파구정보 (PAGU Info)

[소작농의 파구정보 따라잡기] 바이낸스 아카데미편(18)- What Is a Smart Contract Security Audit? 본문

Crypto/Binance Academy(초급자편)

[소작농의 파구정보 따라잡기] 바이낸스 아카데미편(18)- What Is a Smart Contract Security Audit?

파구 2022. 3. 3. 15:40

안녕하세요? 소작농입니다.

최근 전투 농부형님들 꽁무니 쫓아다니다가 통장이 갈려서 슬픈 날을 뒤로하고...(역시 전농은 초 고수의 영역...)
오랜만에 바이낸스 아카데미에 읽어볼만한 기본자료가 업데이트되어서 업어왔습니다.

지난 번 러그풀(Rug Pull)을 피하는 7가지 기준에 대한 글에도 나와있듯이
프로젝트에 오딧이 있느냐 없느냐가 매우 중요한 투자 기준이 되고 있으며
점점 더 대중화(?), 일반화가 되어가고 있다고 생각합니다.

관련하여 오딧이 무엇인지, 왜 진행하는지, 어떤 프로세스로 진행하는지 관련된 글을 전달 드리니 한번 읽어보시기 바랍니다!

언제나 기초부터 공부공부공부! 


[출처] 바이낸스 아카데미/토픽/디파이 세션
[Sources]
 - Binance Academy/Topic/De-fi
 - https://academy.binance.com/en/articles/what-is-a-smart-contract-security-audit 

 

What Is a Smart Contract Security Audit? | Binance Academy

Smart contract security audits check for vulnerabilities in DeFi projects’ smart contract code, helping maintain the security of users’ cryptocurrencies.

academy.binance.com

 

What Is a Smart Contract Security Audit?


Introduction

스마트 컨트랙트 보안 오딧(Security Audit/이하 오딧) DeFi(Decentralized Finance) 생태계에서 매우 일반적으로 진행되고 있습니다. 블록체인 프로젝트에 투자했다면 스마트 컨트랙트 코드 검토 결과를 기반으로 결정했다고 볼 있습니다.

대부분의 사람들은 사이버 보안에 대한 오딧의 중요성을 이해하고 있지만 코드 라인에 대해 직접 자세히 알아보는 사람은 많지 않습니다
현명한 결정을 내릴 있도록 스마트 컨트랙트 오딧을 통해 일반적으로 있는 방법 결과를 살펴보겠습니다.

What is a smart contract audit?

스마트 컨트랙트 오딧 프로젝트 의 스마트 컨트랙트 코드를 검사하고 이에 대해 설명하고 있습니다. 일반적으로 이러한 계약은 Solidity 프로그래밍 언어로 작성되고 GitHub 를 통해 제공됩니다 . 보안 오딧는 수백만 달러 또는 엄청난 수의 플레이어가 블록체인 거래를 처리할 것으로 예상되는 DeFi 프로젝트 에 특히 유용하며 일반적으로 4단계 프로세스를 따릅니다.

1. 스마트 컨트랙트 초기 분석을 위해 이를 오딧 팀에 제공됩니다.
2. 오딧 팀은 결과를 프로젝트에 제출하여 조치를 취합니다.
3. 프로젝트 팀은 발견된 문제를 기반으로 스마트 컨트랙트를 변경합니다.
4. 오딧 팀은 새로운 변경 사항이나 미해결 오류를 고려하여 최종 보고서를 발표합니다.

많은 암호화폐 사용자에게 스마트 컨트랙트 오딧 새로운 DeFi 프로젝트에 투자할 필수적으로 간주되며 투자를 고려하고 싶은 프로젝트의 표준이 되었습니다. 또한 특정 오딧 업체는 업계 리더로 간주되어 투자자 기준으로 오딧의 가치가 높아집니다.

 

Why do we need smart contract audits?

방대한 양의 가치(금액) 스마트 컨트랙트을 통해 거래되거나 잠겨 있기 때문에 해커에게 매력적이며 악의적인 공격의 대상이됩니다. 
사소한 코딩 오류로 인해 막대한 돈이 도난당할 수 있기도 합니다. 예를 들어, 이더리움 블록체인 에 대한 DAO 해킹 은 약 6천만 달러 상당의 ETH를 가져갔고 이더리움 네트워크의 하드 포크로까지 이어졌습니다
.

