NFTGo 대화 느린 안개 보안 팀: 안전 보장은 완벽한 안전 시스템을 구축해야 합니다

저자：NFTGo Research

블록체인 생태계 보안에 집중하는 회사인 느린 안개 기술은 2018년 1월에 설립되었으며, 10년 이상의 1선 네트워크 보안 공격 및 방어 실전 경험을 가진 팀에 의해 만들어졌습니다. 느린 안개 기술은 업계에서 여러 차례 일반적인 고위험 블록체인 보안 취약점을 독립적으로 발견하고 발표하여 업계의 광범위한 관심과 인정을 받았습니다.

현재 블록체인 보안 문제는 빈번하게 발생하고 있으며, Web3 사용자들도 오랫동안 이러한 문제로 고통받고 있습니다. 따라서 제2기 대화에서는 느린 안개 보안 팀을 초청하여 블록체인 보안에 대한 유용한 정보를 공유하게 되어 매우 기쁩니다. 여러분이 안전하게 체인 세계를 탐험할 수 있도록 돕겠습니다. 이제 본격적으로 시작해 보겠습니다~

1. 먼저 느린 안개에 대해 소개해 주세요.

답변: 여러분 안녕하세요, 느린 안개는 블록체인 생태계 보안에 집중하는 회사입니다. 우리의 블록체인 생태계 보안 능력은 세 개의 링으로 구성되어 있습니다: 가장 안쪽은 규정 준수 보안, 두 번째는 기술 보안, 세 번째는 생태계 보안입니다. 기술 보안은 주로 두 가지 비즈니스 라인으로 나뉘며, 보안 감사와 자금 세탁 방지입니다.

보안 감사의 내용에는 DeFi 프로젝트의 스마트 계약 코드, 중앙화 거래소, 지갑 앱, 브라우저 플러그인 지갑, 기본 공공 체인 등이 포함되며, 우리는 레드팀 테스트 서비스도 제공하고 있습니다. 이는 우리의 강점 중 하나입니다. 2018년부터 지금까지 5년 이상 동안, 우리는 업계의 많은 유명 고객들에게 서비스를 제공해 왔으며, 상업 고객 수는 천 개 이상이고, 긍정적인 평가 비율이 매우 높습니다. 자금 세탁 방지 분야에서는 체인 상 추적 플랫폼인 MistTrack을 운영하고 있습니다. 그 외에도 규정 준수 보안에 많은 관심을 기울이고 있으며, 규정 준수는 이 산업의 장기적인 발전을 위한 중요한 기반 중 하나입니다. 우리는 보안 감사 또는 자금 세탁 방지 협력의 목표 프로젝트에 대해 엄격한 법무 프로세스를 가지고 있습니다.

우리는 보안이 전체적인 것임을 깊이 이해하고 있으며, 보안 보장은 완벽한 보안 시스템을 구축해야 한다고 믿습니다. 따라서 우리는 위협 발견에서 위협 방어에 이르기까지 통합적이고 상황에 맞는 보안 솔루션을 제공합니다.

간단히 말해, 이는 군사적인 원형 방어 시스템과 유사하며, 계층 방어를 포함합니다. 가장 바깥쪽의 위협 발견은 느린 안개 지역 파트너와 느린 안개 자체의 위협 정보 시스템(이것이 우리의 생태계 보안입니다.)을 통해 위협을 발견하고 식별한 후, 미디어 채널을 통해 전체 생태계에 경고를 발송합니다; 위협 방어는 우리의 방어 시스템을 의미하며, BTI(블록체인 위협 정보 시스템)에서 상황에 맞고 체계적인 방어 솔루션을 배포하고, 차가운 지갑, 따뜻한 지갑 보안 강화를 시행하는 등, 고객에게 네트워크 보안, 리스크 관리 보안, 지갑 보안 등 분야에서 우수한 보안 솔루션 제공업체를 선별하여 고객이 유연하게 선택하고 비즈니스 발전 과정에서 마주치는 다양한 문제를 쉽게 해결할 수 있도록 돕습니다. 우리는 업계의 우수한 파트너 및 커뮤니티와 함께 안전한 공동 방어 작업을 구축하기를 희망합니다.

