대화 “암호화 배트맨” samczsun: 화이트 해커가 되는 것은 어떤 경험인가요?

출처：WLD Show 팟캐스트

편집: 린치, 곽첸원, 체인캐처

서문: Paradigm의 연구 파트너이자 보안 책임자인 samczsun은 화이트 해커로서 책임감 있게 취약점을 공개하고 교육 자료를 제공함으로써 암호 생태계에서 수억 달러를 구했습니다. 이전에 Paradigm 파트너 Dan Robinson과의 팟캐스트에서 Dan은 samczsun을 "암호화의 배트맨"이라고 불렀습니다. 암호화폐 생태계에서 많은 자금이 위험에 처할 때마다 배트 신호가 발신되고, samczsun은 상황을 구하기 위해 나타납니다.

관련 기사: 《암호 산업 최고의 화이트 해커 samczsun은 어떻게 탄생했는가?》

samczsun은 최근 WLD Show 팟캐스트에서 화이트 해커가 된 경험에 대해 이야기했으며, 아래 내용은 체인캐처가 이번 팟캐스트 내용을 정리한 것입니다:

WLD Show: 화이트 해커란 무엇인가요?

Sam: 거시적으로 보면, 그것은 당신이 일을 하는 의도가 선한지 악한지에 달려 있습니다. 물론 선과 악의 정의는 객관적이지 않지만, 일반적으로 화이트 해커는 좋은 일을 하고 사건의 발생을 막으려 합니다. 만약 그들이 공격을 했다면, 즉시 이를 공개하고 관련자에게 알립니다. 하지만 블랙 해커는 부정적인 영향을 미치며, 자금이나 자산을 훔치는 등의 행동을 합니다. 그레이 해커는 이 두 가지 사이에 위치하며, 선의의 명목으로 공격 행동을 할 수 있습니다. 그래서 이것은 사실 매우 모호한 경계입니다. 그들은 실제로 공격을 했지만, 좋은 일을 하기 위해서라면, 그건 화이트 해커인가요, 블랙 해커인가요? 하지만 일반적으로 화이트 해커인지 블랙 해커인지는 당신이 하는 일이 선한지에 따라 결정됩니다.

WLD Show: 왜 화이트 해커가 되기로 선택했나요?

Sam: 우선 해커가 돈을 훔치는 것도 쉽지 않습니다. 물론 농담입니다. 어릴 때부터 다른 사람을 돌보고 커뮤니티에 기여해야 한다고 교육받았습니다. 그래서 지금 사회에 기여할 수 있다면, 결과가 좋든 나쁘든 저는 그렇게 하기로 했습니다.

WLD Show: 해커 생태계에 대해 소개해 주세요.

Sam: 제게는 전체 시스템의 위험이 매우 높습니다. 마치 PvP 게임과 같습니다. 물론 이것은 제 개인적인 견해입니다. 문제를 발견하거나 문제 경고를 받으면, 처리할 수 있는 시간은 몇 분, 운이 좋으면 몇 시간입니다. 이는 매우 짧은 시간이며, 해커가 자금을 훔쳐갈 가능성이 높습니다. 특히 제가 최근에 참여한 몇 가지 사건에서는 "생사가 걸린" 몇 초밖에 없었습니다: 자금을 구할 것인지, 아니면 자금이 영원히 사라질 것인지. 그래서 위험은 매우 높습니다.

이러한 활동에 참여하고 싶다면: 우선 블록체인 보안에 대한 충분한 이해가 필요합니다. 예를 들어 이더리움, 스마트 계약 등을 알고 있어야 합니다. 그런 다음 새로운 프로토콜이나 목표를 찾아 연구하고 행동을 시작할 수 있습니다. 일단 취약점을 발견하면, 이 과정은 매우 긴장감이 넘칩니다. "시간이 계속해서 똑딱거립니다." 이는 심리적인 과정입니다: 취약점이 계속 존재하고, 그것이 존재한다는 것을 확인하면 모든 것이 "실제적이고 만질 수 있는" 것이 됩니다. 전체 과정은 매우 미친 듯이 진행되며, 올바른 연락처를 빨리 찾아야 합니다. 왜냐하면 이러한 수십억 자산이 구출될 수 있는지는 당신의 지식에 달려 있기 때문입니다.

