paint-brush
DAG 네트워크와 관련된 5가지 보안 사고 및 자신을 보호하는 방법~에 의해@obyte
387 판독값
387 판독값

DAG 네트워크와 관련된 5가지 보안 사고 및 자신을 보호하는 방법

~에 의해 Obyte8m2023/10/25
Read on Terminal Reader

너무 오래; 읽다

우리는 DAG 플랫폼과 관련된 몇 가지 공격을 자세히 조사하여 관련 서비스가 해킹 시도의 희생양이 된 5가지 사례를 자세히 설명합니다.
featured image - DAG 네트워크와 관련된 5가지 보안 사고 및 자신을 보호하는 방법
Obyte HackerNoon profile picture
0-item

방향성 비순환 그래프(DAG)는 블록체인 기술의 유망한 대안으로 떠올랐습니다. 블록체인과 달리 DAG는 합의에 도달하는 새로운 방법을 통해 트랜잭션이 방향성, 비순환 방식으로 연결되는 독특한 구조를 자랑합니다. 이 혁신은 더 빠른 거래 속도와 더 높은 분산화를 약속하므로 암호화폐 애호가들에게 매력적인 선택이 됩니다. 그러나 그 자체로 보안 문제가 발생할 수 있습니다.


결국 버그 현상금 프로그램에는 이유가 있습니다. 그러나 지금까지 DAG 구조가 해킹된 사례는 없다고 말할 수 있습니다. 반면, 소셜 미디어와 스마트 계약 등 관련 서비스는 또 다른 이야기입니다. 사이버 범죄자는 가장 취약한 지점을 표적으로 삼으며 이는 일반적으로 DAG 외부에 있지만 어쨌든 사용자를 표적으로 삼습니다.


우리는 DAG 플랫폼과 관련된 일부 공격을 자세히 조사하여 관련 서비스가 해킹 시도의 희생양이 된 5가지 사례를 자세히 설명합니다. 또한, 그러한 위협으로부터 자신을 보호하기 위한 전략과 모범 사례를 살펴보겠습니다. 당신이 노련한 투자자이든, 신규 투자자이든, 이해하세요 이러한 도전 점점 복잡해지는 암호화폐 생태계에서 디지털 자산을 보호하는 데 필수적입니다.


나노 + 비트그레일


2018년에 암호화폐 세계는 이탈리아 암호화폐 거래소 BitGrail과 디지털 화폐 Nano(이전의 Raiblocks)와 관련된 대규모 보안 침해를 목격했습니다. 이 통화는 DAG(더 정확하게는 블록 격자)와 같은 구조의 원장을 사용하며 합의 시스템은 지분 증명(PoS) 블록체인과 매우 유사합니다.


사건 BitGrail이 플랫폼에서 상당한 양의 Nano 토큰이 누락되었다고 보고했을 때 시작되었습니다. 거래소 설립자인 프란체스코 피라노(Francesco Firano)는 해킹 으로 인해 당시 약 1억 7천만 달러에 해당하는 약 1,700만 개의 Nano 토큰이 도난당했다고 주장했습니다.


2017년 BitGrail, RaiBlocks(Nano) 거래. 인터넷 아카이브의 이미지

BitGrail 해킹의 여파는 거래소 경영진과 Nano 개발팀 간의 논쟁으로 표시되었습니다. Firano는 처음에 Nano의 코드가 취약점의 원인이라고 제안했으며 도난에 대한 책임은 개발자에게 있습니다. 그는 Nano 팀이 (해킹을 지우기 위해) 논쟁의 여지가 있는 포크(업데이트)를 보유할 것을 요구했지만 그들은 이를 거부했습니다.


나중에 추가 조사를 통해 BitGrail의 보안 조치와 내부 통제가 부적절하여 사용자 자금이 손상되었다는 사실이 밝혀졌습니다. 실제로 해킹은 Nano의 가격 상승을 확인하는 시점에 발생했으며 Firano는 위반이 2017년부터 발생했다는 사실을 숨겼습니다. BitGrail과 Firano는 최소한 두 건의 집단소송 , 그리고 궁극적으로 Firano가 공격에 직접적인 책임이 있는 것으로 밝혀졌습니다.