2. Web3 보안 문제는 항상 방어하기 어렵습니다. 손으로 메모한 비밀번호, 웹사이트의 진위를 확인하는 기본 규칙 외에, 느린 안개는 자주 상호작용하는 Web3 사용자에게 어떤 보안 조언을 제공하나요?

답변: 상호작용의 보안에 대해 질문하셨으니, 먼저 일반적인 공격이 사용자의 자산을 어떻게 탈취하는지 정리해 보겠습니다.

공격자는 일반적으로 두 가지 방법으로 사용자 자산을 탈취합니다:

첫째, 사용자가 자산을 공격자에게 승인하거나 이전하도록 속이는 악의적인 거래 데이터에 서명을 유도합니다. 둘째, 사용자가 악의적인 웹사이트나 앱에서 지갑의 비밀번호를 입력하도록 속입니다.

우리가 공격자가 어떻게 지갑 자산을 탈취하는지 알게 되면, 가능한 위험에 대한 예방 조치를 취해야 합니다:

1. 서명하기 전에 서명할 데이터의 내용을 인식하고, 자신이 서명하는 거래가 무엇인지 알고, 서명 대상이 올바른지, 승인 금액이 과도하지 않은지 신중히 확인해야 합니다;
2. 가능한 한 하드웨어 지갑을 사용해야 합니다. 하드웨어 지갑은 일반적으로 비밀번호나 개인 키를 직접 내보낼 수 없기 때문에 비밀번호와 개인 키가 도난당할 위험을 높일 수 있습니다;
3. 다양한 피싱 수법과 사건이 끊임없이 발생하므로, 사용자는 다양한 피싱 수법을 스스로 인식하고 보안 의식을 높이며, 속지 않도록 자기 교육을 해야 합니다. 예를 들어, 느린 안개와 같은 보안 회사의 미디어 동향을 주의 깊게 살펴보고 최신 사기나 피싱 수법을 실시간으로 파악해야 합니다. 물론, 느린 안개에서 발행한 《블록체인 어두운 숲 자구 매뉴얼》를 읽는 것을 강력히 추천합니다. 유용한 정보가 가득합니다;
4. 사용자는 다양한 상황에 맞춰 서로 다른 지갑을 유지하여 자산의 위험을 통제할 수 있도록 해야 합니다. 예를 들어, 대규모 자산은 일반적으로 자주 사용되지 않으므로, 차가운 지갑에 보관하고 사용할 때는 네트워크 환경과 물리적 환경이 안전한지 확인해야 합니다. 에어드롭 등 활동에 참여하는 지갑은 사용 빈도가 높기 때문에 소액 자산을 보관하는 것이 좋습니다. 다양한 자산과 사용 빈도에 따라 지갑을 계층적으로 관리하여 위험을 통제할 수 있습니다.

3. 8.16에 유선 대가가 매우 흥미로운 트윗을 올렸습니다------"당신의 'Mac이 Win 컴퓨터보다 더 안전하다'는 착각은 어디서 오는 것인가?" Web3 사용자에게 느린 안개는 Mac과 Win 컴퓨터의 장점과 단점이 무엇이라고 생각하나요?