가장 큰 도전은 진정한 개발자를 찾는 것입니다. 왜냐하면 이러한 정보는 공격받을 가능성이 높아 결국 돈을 잃게 될 수 있기 때문입니다. 그래서 저는 이것이 제 책임이라고 느낍니다: 비록 선의에서 출발했지만, 개발자가 정보를 받지 못하면 10분 후에 돈이 여전히 도난당할 수 있습니다. 법적으로는 제가 책임이 없을 수도 있지만, 개인적으로는 제 책임이라고 느낍니다. 그래서 전체 과정은 매우 긴장감이 넘칩니다. 일단 개발자에게 연락을 취하면, 즉시 취약점을 그들에게 전달하고 나면 안도감을 느낍니다.

가장 어려운 부분이 끝났고, 다음 단계는 협력하여 해결책을 찾는 것입니다. 공동 행동의 실행 가능성을 검토하고, 프로토콜을 중단할 수 있는지, 관리 키를 사용하여 자금을 구할 수 있는지, 아니면 최악의 경우 직접 자금을 구하는 것입니다. 저는 거래를 직접 전송하지 않습니다. 하나는 책임 문제 때문이고, 또 하나는 제가 "최종 버튼을 누르는" 사람이 되고 싶지 않기 때문입니다. 그래서 저는 개발자에게 알리고 그들에게 지침을 제공합니다. 그들은 스스로 거래를 전송하고, 필요하면 저도 도움을 제공합니다. 결국 우리는 자금을 구할 수 있거나, 여러 가지 이유로 실패할 수 있습니다. 이것이 기본적인 과정입니다.

WLD Show: 많은 사람들이 트위터에서 이러한 구출 활동에서 얻는 보상이 실제 구출된 자금에 비해 실망스럽다고 말합니다. 당신은 어떻게 생각하나요?

Sam: 저는 이것이 얼마나 많은 보상이 충분한가라는 문제와 관련이 있다고 생각합니다. 각 측면에서 많은 주장이 있을 수 있습니다. 하지만 현실적인 문제는 많은 프로젝트가 보유한 자금이 사실상 프로젝트의 자금이 아니라는 것입니다. 10% 또는 20%를 인출하는 것은 사실 사용자 자금이기 때문에 프로그래머나 프로젝트가 결정할 수 있는 것이 아닙니다. 물론 일부 프로젝트는 많은 자금을 보유하고 있어 상당 부분의 보상을 제공할 수 있지만, 나머지 90% 이상의 프로젝트는 그렇게 많은 자금을 보유하고 있지 않습니다.

WLD Show: Web3에서 화이트 해커와 전통적인 Web2의 차이점은 무엇인가요?

Sam: 암호화폐 세계에서는 모든 것이 순간적으로 발생합니다. 예를 들어, DOMpurify에서 취약점을 발견했다고 가정해 보겠습니다. DOMpurify는 제가 아는 한 Cure 53이 작성한 프로젝트로, HTML을 정리하는 데 사용됩니다. 회사는 이를 사용하여 시스템이 작동하고 스크립트 공격을 받지 않도록 보장합니다. 예를 들어, 프론트엔드가 교차 사이트 스크립트 공격을 받지 않도록 합니다. 만약 구글이 공격을 받았지만 사용자가 여전히 로그인하고 등록할 수 있다면, 이는 매우 나쁜 상황입니다.

예를 들어, 우리가 현재 DOMpurify에서 취약점을 보고한다고 가정해 보겠습니다. 이는 해결하는 데 많은 시간이 필요합니다. 우선 취약점을 발견할 확률이 매우 낮고, 발견한 후에는 전체 처리 과정이 필요합니다. Web2에서는 이 과정이 개인 보안 이메일 목록을 시작하고, 패치를 적용하고, 사용자에게 종속성을 업그레이드하도록 요구하는 등의 일련의 조치를 포함합니다.

