Pantera Capital 파트너: 스마트 계약 보안 실시간 모니터링 프로젝트 Forta 이해하기

원문 저자: Paul Veradittakit, Pantera Capital 파트너

번역자: 루장페이, 체인문

• 스마트 계약의 취약점은 암호 생태계에서 가장 주목받는 문제 중 하나이며, 이 문제는 DeFi 산업에서도 많은 비판을 받고 있습니다. 올해 초, Poly Network는 자칭 "화이트 해커"의 스마트 계약 공격으로 6억 달러 이상의 자산이 도난당하면서 헤드라인을 장식했습니다. 이는 암호 산업이 스마트 계약에 대한 보다 엄격한 보안 관행을 탐색해야 함을 보여줍니다.
• 많은 스마트 계약의 보안 작업은 "배포 전 감사"에 중점을 두고 있으며, 경험이 풍부한 보안 연구원이 배포 전에 스마트 계약에서 해결해야 할 주요 취약점을 식별합니다. 그러나 불행히도, 이러한 접근 방식은 계약 배포 이후 발생할 수 있는 잠재적 취약점을 정확히 포착할 수 없으며, 이러한 취약점은 악의적인 행위자에 의해 발견되어 수백만 DeFi 사용자들의 자금 안전을 위협할 수 있습니다.
• Forta는 OpenZeppelin에서 인큐베이팅한 새로운 암호 프로젝트로, 개발자가 스마트 계약의 실시간 실행 과정에서 취약점을 더 잘 식별할 수 있도록 도와줍니다. Forta는 두 가지 주요 구성 요소로 이루어져 있습니다:
• 에이전트(Agent)는 블록체인 거래에서 위협, 이상 및 기타 위험을 스캔하는 스크립트로, 누구나 스마트 계약이나 거래를 모니터링하기 위해 에이전트를 작성할 수 있으며, 에이전트 작성자 커뮤니티의 규모가 계속 확대됨에 따라 지속적으로 발전하는 스마트 계약 생태계의 잠재적 취약점을 효과적으로 해결할 수 있습니다.
• 노드(Node)는 Layer 1 또는 Layer 2 블록체인에서 에이전트를 실행하는 서버입니다. 에이전트가 스마트 계약에서 특정 문제가 발생했을 때, 노드는 경고를 발송하며, 이 경고는 IPFS에 저장되고 Polygon 블록체인에 기록됩니다.

• Forta는 또한 스마트 계약의 보안을 강화하기 위한 몇 가지 추가 기능을 제공합니다. 여기에는 개발자가 에이전트를 쉽게 배포하고 관리할 수 있는 인터페이스(Forta Connect), 사용자가 특정 경고를 탐색하고 구독할 수 있는 도구(Forta Explorer), 그리고 혼합 코드와 신중한 취약점 모니터링 암호 경고 기능을 갖춘 에이전트(Private Agents)가 포함됩니다.
• 현재까지 Forta는 비정상적으로 높은 가스 요금, 비정상적으로 높은 거래량, 재진입 요청(Reentrancy Calls) 등의 스마트 계약 경고 기능을 지원하기 위해 200개 이상의 에이전트를 배포했습니다. 현재 많은 유명 DeFi 프로젝트가 Forta와 통합을 완료하여 다양한 보안, 재무, 운영 및 거버넌스 위험을 더 잘 모니터링하고 있습니다. 또한 Forta 커뮤니티의 Discord 서버 회원 수는 10,000명을 초과했습니다.
• 궁극적으로, 실시간 취약점 탐지를 통해 Forta는 스마트 계약 보안에 대한 보다 완전한 솔루션을 제공하여 스마트 계약이 가장 안전하고 신뢰할 수 있는 기술 원형이 되도록 도와주며, 이를 통해 Web 3의 안전하고 탈중앙화된 비전을 실현할 수 있습니다.

새로운 기술이 가져오는 새로운 위험

2015년 이더리움이 출시된 이후, 스마트 계약은 Web 3 기술의 핵심 기능이자 특징이 되었습니다. 비트코인은 완전한 탈중앙화 공개 원장이 가능하다는 것을 보여주었고, 이더리움은 완전한 탈중앙화 계산 모델을 가져왔습니다. 신뢰와 투명성 측면에서, 적어도 현재로서는 다른 어떤 계산 모델도 이더리움과 비교할 수 없습니다. 스마트 계약 덕분에 개발자는 맞춤형으로 구축된 애플리케이션을 블록체인에 배포할 수 있으며, 수백 개의 사용 사례를 지원하고 있습니다. 현재 이러한 사용 사례는 수십억 달러 규모의 생태계로 발전하였으며, 오늘날 대부분의 암호 프로젝트의 핵심이 되었고, Solana, Binance Smart Chain 및 Polkadot과 같은 많은 다른 블록체인의 빠른 성장을 촉진했습니다.