블록체인 거래는 되돌릴 없으므로 프로젝트의 코드가 안전한지 확인하는 것이 필수요소이며 블록체인 기술의 보안성이 다는 사고 발생 이후 자금 회수 문제 해결 어렵게 하므로 어떠한 대가를 치르더라도 사전에 오딧을 통해 취약점을 예방하는 것이 좋습니다.

How do smart contract audits work?

스마트 컨트랙트 오딧 프로세스는 이제 상당히 표준화 되어 있습니다. 각 오딧 업체마다 접근 방식은 약간 다를 있지만 일반적인 프로세스는 다음과 같습니다.

1. 오딧의 범위를 결정합니다스마트 컨트랙트 프로젝트 사양은 프로젝트(의도된 목적) 전체 아키텍처에 의해 정의됩니다사양은 오딧 팀이 코드를 작성하고 사용할 프로젝트의 목표를 이해하는 도움이 됩니다.

2. 필요한 작업량에 따라 초기 견적을 제공합니다.

3. 테스트를 실행합니다정확한 진행 오딧팀, 분석 도구 방법에 따라 달라집니다일반적으로 수동 자동 테스트가 모두 수행됩니다.

4. 오류가 발견된 보고서의 번째 초안을 만들고 피드백 후속 수정을 위해 프로젝트 팀에 제공합니다.

5. 제기된 문제를 해결하기 위해 팀에서 취한 조치를 고려하여 최종 보고서를 게시합니다.

 

Smart contract audit methods

Gas efficiency (가스 효율) 

스마트 컨트랙트 오딧 블록체인 보안에만 초점을 맞추지 않습니다오딧을 통해 효율성과 최적화를 진행합니다일부 계약은 의도한 기능을 완료하기 위해 복잡한 일련의 트랜잭션을 수행하기 때문에, 이더리움과 이 높은 가스 요금을 사용하는 네트워크의 경우 오딧을 통해 상대적으로 효율적인 계약을 만들어 거래 비용을 많이 절약 할 수 있습니다. 성능을 최적화하는 것도 개발자의 기술을 나타내는 지표라고 보며, 비효율적인 단계는 많은 실패 지점을 제공하므로 피해야 합니다가스 비용이 높으면 스마트 컨트랙트이 실행되지 않을 있으며 낮은 가스 한도가 사용되면 더욱 그렇습니다.

Contract vulnerabilities(컨트랙트 취약점)

대부분의 오딧 작업에는 보안 취약성에 대한 계약 확인이 포함됩니다일부 문제는 쉽게 있지만 악용을 할 경우에는 예치된 자금을 고갈시키는 고급 기술과 전략이 포함됩니다예를 들어, 취약한 스마트 컨트랙트를 가지고 있다며 플래시 공격을 당할 수 있으며, 이러한 문제를 찾기 위해 오딧 담당자 중단 테스트 프로세스를 시작하고 스마트 컨트랙트에 대한 악의적인 공격을 시뮬레이션합니다일반적인 취약점은 다음과 같습니다.

1. 재진입 문제: 스마트 컨트랙트이 효과가 해결되기 전에 다른 외부 계약을 외부 호출하는 경우그런 다음 외부 계약은 원래 스마트 컨트랙트을 재귀적으로 호출하고 원래 계약의 잔액이 아직 업데이트되지 않았기 때문에 없는 방식으로 상호 작용할 있습니다.

2. 정수 오버플로 언더플로: 스마트 컨트랙트이 산술 연산을 수행하지만 출력이 저장 용량(보통 소수점 18자리) 초과하는 경우이로 인해 잘못된 금액이 계산될 있습니다.

3. 선행 실행 기회: 잘못 구조화된 코드는 시장 구매 또는 판매에 대한 사전 경고를 제공할 있습니다이것은 차례로 다른 사람들이 정보를 사용하고 자신의 이익을 위해 거래하도록 허용할 있습니다.

Platform security flaws(플랫폼 보안 결함)

대부분의 오딧에는 계약을 호스팅하는 네트워크와 DApp 과 상호 작용하는 데 사용되는 API를 살펴보는 것이 포함 됩니다. 프로젝트는 DDoS 공격에 취약하거나 웹사이트 UI 손상될 있습니다. , 사용자가 실제로 지갑을 악성 블록체인 애플리케이션에 연결하게 되는 것을 방지합니다.

 

What is an audit report?