하지만 Web3에서는 관련 자격증을 신청하는 데 시간을 낼 수 없습니다. 10분 이내에 자금이 새로운 지갑으로 들어갈 수 있고, 20분 후에는 지갑이 사라질 수 있습니다. Web2와 비교할 때, 문제를 해결할 수 있는 6개월의 시간이 없습니다.

따라서 전반적으로 Web3에서 이러한 사건의 발생 및 처리 시간은 상대적으로 짧지만, 그 영향은 큽니다.

WLD Show: 맞습니다. 이는 코드 오픈 소스와 관련이 있을 수 있습니다. 모든 것이 투명하니까요.

Sam: 맞습니다. 예를 들어, 적어도 이더리움에서는 커뮤니티에 참여하려면 투명성을 수용해야 합니다. 이는 Solana와 같은 경우와 다릅니다. Solana는 코드가 공개되지 않지만, 적어도 코드 검증이 있을 수 있으며, 일반적으로 프로젝트 페이지에서 GitHub 또는 Etherscan으로의 코드 검증 링크를 볼 수 있습니다. 따라서 프로토콜도 긴급 패치를 출시하는 등의 변화를 가져와야 한다고 생각합니다. 총체적으로 이더리움의 보안 문제는 매우 투명하며, 누구나 발생한 일을 확인할 수 있습니다.

WLD Show: Paradigm은 독특한 벤처 캐피탈 회사로, 자체 연구 팀과 Dan Robinson과 같은 많은 인재들이 있습니다. 그렇다면 왜 이 회사에 합류하고 싶었나요?

Sam: 사실 여기의 재능 있는 사람들에게 끌렸습니다. "당신이 방 안에서 가장 똑똑한 사람이라면, 아마도 방을 바꿔야 할 것입니다."라는 속담이 있습니다. 그래서 매일 다양한 분야에서 저보다 뛰어난 인재들과 함께 일하는 것은 제가 동경하는 것입니다.

WLD Show: 그러면 당신의 합류 과정에 대해 소개해 주실 수 있나요?

Sam: 저는 이전에 Georgios와 Dan과 협력한 적이 있습니다. 그들이 "이더리움은 어두운 숲이다"라는 기사를 발표한 후, 그들의 작업이 너무 훌륭하다고 느꼈습니다. 이후 누군가 저에게 관심이 있는지 연락을 해왔고, 그 당시 저는 합류할지 확신이 없었습니다. 하지만 팀원들과 대화하면서, 이것이 도전해 볼 가치가 있는 기회라고 생각했습니다.

WLD Show: 당신의 일반적인 업무는 무엇인가요?

Sam: 일상 업무는 포트폴리오 회사의 지원을 포함하여 그들의 코드가 올바른지 확인하는 것입니다. 예를 들어, 그들이 스마트 계약을 작성해야 할 때, 저는 그들의 코드를 살펴보는 데 도움을 줍니다. 물론 모든 내용을 검토할 시간이 없을 수도 있지만, 평소의 구출 활동과 마찬가지로, 저는 한 번 훑어보며 가장 중요한 문제를 먼저 찾아냅니다. 저는 또한 제 자신의 프로젝트를 진행하고 이더리움 보안을 유지합니다. 예를 들어, 이전에 사용자 친화적인 4바이트 서명 데이터베이스를 발표했습니다. 또한 몇 가지 블로그 글도 작성합니다. 하지만 전반적으로 저는 보안 책임자로서 회사의 안전을 유지하는 역할을 하고 있습니다.

WLD Show: Paradigm과 같은 회사에 합류하는 것의 장단점은 무엇이라고 생각하나요? 예를 들어, 이전에는 회사와 연결되지 않았기 때문에 더 많은 자유가 있었고, 프로젝트와 자신의 작업 방식을 선택할 수 있었을 것입니다. 이러한 리듬이 변화할까요? 제한이 있을까요?