동시에 새로운 기술의 출현은 불가피하게 새로운 위험을 동반합니다. 올해 초, Poly Network는 자칭 "화이트 해커"의 스마트 계약 공격으로 6억 달러 이상의 자산이 도난당하면서 헤드라인을 장식했습니다. 해커가 자산을 전액 반환했지만, 이 사건은 암호 산업이 스마트 계약에 대한 보다 엄격한 보안 관행을 탐색해야 함을 보여줍니다. 기술적으로 차세대 금융 시스템은 보다 시기적절한 공격 모니터링 기능이 필요합니다. 스마트 계약의 취약점은 암호 생태계에서 가장 주목받는 문제 중 하나로, "스마트 계약 위험"(smart contract risk)이라는 용어가 금융 분야에서 사용되기 시작했습니다. 이는 계약 실행 중 발생하는 오류와 버그를 설명하는 데 사용되며, 이러한 문제는 종종 디지털 자산 위험을 초래하고 사람들의 투자 결정에 영향을 미칩니다.

일회성 감사에서 실시간 보안 기능 제공으로

현재 스마트 계약의 보안성을 평가하는 데 있어 대부분의 작업은 여전히 감사에 집중되어 있습니다. 예를 들어, 프로젝트 측은 경험이 풍부한 스마트 계약 개발자를 고용하여 계약을 검토하고 테스트하여 프로젝트 공개 전에 잠재적 취약점을 식별합니다. 감사는 안전한 블록체인 개발에 필수적이지만, 만능 해결책은 아닙니다. 감사된 많은 암호 프로젝트가 스마트 계약 해커 공격의 희생양이 되었으며, 공격 매개체는 프로젝트 생애 주기의 후반부에서만 발견됩니다.

이러한 상황에서 잠재적 공격을 예방하기 위해 애플리케이션의 상태와 보안을 지속적으로 모니터링하는 것이 매우 중요합니다. 스마트 계약이 배포된 후에도 지속적인 모니터링이 계속되어야 합니다. Web 2 분야에서는 이 개념을 "런타임 보안(Runtime Security)"이라고 하며, 대부분의 현대 클라우드 호스팅 서비스에서 실시간 애플리케이션 모니터링 및 경고 도구는 필수품이 되었습니다. 그러나 Web 3 분야에서는 애플리케이션의 탈중앙화 특성과 스마트 계약 모델 개념이 상대적으로 새롭기 때문에 "런타임 보안"을 구현하는 것이 예상보다 훨씬 더 어렵습니다.

Forta는 Web 3 애플리케이션을 위한 새로운 탈중앙화 "런타임 보안" 프로토콜로, 개발자가 스마트 계약의 실시간 실행 과정에서 취약점을 더 잘 식별할 수 있도록 도와줍니다. 이 프로젝트는 OpenZeppelin에서 인큐베이팅되었으며, 해당 팀은 Compound, Maker 및 Augur를 포함한 수십 개의 암호 프로토콜을 감사했습니다.

Forta는 어떤 솔루션을 채택했나요?

Forta의 탈중앙화 실시간 보안 솔루션은 두 가지 구성 요소를 기반으로 합니다:

• 에이전트(Agent): 거래 블록을 스캔하여 비정상 거래나 스마트 계약 상태 변화를 찾는 스크립트입니다.
• 노드(Node): Layer 1 또는 Layer 2 블록체인에서 에이전트를 실행하는 서버입니다.

에이전트가 특히 의심스러운 사건이나 상태 변화를 감지하면, 노드는 공공 경고를 발송하며, 이 경고는 IPFS에 저장되고 Polygon 블록체인에 기록됩니다.

주목할 점은 누구나 에이전트를 개발하고 Forta에서 실행할 수 있다는 것입니다. Web 3 애플리케이션의 높은 유연성과 조합 가능성은 커뮤니티 주도의 탈중앙화 보안 솔루션을 필요로 합니다. 왜냐하면 어떤 단일 참여자도 애플리케이션 내의 모든 잠재적 취약점을 식별할 수 없기 때문입니다. 현재 100명 이상의 개발자가 Forta에서 에이전트를 생성하고 배포했으며, 새로운 에이전트를 생성하고 싶다면 Forta의 소프트웨어 개발 키트(SDK)를 확인해 보시기 바랍니다.