이 경우 DAG는 공격을 받지 않았지만 사용자는 잘못된 회사를 신뢰했습니다. 중앙 집중식 거래소에서는 자금에 대한 개인 키가 없습니다. 대신 비밀번호가 있는 계좌만 제공되며, 자금은 해당 회사에서 전액 관리(통제)합니다. 그들이 지면(해킹, 파산 등) 당신도 지게 됩니다. 그렇기 때문에 거래소를 영구 지갑으로 사용하지 않는 것이 중요합니다.


IOTA + 문페이


IOTA는 DAG(방향성 비순환 그래프) 기술을 활용하여 더 빠른 거래를 가능하게 하는 암호화폐 플랫폼으로, 사물 인터넷(IoT) 부문에 중점을 두고 있습니다. 블록체인과 달리 IOTA의 Tangle DAG를 사용하면 사용자가 다른 사람을 확인하여 거래를 확인할 수 있지만 합의를 달성하기 위한 궁극적인 조정자 노드가 있습니다. (2016년부터) 이를 없애려고 했으나 그 동안 코디네이터는 IOTA 재단에 의해 통제되고 네트워크는 중앙 집중화됩니다.


아이오타 웹사이트

이는 2020년 2월 대규모 침해 이후 코디네이터에 의해 전체 네트워크가 정지되었을 때 광범위하게 입증되었습니다. 당시 해커들은 IOTA의 기본 토큰 MIOTA에서 사용자로부터 직접 850만 달러(당시 약 200만 달러)를 훔쳤습니다. 아이오타 트리니티 지갑 Moonpay 서버에서 불법 버전의 Moonpay SDK를 로드하여 사용자의 지갑 시드를 손상시킨 Moonpay(암호화 결제 서비스)의 제3자 종속성으로 인해 보안 위반이 발생했습니다.


사이버 범죄자는 캐시된 파일을 덮어쓰고 흔적을 제거하기 위해 새로운 Trinity 버전을 기다렸습니다. IOTA 재단은 코디네이터를 중단하고 공개 상태 업데이트를 통해 사고 관리 계획을 수립하는 등 즉각적인 조치를 취했습니다. 공격에는 DNS 가로채기, 코드 수정, API 키 오용이 포함되었습니다.


IOTA는 영향을 받는 사용자를 위한 마이그레이션 도구를 개발하고, 분석 도구를 강화하고, 보안 전문가 및 법 집행 기관과 협력하여 대응했습니다. Trinity는 더 이상 사용되지 않으며 MoonPay는 협력했다 문제를 해결하기 위해 그들과 함께 하세요. 그러니까 다시 말씀드리지만, 침해된 DAG가 아니라 이와 관련된 외부 서비스였습니다.


헤데라 해시그래프


헤데라 해시그래프(Hedera Hashgraph)는 합의를 위해 방향성 비순환 그래프(DAG)를 활용하는 분산 원장 시스템입니다. 헤데라에서는 가십 프로토콜 , 노드는 서로 새로운 정보를 공유하며 여러 번의 공유를 통해 점차적으로 합의에 도달합니다. 이러한 정보 공유 이벤트 내역은 DAG의 일종인 해시 그래프로 표시됩니다. 이 시스템은 특허를 받았지만 오류가 없는 것은 아닙니다.


블록체인 대 해시그래프. 이미지 제공: Hedera

2023년 3월 9일, 헤데라 해시그래프 네트워크 피해자가 되다 스마트 계약 악용으로 인해 Pangolin, SaucerSwap 및 HeliSwap과 같은 분산형 거래소(DEX)에서 다양한 토큰이 도난당했습니다. 소매 사용자 계정과 Hedera 지갑은 영향을 받지 않았지만 공격자는 거의 $600,000 상당의 토큰을 훔치는 데 성공했습니다. 여기에는 DAI Stablecoin, Tether USD, USD Coin 및 Wrapped HBAR이 포함되었습니다.


