2022년 브릿지 해킹으로 20억 달러가 소실되었습니다. 이를 어떻게 방지할 수 있었을까요?

다중 체인 미래로의 진화 과정에서, 브릿지는 암호화폐 네트워크 자체보다 해킹에 더 취약한 상태입니다. 2022년에만 토큰 브릿지 악용으로 20억 달러가 넘는 자산이 탈취되었습니다. 가장 나쁜 부분은 다중 보안 조치를 적용함으로써 모두 방지할 수 있었다는 것입니다.

2022년의 일부 공격을 조사함으로써 시스템의 주요 결함과 개별적인 보안 조치를 이해할 수 있습니다.

사회 공학

사회 공학 공격은 가장 일반적인 보안 위반 형태입니다. 모두가 어떤 시점에서 인터넷 사기나 개인 정보를 얻기 위한 “너무 좋아 보이는 제안”과 같은 페이싱이나 허니트랩을 경험해 본 적이 있습니다.

Martin Köppelmann is co-founder of Gnosis .

2022년 가장 큰 브릿지 악용의 해커들은 자금을 흡수하기 위해 유사한 방법을 사용했습니다. 유명한 암호화폐 게임인 Axie Infinity의 블록체인이 페이싱 계획을 통해 해킹되었습니다. 가짜 LinkedIn 취업 제안이 포함되었었습니다.

게임 개발자인 Sky Mavis는 직원들이 가짜 취업 제안과 여러 차례의 취업 면접을 요청받았다고 말했습니다. 직원들이 이에 빠져들면 해커들은 그들의 시스템에 액세스하여 Sky Mavis의 Ronin 네트워크에서 6.25억 달러를 탈취했습니다. Sky Mavis는 사건 후 분석을 통해 고급 스피어 피싱 공격의 피해자가 되었다는 것을 밝혔습니다.

손상된 개인 키

2022년 9월, 알고리즘 시장 메이커인 Wintermute는 Profanity 앱에서 생성된 개인 키의 취약성으로 인해 1억 6천만 달러를 해킹당한 것으로 추정됩니다.

핫 월렛의 개인 키가 악용되어 자금을 흡수했습니다. 보고서에 따르면, 이전에 Profanity의 주소에 결함이 발견되었지만, 회사는 이러한 보고서를 신중하게 다루지 않았다고 합니다.

Slope의 해킹에서도 비슷한 이유가 보고되었으며, 회사는 600만 달러의 손실을 입었습니다.

스마트 계약 버그

스마트 계약은 블록체인에 저장된 프로그램으로, 미리 정해진 조건이 충족되면 실행됩니다. 예를 들어, 전자 상거래에서는 장바구니에 추가하고 지불한 항목이 배송되어야 하는 것을 확인하는 것입니다. 스마트 계약의 결함은 해커가 어떤 조건도 충족시키지 않고 블록체인 간에 돈을 이동할 수 있게 할 수 있습니다.

Nomad의 경우, 해커들은 주요 스마트 계약의 구성 오류를 발견하여 거의 2억 달러를 브릿지에서 흡수할 수 있었습니다.

이러한 버그와 보안 결함이 해커들에 의해 이렇게 명백한 방식으로 악용되는 것은 걱정스러운 생각이지만, 더욱 문제적인 것은 사람들이 사용할 때 생각하지 않았던 ‘신뢰할 수 있는’ 시스템이 쉽게 악용될 수 있었다는 것입니다.

해결책: 다중 보안 조치

브릿지 표준은 서로 다른 블록체인 네트워크가 교신할 수 있는 규칙의 집합입니다. 이 경우, 규약 중 일부는 자체적으로 악용의 위험이 있지만, 함께 사용하면 필요한 추가 보안 계층이 추가됩니다.

개발자들은 여러 브릿지 표준을 동시에 사용함으로써, 한 프로토콜에서 보여주는 약점을 다른 프로토콜을 이용하여 보완할 수 있습니다. 다음은 추가적인 보안 계층을 추가하기 위해 결합하여 사용할 수 있는 암호화 표준 몇 가지를 살펴보겠습니다.

다중 서명과 위원회

다중 서명 기술은 거래를 실행하기 전에 여러 당사자의 서명이나 승인이 필요합니다. 이를 통해 무단 액세스를 방지하고 어떤 단일 당사자도 완전한 제어를 가지지 않도록 할 수 있습니다.