답변: 네, 이 트윗은 상당한 논의를 불러일으켰습니다. 반대로 우리는 "Win이 Mac 컴퓨터보다 더 안전하다는 착각은 어디서 오는가?"라는 질문을 던집니다. 이는 유사한 관점과 답변입니다. 단일 시스템의 침입 방지 측면에서 Mac의 폐쇄성과 권한의 엄격한 제어는 실제로 Windows보다 우수합니다. 또한 전 세계 PC 시장에서 Mac의 점유율은 매우 낮고, Win의 점유율이 높아 더 많은 공격이 Win에서 발생합니다. Win은 탄생 이후 거의 모든 공격 면이 너무 성숙해졌습니다. 과장하자면, 현재 침투, 침입, APT를 수행하는 보안 전문가의 99%는 Mac을 대상으로 하지 않으며, 반대로 100%는 Win을 대상으로 합니다. 위에서 언급한 내용을 제외하고, 면역을 가진 트로이 목마를 사용하여 Mac과 Win을 공격하면 기본적으로 결과는 동일하며, 모두 감염될 수 있습니다. 전반적으로, 절반은 장비이고 절반은 개인입니다. 사용자의 보안 의식이 부족하면 쉽게 감염되어 컴퓨터에 악성 프로그램이 심어질 수 있으며, 이로 인해 컴퓨터의 민감한 데이터(예: 비밀번호)가 도난당할 수 있습니다. 악성 소프트웨어의 행동은 여러 가지 방식이 있으며, 이메일 첨부 파일에 숨겨져 있을 수도 있고, 장치의 카메라를 사용하여 감시할 수도 있습니다. 따라서 사용자는 보안 의식을 높여야 하며, 예를 들어, 타인이 제공한 프로그램을 쉽게 다운로드하고 실행하지 말고, 신뢰할 수 있는 사이트에서만 애플리케이션, 소프트웨어 또는 미디어 파일을 다운로드해야 합니다; 낯선 이메일의 첨부 파일을 쉽게 열지 말고; 운영 체제를 정기적으로 업데이트하여 최신 보안을 확보해야 하며; 장치에 카스퍼스키와 같은 안티바이러스 소프트웨어를 설치해야 합니다.

4. 많은 프로젝트에서 "자금 저장소"가 도난당한 사례가 있었습니다. 느린 안개는 보안 문제를 일으키는 일반적인 원인이 무엇이라고 생각하나요? 내부에서의 도난 가능성은 큰가요?

답변: 느린 안개 블록체인 해킹 사건 아카이브(SlowMist Hacked) 통계에 따르면, 8월 24일 기준으로 2023년의 보안 사건은 총 253건이며, 손실액은 145억 달러에 달합니다. 우리는 블록체인에서의 악행 방식에 대해 살펴보면, 주요하게 몇 가지 측면이 있습니다: 피싱 공격, 트로이 목마 공격, 해시 파워 공격, 스마트 계약 공격, 인프라 공격, 공급망 공격 및 내부 범죄. 일반적인 스마트 계약 공격의 경우, 다음과 같은 공격 방식이 존재합니다: 플래시 론 공격, 계약 취약점, 호환성 또는 구조적 문제, 그리고 일부 수법: 프론트엔드 악의적 공격 및 개발자를 대상으로 한 피싱.

또한, 내부에서의 도난에 대해 언급하자면, 개인 키 유출을 언급하지 않을 수 없습니다. 개인 키 유출은 상황에 따라 다르며, 개인과 거래소의 개인 키 유출은 큰 차이가 있습니다. 개인의 개인 키 유출은 일반적으로 개인 키나 비밀번호를 온라인에 저장하는 경우입니다. 예를 들어, WeChat 즐겨찾기, 163 이메일, 메모장, 유도 노트 등 클라우드 저장 서비스에 저장하는 경우입니다. 해커는 종종 온라인에 유출된 계정 비밀번호 데이터베이스를 수집하며, 예를 들어 몇 년 전의 CSDN의 평문 계정 비밀번호를 수집한 후, 이러한 클라우드 저장소 및 클라우드 서비스 웹사이트에서 시도합니다. 보안 업계의 속어는 "크래킹"이라고 하며, 이는 확률적인 것입니다. 로그인에 성공하면 그 안에서 Crypto 관련 내용을 찾습니다.