공격을 완화하기 위해 신속한 조치가 취해졌습니다. DEX와 브리지는 침해 경고를 받은 후 1시간 이내에 브리지를 통한 토큰 흐름을 중단하기 위해 협력했습니다. Hedera 팀은 IOTA와 같이 중앙 집중화된 네트워크 덕분에 Hedera 메인넷에 대한 프록시 액세스를 비활성화하여 사용자와 공격자의 추가 액세스를 방지했습니다. 취약점 발견 후 41시간 이내에 수정 사항이 신속하게 개발, 테스트 및 구현되었습니다.


다른 DAG의 이전 공격과 달리 이번에는 기본 시스템, 특히 스마트 계약 계층이 실제로 손상되었습니다. 팀은 이를 완화하기 위해 신속하게 조치를 취했습니다.


Sui 네트워크 + 디스코드


Sui Network는 2023년 5월에 출시된 분산 원장입니다. 거래를 간단한 거래(예: 송금)와 복잡한 거래(예: 온라인 경매)로 나눕니다. 단순 거래에는 합의가 필요하지 않지만, 복잡한 거래 PoS(지분 증명) 유효성 검사기와 Bullshark라는 처리량이 높은 DAG 기반 합의 프로토콜을 사용합니다.


Sui Network 트위터(X) 계정

이 네트워크는 특히 신기술과 관련하여 예방이 중요하다는 것을 입증했습니다. 메인넷 출시 직전에 보안 회사 CertiK는 시스템에서 심각한 버그를 발견했습니다. 이 결함은 악의적인 스마트 계약에 의해 유발될 수 있는 Sui 코드 내의 무한 루프 버그였습니다. "HamsterWheel 공격"으로 알려진 이러한 유형의 공격은 노드를 충돌시키지 않고 대신 새로운 트랜잭션을 처리하지 않고 끝없이 실행되도록 유지하여 네트워크를 작동 불가능하게 만듭니다.


일단 버그 확인되었다 , Sui 개발자는 영향을 완화하기 위해 신속하게 수정 사항을 구현했으며 CertiK는 이러한 수정 사항이 이미 배포되었음을 확인했습니다. Sui 재단은 버그 현상금으로 CertiK에 500,000달러를 수여했습니다. 하지만 이 플랫폼이 직면한 유일한 위협은 아니었습니다.


잠재적인 버그가 발생하기 전인 2022년 8월에도 Mysten Labs(Sui 크리에이터)의 Discord 서버가 해킹당했습니다. 공지사항이 공유되었습니다 트위터에서 , 여러 사용자가 이벤트로 인해 자금을 잃었다고 불평했습니다. 이 사건은 해커들이 서버의 공지 채널에서 에어드롭으로 추정되는 링크를 공유하는 것과 관련이 있었습니다. 이후 채팅의 보안 및 확인 프로세스를 강화했습니다.

눈사태 + DeFi


Avalanche는 블록체인 대신 DAG 구조를 사용하는 또 다른 암호화 프로토콜입니다. 그것은 다음과 같이 구성됩니다 다른 체인 : 스마트 계약을 위한 계약 체인(C-Chain), 낮은 수수료로 빠른 자금 이체를 위한 Exchange 체인(X-Chain), 스테이킹과 보상을 위한 플랫폼 체인(P-Chain). 특히 X-Chain은 DAG 기술을 활용하여 높은 처리량과 빠른 트랜잭션 최종성을 달성합니다.


눈사태 웹사이트


Avalanche를 기반으로 한 여러 DeFi 프로토콜은 수년에 걸쳐 중요한 공격에 직면해 왔습니다. 세간의 이목을 끄는 첫 번째 해킹은 대출 플랫폼을 대상으로 한 것이었습니다. 비 파이낸스 공격은 가격 정보를 단일 소스(오라클)에 의존했기 때문에 발생했는데, 이 소스는 소수점을 제대로 처리하지 못했습니다. 이를 통해 공격자는 가격을 조작하고 거래해서는 안 되는 쌍에 대해 거래를 실행할 수 있었습니다.


이로 인해 8804.7 ETH와 213.93 BTC(당시 약 3,600만 달러)가 무단 인출되었습니다. 토큰은 이후 이더리움으로 연결되어 공격자의 소유로 남아 있습니다. Vee Finance는 플랫폼 계약 및 관련 기능을 중단하고(플랫폼이 DeFi라는 용어가 암시하는 것처럼 분산화되지 않았음을 입증함) 적극적으로 자산 복구 노력을 추구했습니다. 그러나 이것이 Avalanche의 전부는 아니었습니다. 시간이 지나면 더 많은 공격이 이루어질 것입니다.