오딧 보고서는 오딧 프로세스가 끝날 제공됩니다투명성을 위해 프로젝트는 오딧의 결과를 커뮤니티와 공유해야 합니다
대부분의 보고서는 중요, 주요, 경미 등의 심각도별로 문제를 분류합니다.
또한 최종 보고서가 발표되기 전에 프로젝트에 문제를 해결할 시간이 주어지기 때문에 보고서에는 문제의 상태도 나열됩니다.

요약 보고서와 함께 표준 보고서에는 권장 사항, 중복 코드의 코딩 오류가 있는 위치에 대한 전체 분석이 포함됩니다최종 버전이 발표되기 전에 보고서의 발견 사항에 대해 조치를 취할 있는 시간이 프로젝트에 주어집니다.

 

Where can I get a smart contract audit?

많은 스마트 컨트랙트 오딧 서비스가 유명해지며 발달하였고, 특히 두개의 업체가 가장 유명해 졌습니다.

CertiK

CertiK 스마트 컨트랙트 오딧와 관련하여서는 업계 리더라고 자부합니수백 프로젝트 스마트 컨트랙트 오딧했으며, 그 중 BSC의 가장 큰 AMM( Automated Market Maker ) PancakeSwap 역시 CertiK를 통해 오딧을 진행했습니다. 아래는 PancakeSwap에 대한 Certik의 오딧 섹션입니다 .


또한 Binance Labs 지원하는 대부분의 프로젝트는 CertiK와의 계약을 오딧했습니다. CertiK 안전 점수와 함께 프로젝트를 비교할 있는 오딧된 프로젝트의 리더보드를 출시하며 Ethereum 외에도 CertiK BSC Polygon 프로젝트도 다룹니다.


ConsenSys Diligence

Ethereum 공동 설립자인 Joseph Lubin 운영하는 ConsenSys는 블록체인 개발 분야의 암호화폐 업계에서 가장 큰 이름 중 하나입니다. ConsenSys Diligence 하에 회사는 Ethereum 스마트 컨트랙트 오딧를 제공합니다. 또한 EVM(Ethereum Virtual Machine ) 계약에서 흔히 발견되는 실수를 확인하는 자동화된 서비스를 제공합니다.

 

How much does a smart contract audit cost?

정확한 오딧 비용은 확인할 스마트 컨트랙트의 수에 따라 다릅니다일반적으로 오딧에는 수천 달러 이상이 지불되며, 특정 대형 프로젝트의 비용은 $10,000 넘습니다오딧 수행하는 오딧 회사와 평판도 지불 금액에 영향을 미칩니다. (알음알음 알아보기로 최근에는 거의 $100,000에 가까운 비용이 필요하다고 하네요!?)

Closing thoughts

다행히 투자자와 사용자에게는 스마트 컨트랙트 오딧 기본적인 투자의 표준이 되었습니다그러나 모든 프로젝트에 오딧이 진행이 된다면 이 역시 이상 가치를 메길 수 있는 쉬운 지표가 아닐 수도 있습니다.(그만큼 가장 기본이 되고 대중화가 될 수 있단 뜻이지요) 
이것이 딧 정보를 스스로 살펴보는 것이 매우 중요한 이유입니다
기술적인 지식이 없더라도 잠재적인 문제의 댓글과 심각도를 살펴보는 역시 투자에 도움이 됩니다.

오딧을 한번 접하게 되면 이제 최소한 그 다음 프로젝트의 오딧 내용 쉽게 이해할 있을 것입니다
항상 그렇듯이 모든 투자 결정은 전체 그림을 보고 모든 정보를 고려하고 투자하세요!

종종 찾아올께요 :)
감사합니다.


본 글은 해당 투자를 권유하는 글이 아닙니다.
투자에 대한 판단은 본인의 책임이며,

환율, APY변동, 해킹 등 Risk가 수반되니
투자시 유의하시기 바랍니다.


이 포스팅이 유익하셨다면,
공감과 댓글 부탁 드립니다!

더 빠른 소식을 원하신다면
아래 링크로 들어와 주시기 바랍니다
파구정보 텔레그램공지방
파구정보 트위터
파구정보 디파이정보 오픈카톡방

메이저 거래소 가입링크

① 바이낸스 (Binance) 가입링크
(수수료 20% 페이백)
② 후오비 (Huobi) 가입링크
③ 후오비 코리아 가입링크
(원화거래 가능)
④ 고팍스 (GOPAX) 가입링크
⑤ 코인원 (CoinOne) 가입링크 
⑥ MXC 거래소 가입링크
⑦ Kucoin 거래소 가입링크

⑧ OKEX 거래소 가입링크

바이낸스 App 다운로드링크

Comments