Sam: 아닙니다. 제가 합류할 때 회사와 이미 합의가 있었습니다. 그런 제한은 없을 것입니다. 예를 들어 경쟁사의 코드를 보지 않는 것과 같은 제한이 없습니다. 만약 SushiSwap의 취약점을 발견한다면, 우리는 반드시 보고할 것입니다. 하지만 당시 현실에서는 문제가 없었습니다. 그래서 이것은 가정입니다.

WLD Show: Dan Robinson의 《어두운 숲》은 무서운 이야기를 담고 있으며, "최고의 포식자"에 대해 언급했습니다. 당신은 《어두운 숲에서 탈출하기》라는 글에서 이러한 "괴물"에서 벗어나는 방법을 설명했습니다. 그들이 무엇인지 설명해 주실 수 있나요?

Sam: 그 전에, 심지어 제가 "어두운 숲"에 대해 듣기 전에도, 저는 이미 프론트러너 봇을 만난 적이 있습니다. 저는 이 일이 얼마나 복잡한지 깊이 깨달았습니다. 그들은 샌드위치 공격을 감시할 뿐만 아니라, 이익을 창출할 수 있는 일반 거래를 감시해야 하며, 어떤 식으로든 이 대기 중인 거래를 변환하여 자신이 이익을 얻도록 해야 합니다. 우리는 이후 이러한 버그를 속이는 방법에 대해 논의했습니다.

우리는 그들의 작동 방식이 먼저 거래를 시뮬레이션한 다음, 이익을 창출할 수 있는지 확인하려고 시도할 것이라고 생각했습니다. 이론적으로, 만약 우리가 기관 행동의 논리를 분해하거나 추가 거래를 추가한다면, 복잡성이 선형적으로 증가하지 않고 지수적으로 증가해야 합니다. 저는 완전히 확신할 수는 없습니다. 공격자에게는 이러한 경우의 시뮬레이션이 훨씬 복잡할 것입니다. 이론적으로 그들은 어떤 세 개의 거래가 당신의 것인지 알지 못합니다. 그들은 올바른 거래 조합을 판단하기 위해 계속 조합을 시도할 것입니다.

WLD Show: 당시 1천만 달러가 위기에 처한 상황을 설명해 주실 수 있나요?

Sam: 저는 대형 TVL 계약을 모니터링하고 적시에 경고를 발송할 수 있는 도구를 가지고 있습니다. 그 당시 저는 Lien 프로토콜에 대한 경고를 받았습니다. 저는 그때 잠자러 가려 했고, 이 경고를 확인해야 할 것 같았습니다. 그리고 저는 그 취약점을 발견했습니다. 프로토콜에 스테이킹된 모든 자금이 위험에 처해 있다는 것을 깨달았을 때, 세상이 폭발하기 직전의 몇 초밖에 남지 않았다는 것을 정말 느꼈습니다.

WLD Show: 즉, 당신이 버그를 발견했다는 것은 다른 사람이었다면 계약 내의 모든 돈을 훔쳐갔을 것이라는 의미입니다.

Sam: 맞습니다. 그래서 이 취약점에 대해 다루는 방법은 여러 가지가 있습니다. 일부 취약점은 계약 소유자에 의해 악용될 수 있으며, 이는 이론적으로 좋지 않습니다. 그래서 당신은 실사를 수행해야 합니다. 또 다른 취약점은 많은 자금을 투입해야만 발생할 수 있습니다. 만약 당신이 플래시 론을 사용하여 이 취약점을 공격할 수 있다면, 심각한 결과를 초래할 수 있습니다. 만약 이 취약점이 플래시 론 공격이 불가능하다면, 그 긴급성은 크게 감소할 수 있습니다. 일반적으로 공격자는 이러한 취약점을 공격할 충분한 자금을 보유하고 있지 않습니다. 더 나쁜 취약점도 있습니다. 이들은 공격자가 대량의 자금을 보유할 필요가 없으며, 특별한 권한도 필요하지 않습니다. 이러한 취약점에 대해서는, 누구나 공격자가 될 수 있습니다. 계약의 함수를 호출할 수 있는 방법만 알면, 계약 내의 모든 돈이 당신의 것이 됩니다.