지난 2023년 2월, 멀티체인 애그리게이터 Dexible과 DEX Platypus라는 두 개의 DeFi 프로토콜이 다시 해킹당했습니다. 첫 번째 경우 , 공격자는 앱의 selfSwap 기능을 활용하여 토큰에 액세스하도록 앱을 승인한 사용자로부터 200만 달러 상당의 암호화폐를 이동했습니다. Dexible은 계약을 일시 중지하고 사용자에게 토큰 인증을 취소하도록 권고했습니다.


두 번째 경우에는 오리너구리 길을 잃었다 850만 달러 규모의 플래시 대출 공격. 해커는 확인되지 않은 소스 코드가 포함된 악의적인 스마트 계약을 사용하여 프로토콜의 자산 계약을 악용했습니다. 자, 세 가지 경우에 대해 우리는 처음부터 DeFi 개발자들로부터 일부 버그가 탈출하여 자금 손실을 초래했다고 말할 수 있습니다.


DAG 위험으로부터 자신을 보호하세요


DAG(방향성 비순환 그래프) 플랫폼의 일반 사용자의 경우 위험을 완화하기 위해 몇 가지 주요 보안 조치 및 보호 조치를 적용할 수 있습니다.


  • 평판이 좋은 서비스 사용: 지갑이나 거래소와 같은 제3자 서비스를 사용하기 전에 해당 서비스가 보안에 대해 좋은 평판을 갖고 있는지 조사하십시오. 또한 오랜 기간 동안 거래소에 대량의 암호화폐를 남겨 두지 마십시오.
  • 개인 키 보안: 개인 키를 제어할 수 있는 지갑이 있는 경우 이를 사용하십시오. 이는 귀하가 귀하의 자금을 직접 통제할 수 있음을 의미합니다. 콜드 지갑은 추가적인 보안 계층을 제공합니다.


  • 강력한 비밀번호를 사용하고 2FA를 활성화하세요. 암호화폐 관련 계정을 다룰 때는 강력하고 고유한 비밀번호를 사용하세요. 비밀번호를 안전하게 보호하려면 평판이 좋은 비밀번호 관리자를 사용하는 것이 좋습니다. 가능하다면 계정에서 2단계 인증(2FA)을 활성화하세요.


Obyte에서는 다중 장치 계정을 2FA로 생성하고 처리할 수 있습니다.


  • 최신 정보 유지: 사용 중인 DAG 플랫폼에 관한 최신 뉴스 및 개발 정보를 받아보세요. 잠재적인 취약점을 이해하면 예방 조치를 취하는 데 도움이 될 수 있습니다.
  • 피싱 사기 주의: 로그인 정보나 개인 키를 도용하려는 피싱 이메일, 메시지 또는 웹사이트에 주의하세요. 항상 URL과 소스를 다시 확인하세요.


  • 정기적으로 권한 검토: 지갑이나 토큰에 대한 액세스 권한을 요청하는 애플리케이션이나 서비스의 경우 더 이상 필요하지 않은 경우 이러한 권한을 검토하고 취소하십시오.

  • 투자 다각화: 모든 자산을 단일 암호화폐나 플랫폼에 투자하지 마십시오. 다각화는 위험을 분산시키는 데 도움이 될 수 있습니다.


지금까지 Obyte(암호화-DAG 플랫폼이기도 함)는 시스템이나 관련 서비스에 대해 세간의 이목을 끄는 해킹을 겪지 않았습니다. 그렇다고 해서 공격에 면역이 되는 것은 아닙니다. 버그 현상금 프로그램 숙련된 개발자에게 높은 보상을 제공하는 Immunefi에서 활동하고 있습니다. 그러나 항상 다음을 적용하는 것이 중요합니다. 최고의 보안 조치 자신의 지갑에서 각 플랫폼에 대해 직접 조사해 보세요!



주요 벡터 이미지 작성자: 프리픽