다고 말할 수 있습니다. 그러나 우리가 말하고 싶은 것은 이것이 순전히 기술적인 문제가 아니라 보안 관리 문제에 가깝다는 것입니다. 즉, 여기서 바이낸스가 제3자 계약으로 인한 위험을 어떻게 종합적이고 체계적으로 관리하느냐는 것이 더 엄격하고 심층적으로 이루어질 수 있다고 생각합니다. 실제로 자세히 살펴보면 Aave: Lending Pool V2는 업그레이드 가능한 대리 계약임을 알 수 있습니다.

둘째, 다수의 통화에 대한 승인 금액에는 제한이 없습니다. 해당 계약이 공격당하는 극단적인 상황이 발생하는 경우 승인된 금액이 제한되면 그에 따라 위험이 줄어듭니다. 이것은 또한 Binance가 내부 보안 관리 측면에서 시스템 범위가 부족하다는 것을 보여줍니다. 물론 극단적인 상황이라고 하시겠지만, 크립토 산업의 경우 역사상 작은 확률의 사건들이 많이 일어났습니다. 우리는 위험 민감도를 높여야 하며 극단적인 위험 회피를 유지하는 것이 매우 필요합니다.

세 번째는 통화 승인 규칙이 균일하지 않다는 것입니다.일부 통화는 할당량이 제한되어 있고 다른 통화는 할당량 제한이 전혀 없으며 작업이 균일하지 않습니다. 이것은 Binance의 내부 보안 관리 작업이 명확하지 않거나 내부 팀이 분업을 잘 수행하지 못했음을 보여줍니다.

또한 자산 잔액이 많은 주소가 Defi 계약 운영에 자주 참여하는 이유도 매우 궁금합니다. 바이낸스가 보다 세분화된 주소 계획 및 격리 설계를 할 수 있습니까?

사례 2

주소:

Kucoin 6 (0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)

이것은 ETH 체인에 17억 달러, 다른 체인에 19억 달러를 합친 Kucoin 거래소의 주소입니다. 이 주소 자산의 스크린샷은 다음과 같습니다.

ETH 체인에서 이 주소의 계약 승인 상태를 확인하고 11억 달러의 위험이 있음을 확인합니다. 다시 말하지만 이는 특정 보안 위험이 있음을 의미하는 것이 아니라 잠재적인 위험 노출 가능성에 대한 설명일 뿐입니다.

그럼 쿠코인 주소 인증에 대해 알아보겠습니다.

우와! 또 재미있는 사실을 발견했습니다.

1. 이 주소의 APE 통화는 2022-04-02에 멀티체인의 크로스체인 라우터 컨트랙트에 승인되었습니다. . 이는 Kucoin이 여전히 위험 비상 대응에 개선의 여지가 있음을 보여줍니다.

2. 이 주소의 USDT(5억 달러), USDC(2억 9천만 달러), KCS(4억 8천만 달러)는 모두 Bridge라는 컨트랙트에 권한이 있으며 권한 금액은 완전히 무제한입니다. 간단한 분석 결과 Bridge는 KuCoin 커뮤니티 체인 KCC의 크로스 체인 브릿지 컨트랙트인 것으로 밝혀졌지만, KCC 공식 웹사이트에서 확인 및 검색한 결과 관련 보안 감사 보고서가 발견되지 않아 사람들을 다시 당황하게 만들었습니다. BNB 체인에 대한 200만 BNB 공격을 아직도 기억하십니까?

사례 3

주소:

Jump Trading (0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)

이것은 ETH 체인에 1억 4천만 달러, 다른 체인에 1억 5천만 달러가 있는 에이전시 Jump Trading의 주소입니다. 이 주소 자산의 스크린샷은 다음과 같습니다.

ETH 체인에서 이 주소의 계약 승인을 확인하고 2,500만 달러의 위험이 있음을 확인합니다. 다시 말하지만 이는 특정 보안 위험이 있음을 의미하는 것이 아니라 잠재적인 위험 노출 가능성에 대한 설명일 뿐입니다.

그럼 점프트레이딩 주소 인증에 대해 알아보겠습니다.

이 주소에 대한 통화에 대한 승인이 많지 않고 대부분의 승인에 할당량 제한이 있으며 전반적인 관리가 나쁘지 않음을 알 수 있습니다.

요약하다

요약하다

이 플래시 리뷰는 여기서 끝납니다. Dilation Effect는 여러 거래소 및 기관의 주소를 임의로 선택하여 분석하였으며, 결과로 판단할 때 이들 기관은 계약 승인 측면에서 완벽하지 않습니다. 본 분석이 관련 기관에 참고가 되기를 바랍니다. 주소를 추출하지 않은 거래소 및 기관도 위의 분석 과정을 참고하여 유사한 문제가 있는지 확인할 수 있습니다.