당시 Lien Finance 계약의 취약점은 마지막으로 언급한 유형으로, 자금이나 권한이 필요하지 않으며, 단지 이 취약점이 존재한다는 것을 알고 계약의 함수를 호출할 수 있으면 공격할 수 있습니다. 그래서 그 당시 상황은 매우 긴급했습니다. 다음 순간에 어떤 일이 발생할지 알 수 없었고, 매 순간 문제가 발생할 수 있었습니다. 심지어 공격이 발생하더라도, 공격자가 누구인지 알 수 없었습니다. 그때가 되면 모든 것이 끝났습니다. 정말 무서운 일이었습니다.

WLD Show: 이 문제를 해결하기 위해 팀을 어떻게 구성하여 어두운 숲에서 탈출했나요?

Sam: 저는 이 프로젝트가 누구의 책임인지 고려하는 데 시간을 좀 보냈습니다. 하지만 이 프로젝트를 담당하는 팀은 익명이라서, 저는 매우 조심스러웠습니다. 이 정보를 나쁜 사람에게 전달하면 쉽게 무기화될 수 있기 때문입니다. 그래서 저는 이 프로젝트와 관련이 있었던 중개인들과 연락을 시도했습니다. 그래서 저는 Alex Wade와 연락을 취했습니다. 그는 제가 아는 유일한 Lien Finance 감사와 관련된 사람이었습니다. 저는 그 외에도 몇몇 다른 사람들과 연락을 취했습니다. 저는 Alex에게 이 문제를 설명하여 긴급 조치를 취할 수 있도록 했습니다. 이후 Alex는 그의 경로를 통해 이 계약의 책임자와 연결하려고 시도했습니다. 이때 저는 연락이 닿으면 이 문제를 어떻게 처리할 것인지 고민하고 있었습니다.

우리가 진전을 이루지 못하는 매 순간은 다른 누군가가 이 모든 것을 망칠 수 있는 또 다른 순간이었습니다. 그래서 명백한 문제는 어떻게 이 자금을 인출할 것인가입니다. 네, 우리의 목표는 계약 내의 자금을 구하는 것입니다. 왜냐하면 제가 이전에 말했듯이, 이 취약점은 누구나 악용할 수 있기 때문입니다. 우리에게 가장 큰 문제는 만약 프론트러너가 이러한 기술을 보유하고 있다면, 우리는 그들을 어떻게 피할 수 있을까요?

WLD Show: 그래서 당신들은 그 자금을 구출하고 싶었지만, 만약 당신들이 조치를 취한다면, 포식자, 즉 프론트러너가 당신들이 조치를 취하기 전에 돈을 훔쳐갈 수 있는 가능성이 있다는 것이죠?

Sam: 맞습니다. 채굴자들은 분명히 가스 요금을 더 많이 지불하는 거래를 우선 처리할 것입니다. 이런 경우, 우리의 조치는 포식자 이후에 진행될 것입니다.

WLD Show: 즉, 당신의 목표는 팀이 프론트러너 거래 로봇을 혼란스럽게 할 수 있는 무언가를 만들어 당신의 조작을 숨기고 1천만 달러를 인출하는 방법을 찾는 것이었나요?

Sam: 맞습니다. 우리의 목표는 어떤 식으로든 거래를 제출하여 그 로봇들이 선행 거래를 하지 못하도록 하는 것입니다. 저는 더 많은 사람들을 이 팀에 포함시키기 위해 노력했습니다. 팀원들은 제가 신뢰하는 사람들이며, 오랫동안 알고 지낸 사람들입니다. 그래서 저는 그들이 이 돈을 뒤에서 훔치지 않을 것이라고 믿거나, 아니면 검증되지 않은 방법으로 프론트러너 거래 로봇을 속이려고 시도해야 한다고 생각했습니다. 그러면 1천만 달러를 잃을 가능성이 큽니다. 결국, 저는 이 사람들을 믿는 쪽을 선택했습니다. 이것이 우리가 이렇게 강력한 팀을 구성한 이유입니다.