또한 Forta는 실시간 보안을 더욱 강화하기 위한 몇 가지 다른 기능을 발표했습니다. 여기에는:

• Forta Connect: 개발자가 명령줄 대신 MetaMask를 사용하여 에이전트를 더 쉽게 배포하고 관리할 수 있도록 하는 셀프 서비스 플랫폼입니다.
• Forta Explorer: 사용자가 Slack 알림, 이메일 업데이트 등의 서비스를 통해 Forta 에이전트의 경고를 탐색하고 구독할 수 있도록 돕는 도구입니다.
• Private Agents: 이 기능은 혼합 코드와 신중한 취약점 모니터링 암호 경고 기능을 갖춘 에이전트로, 개발자가 위협을 보다 신중하게 모니터링할 수 있도록 허용합니다.

11월 15일, Forta 프로젝트는 스마트 계약 운영 플랫폼 OpenZeppelin Defender와의 통합을 완료하여 개발자가 통합된 사용자 인터페이스를 통해 스마트 계약 보안을 더 쉽게 조작하고 모니터링할 수 있도록 합니다.

실제로 어떻게 작동하나요?

예를 들어, 2021년 8월 해커가 Poly Network에 대해 수행한 공격으로 돌아가 보겠습니다.

Poly Network는 사용자가 서로 다른 Layer 1 및 Layer 2 블록체인 간에 디지털 자산을 전송할 수 있도록 하는 프로토콜입니다. 사용자는 송신 체인에서 자산을 잠그고 수신 체인에서 동일한 양의 새 자산을 발행하여 이를 실현합니다. 좀 더 구체적으로 말하면, 사용자는 수신 체인에 있는 Poly Network 지갑을 통해 수신 체인에서 발행된 자산에 접근할 수 있습니다. 공격 중 해커는 수신 체인에 있는 Poly Network 지갑의 공개 키를 해커 자신의 공개 키로 교체했습니다. 이는 해커가 Poly Network 지갑에 대한 완전한 제어권을 얻었다는 것을 의미하며, 이를 통해 사용자의 발행된 자산을 쉽게 훔칠 수 있었습니다.

Forta를 사용한 실시간 모니터링은 이러한 공격을 방지하거나 공격의 피해를 줄일 수 있으며, 두 가지 간단한 방법으로 이를 실현할 수 있습니다:

• 해커가 자신의 공개 키로 Poly Network의 공개 키를 교체할 때, 에이전트는 Poly Network 스마트 계약 상태의 비정상적인 변화를 감지했을 수 있습니다. Poly Network 팀이 이러한 상태 변화를 효과적으로 모니터링했다면, 원래의 공개 키를 신속하게 복구하여 공격을 완전히 차단할 수 있습니다.
• 에이전트는 수신 체인에서 Poly Network 지갑 잔액에 큰 비정상적인 변화가 발생했음을 감지할 수 있으며, 이를 통해 팀이 공격을 더 빨리 인식하고 손실을 제한할 수 있습니다.

현재까지 200개 이상의 에이전트가 배포되어 위의 취약점을 식별하고 표시하는 데 사용되고 있으며, 일부 업계 선도 DeFi 프로젝트도 Forta와 통합하여 보안, 재무, 운영 및 거버넌스 위험을 모니터링하고 있습니다. Forta가 10월 1일 출범을 발표한 이후, 그들의 Discord 커뮤니티 회원 수는 10,000명을 초과했습니다.

마지막 생각

블록체인 보안은 지속적으로 강화되어야 하며, 이를 통해 기관과 주류가 암호를 더 잘 수용할 수 있도록 하는 것이 매우 중요합니다. 2021년 초 Poly Network에 대한 공격, 2016년 DAO 및 2017년 Parity와 같은 해커 공격은 많은 잠재 사용자들의 암호 및 DeFi에 대한 신뢰를 훼손했습니다. 블록체인과 스마트 계약이 차세대 금융 시스템을 지탱하는 기본 기술이 되기 위해서는 이러한 사건을 해결하고 미래에 이러한 사건이 발생하지 않도록 방지해야 하며, 이를 통해 사람들의 신뢰를 다시 얻을 수 있습니다.

Web 3 "런타임 보안"을 단순한 도구로 추상화함으로써, Forta는 개발자가 스마트 계약을 더 잘 작성하고 관리할 수 있도록 도와주며, 더욱 엄격한 보안 관행을 갖추게 합니다.

뿐만 아니라, 탈중앙화 솔루션으로서 Forta는 누구나 스마트 계약 내의 특정 행동을 추적할 수 있도록 허용합니다. 현재 스마트 계약 생태계의 취약점이 점점 더 많아지고 있기 때문에, 탈중앙화 솔루션을 채택하는 것이 매우 필요합니다. 궁극적으로 Forta는 스마트 계약의 보안을 더욱 강화하고, 스마트 계약이 인터넷의 기반 시설이 되도록 도와주며, 이를 통해 Web 3의 탈중앙화, 안전 및 비신뢰의 위대한 비전을 실현할 것입니다.