위원회 브릿지 표준은 신뢰할 수 있는 기관이나 위원회를 사용하여 네트워크 브릿지의 보안을 관리합니다. 회원들은 네트워크 거래를 승인하고 감독하는 책임을 집니다. 여러 기관이 네트워크에 접근하는 경우 위원회가 유익합니다.

제로 지식

제로 지식(ZK)은 상호작용하는 두 당사자가 절대 필요한 정보를 넘어서지 않게 정보를 교환할 수 있게 해주는 암호화 기술입니다.

ZK 모델의 통합을 통해, 개발자들은 체인 상의 라이트 클라이언트를 이용할 수 있습니다. ZK-SNARK의 “간결성” 속성과 제로 지식 증명 시스템을 사용하여 효율적으로 이 검증 과정을 수행할 수 있습니다. 최고의 보안을 위해 상태 전환 및 합의를 체인 상에서 검증할 수 있습니다.

이를 위해 온체인 라이트 클라이언트는 ZKP 시스템을 사용하여 소스 체인의 상태가 유효하다는 것을 증명합니다. 이는 소스 체인의 전체 상태를 알 필요 없이 대상 체인에서 확인할 수 있는 증명을 생성함으로써 수행됩니다. 온체인 라이트 클라이언트의 사용은 블록체인의 보안성과 확장성을 향상시키는 데 도움이 될 수 있습니다. 대상 체인에서 소스 체인의 상태를 검증함으로써 대상 체인은 소스 체인의 상태가 정확하다는 것에 대해 더욱 자신감을 가질 수 있습니다. 이는 네트워크를 확장하는 동시에 사기 및 다른 악의적인 활동을 방지하는 데 도움이 될 수 있습니다. 실제로, ZK는 특정 지갑의 소유자가 트랜잭션을 승인했음을 증명하면서 개인 키를 공개하지 않을 수 있습니다.

Optimistic

일부 브릿지는 거래 검증에 대한 ‘낙관적’ 접근 방식을 사용합니다. 여기서 대상 블록체인에서 각 거래를 즉시 검증하는 대신, 낙관적 브릿지는 각 거래가 유효하다고 가정하고 부정 거래를 발견하도록 보상합니다. 이러한 도전 기간이 경과 한 후에만 자금이 정산됩니다. 이는 낙관적 브릿지가 게임 이론적으로 안전하지만 수학적으로 안전하지 않다는 것을 의미합니다. 즉, 제3자가 일어나는 일을 주시하도록 의존합니다. 이 모든 것은 추가 유동성 공급 업체를 통해 사용자로부터 추상화되며, 이들은 브릿지 주장의 진실성을 독립적으로 확인하고 수수료를 지불하여 다른 체인에서 자금을 즉시 사용할 수 있도록 합니다.

낙관적 브릿지는 각 거래를 즉시 검증하지 않더라도 여전히 매우 안전할 수 있습니다. 이는 “도전 및 분쟁” 방법을 사용하기 때문입니다. 사용자가 거래가 잘못 처리되었다고 믿으면 거래를 도전할 수 있고 브릿지는 조사할 것입니다.

여러 브릿지 표준 구현의 어려움

말하자면, 최상의 보안은 표준의 조합을 사용하여 달성됩니다. 이렇게 하면 한 브릿지 구현이 버그나 보안 취약점을 겪더라도 다른 표준은 여전히 네트워크를 보호할 수 있습니다.

물론 브릿지는 연결된 네트워크의 합의 메커니즘에 여전히 의존해야 합니다. 브릿지는 연결하는 네트워크보다 더 안전할 수 없습니다.

다중 체인 세계에 안전하게 액세스하기

브릿지는 우리의 다중 체인 세계에 제한 없는 액세스를 제공하는 데 필요하지만, 이러한 브릿지를 공격 지점을 줄이기 위해 창의적인 방법으로 보강해야 합니다. 블록체인 기술은 낯선 사람들이 함께 모여 직접적이고 불변의 결정을 내릴 수 있도록 특별히 설계되었으며, 우리가 사용 가능한 네트워크의 전체 범위를 활용하는 데 중점을 두면 브릿지는 더욱 강력해집니다.

Jeanhee Kim과 David Z. Morris가 편집했습니다.