WLD Show: 당신은 어떻게 SushiSwap의 취약점을 발견했는지 설명해 주실 수 있나요?

Sam: 저는 그 당시 Paradigm에서 회의 중이었고, 약간 지루해서 다른 모니터에서 Telegram의 LobsterDAO 채널을 스크롤하고 있었습니다. 그 당시 SushiSwap이 MISO 플랫폼에서 Dutch Auction을 진행하는 것에 대한 논의가 있었습니다. 저는 자연스럽게 Dutch Auction 계약을 열어보았습니다. 처음 보기에는 아무런 문제가 없어 보였고, 모든 것이 완벽했습니다. 저는 회의에 다시 집중할까 생각했지만, "이걸 해킹할 수 있을까?"라는 생각이 들었습니다. 제가 완전히 검토하기 전에 안전하다고 생각한다면, 정말 안전한 것일까요? 그래서 저는 계속해서 이 계약을 살펴보았습니다. 그리고 취약점을 발견했으며, 이전에 본 취약점과 매우 유사하다는 것을 알게 되었습니다. Sushi 팀이 이렇게 명백한 실수를 할 수 있을 줄은 몰랐습니다.

WLD Show: Paradigm은 UniSwap의 투자자이며, SushiSwap은 UniSwap의 포크입니다. 본질적으로 SushiSwap과 UniSwap은 경쟁 관계입니다. 하지만 Paradigm과 팀의 모든 사람들은 당신이 이 문제를 해결하도록 지원하고 있습니다. 그래서 팀의 모든 사람이 암호 생태계를 위해 노력하고 있다는 느낌이 드네요.

Sam: 맞습니다. 암호 산업은 팀 게임입니다. 우리는 모두 이 분야에 있으며, 암호 생태계를 위해 최선을 다하고 있습니다. 1천만 달러와 3억 5천만 달러는 동일합니다. 제가 모든 사람에게 SushiSwap에 취약점이 있어 3억 5천만 달러를 잃을 수 있다고 말했을 때, 누구도 주저하지 않았고, 모두가 SushiSwap의 책임자에게 연락하기 위해 최선을 다했습니다. 왜냐하면 이것은 제로섬 게임이 아니기 때문입니다. 제가 이겨야 하고 다른 사람이 져야 하는 것이 아닙니다.

WLD Show: 당시 1천만 달러를 옮기고 싶었고, 3억 5천만 달러에 대해서는 어떻게 생각했나요?

Sam: 어느 정도, 이 숫자는 너무 큽니다. 사실 3억 5천만 달러를 올바르게 바라보는 것은 정말 어렵습니다. 일반인에게는 이게 무엇을 의미할까요? 암호 산업에 종사하는 사람들에게는 무엇을 의미할까요? 3억 5천만 달러를 보유하고 있다는 생각은 믿기지 않습니다. 저는 뭔가 해야 한다고 생각했습니다.

WLD Show: 그래서 Paradigm에서는 어두운 숲에서 탈출할 때 구축해야 했던 팀보다 더 많은 지원 네트워크가 있으며, 이를 통해 SushiSwap 문제를 더 빠르게 해결할 수 있습니다.

Sam: 확실히, 이것이 제가 Paradigm에 합류한 또 다른 이유입니다. 분명히 더 큰 네트워크가 있으며, 암호 생태계에서의 영향력이 더 넓습니다. 그래서 제가 특정 문제를 발견했을 때, Paradigm을 통해 어떤 팀의 책임자에게 연락하는 것이 매우 효과적입니다.

WLD Show: 당신은 단순히 취약점을 발견하는 것뿐만 아니라, 교육 자료를 작성하여 다른 사람들이 읽을 수 있도록 합니다. 그 중 하나는 Wormhole 3억 2천 5백만 달러 취약점에 관한 것입니다. 당시 당신은 역공학을 통해 Wormhole 취약점 사건을 설명했습니다. 왜 그런 트윗을 작성했는지 자세히 설명해 주실 수 있나요?

Sam: 사실, 저는 교육 자료에 대한 트윗을 많이 게시하지 않습니다. 블로그를 작성하는 빈도가 더 높습니다. 왜냐하면 제가 어떤 내용을 게시하고 싶다면, 그것이 긴 글이기를 원하기 때문입니다. 그래서 제가 더 많이 참여할 수 있습니다. Wormhole 취약점이 공격받았을 때, 당시 도난당한 자금 규모가 가장 큰 해킹 사건이었고, 아무도 전후 사정을 알지 못했습니다.

당시 트위터에서도 몇 가지 추측이 있었지만, 확인해 보면 그것들은 모두 가짜였습니다. 그래서 몇 시간이 지나도 아무도 실제로 무슨 일이 일어났는지 알지 못했습니다. 저는 그때가 올바른 발언을 게시하고, Solana에 대해 잘 이해할 수 있는 기회라고 생각했습니다. 솔직히 말해서, 그 당시 저는 Solana에 대해 잘 알지 못했고, 실제로 그것에 대해 알아볼 동기도 없었습니다. 하지만 이번 기회가 저에게 그런 기회를 주었습니다.

WLD Show: 그러면 취약점은 어떻게 발생했으며, 3억 2천 5백만 달러는 어떻게 시스템에서 도난당했나요?

Sam: 이 계약은 유효성을 위해 다중 서명이 필요하다는 것을 알아야 합니다. 하지만 이 단계에서 버그가 발생하여, 실제로 이러한 서명이 유효한지 확인하지 않았습니다. 공격자는 Wormhole에 가짜 주소를 제공하여 이것이 cisfa라고 가장한 후, 아무런 제지를 받지 않았습니다. 그들은 이 서명을 사용하여 자산을 브릿지했습니다. 다음 단계에서 해커는 이를 사용하여 주문을 생성했습니다. 첫 번째 단계에서 서명이 유효하다고 간주되었기 때문에, 감시자는 이 서명을 인정했습니다. 세 번째 단계의 주문이 제출되고 처리되었습니다.

WLD Show: 즉, 이 과정은 이더리움에서 솔라나로의 이동입니다. 일반적으로 누군가가 ETH를 Wormhole에 예치하면, Wormhole에 ETH가 있기 때문에 솔라나로 전송됩니다. 하지만 이 특정 취약점 때문에 해커는 시스템이 ETH를 보유하고 있다고 속여서 솔라나로 전송하게 되어 시스템 내에서 3억 2천 5백만 달러를 잃게 됩니다.

Sam: 명확히 해야 할 것은, 자산을 브릿지할 때, 당신은 다른 쪽에서 동일한 자산을 받게 됩니다. 만약 그것이 1:1 자산 지원이라면, 문제가 없습니다. 하지만 Wormhole은 그렇지 않습니다. 이 과정에서는 Wormhole에 실제 ETH를 잠궈야만 Wormhole ETH를 받을 수 있으며, Wormhole은 서명자를 신뢰해야 합니다. 만약 5명의 서명자 중 4명이 누군가가 10개의 ETH를 잠궈두었다고 동의하면, 그 사람은 10개의 Wormhole ETH를 받게 됩니다. 하지만 실제로 그 사람은 아무것도 잠궈두지 않았기 때문에 시스템이 속게 됩니다.

WLD Show: 도움이 필요하면 어떻게 연락할 수 있나요?

Sam: 저는 일반적으로 제 웹사이트에 블로그를 게시합니다. 최신 동향을 확인할 수 있습니다. 물론 계약 보안과 관련된 문제가 있다면, 트위터, 이메일 또는 DM을 통해 저에게 직접 연락하실 수 있습니다.

WLD Show: 당신의 관대한 공유에 매우 감사드립니다. 정말 훌륭한 대화였고, 많은 것을 배웠습니다.

Sam: 저도 여러분께 감사드립니다!