거래소의 경우는 좀 더 복잡합니다. 일반적으로 대형 해커 조직만이 거래소의 여러 보안 방어를 뚫고 거래소 서버의 핫 월렛 개인 키를 탈취할 수 있는 능력을 가지고 있습니다.

여기서 특별히 강조하고 싶은 것은, 이는 불법 행위이며 절대 모방하지 말아야 합니다. 우리는 프로젝트 측에 가능한 한 보안 회사에 프로젝트 코드를 안전 감사하도록 요청하여 프로젝트의 보안 수준을 높이고, 지속적인 운영 및 발전 과정에서의 보안 문제를 피하기 위해 버그 바운티를 발표할 것을 권장합니다. 또한 각 프로젝트 측은 내부 관리 및 기술 메커니즘을 강화하고, 다중 서명 메커니즘, 제로 트러스트 메커니즘 등을 도입하여 자산 보호를 강화할 것을 권장합니다.

5. 크로스 체인 브리지는 종종 "해커의 인출기"라고 불립니다. 기술 수준이 낮은 Web3 사용자에게 크로스 체인 브리지를 사용할 때 주의해야 할 점은 무엇인가요?

답변: 크로스 체인 브리지에 대해 이야기하자면, 먼저 크로스 체인 브리지 비즈니스는 복잡하고 코드량이 많아 코딩 구현 시 취약점이 발생하기 쉽습니다. 둘째, 프로젝트에서 사용하는 제3자 구성 요소의 보안도 보안 취약점의 중요한 원인 중 하나입니다. 마지막으로, 크로스 체인 브리지는 더 큰 개발 커뮤니티가 부족하여 코드가 광범위하고 세심하게 검색되어 잠재적인 버그를 발견하지 못하는 경우가 많습니다.

사용자에게는 크로스 체인 브리지를 사용할 때 자금이 어떻게 보호되는지를 이해하는 것이 중요합니다. 여러 측면에서 크로스 체인 브리지의 위험 수준을 살펴볼 수 있습니다. 예를 들어: 프로젝트 계약이 오픈 소스인가요? 프로젝트에 다수의 보안 감사가 있었나요? 개인 키 관리 방안은 MPC 다자간 계산인가요? 아니면 다중 노드 다중 서명인가요? 아니면 프로젝트 측이 개인 키를 통합 관리하나요? 사용자는 크로스 체인 브리지를 선택할 때 보안 실력이 강한 크로스 체인 팀을 선택해야 하며, 모든 버전의 코드에 대한 보안 감사가 있어야 하고, 팀에 전담 보안 인력이 있어야 합니다. 또한 크로스 체인 브리지 관련 팀이 더 투명하게 운영되기를 권장합니다. 그래야 사용자들의 의문과 제안을 더 많이 수용하고, 즉시 문제를 보완할 수 있습니다.

6. 일반적인 사기 및 피싱 외에, 느린 안개는 비교적 드물고 방어하기 어려운 사례를 제시할 수 있나요?

답변: 우리는 이전에 공격자가 Web3 지갑의 WalletConnect의 결함을 이용하여 피싱 공격의 성공률을 높인 사건을 공개한 적이 있습니다. 구체적으로, 일부 Web3 지갑이 WalletConnect를 지원할 때, WalletConnect의 거래 팝업이 어떤 영역에서 나타나야 하는지를 제한하지 않고, 지갑의 임의의 인터페이스에서 서명 요청이 나타나는 결함을 이용했습니다. 공격자는 이 결함을 이용하여 피싱 웹사이트로 사용자를 유도하고 WalletConnect를 통해 피싱 페이지와 연결하게 한 다음, 악의적인 eth_sign 서명 요청을 지속적으로 구성했습니다.

사용자가 ethsign이 안전하지 않을 수 있음을 인식하고 서명을 거부한 경우, WalletConnect는 wss 방식을 사용하여 연결되므로 사용자가 즉시 연결을 종료하지 않으면 피싱 페이지는 계속해서 악의적인 ethsign 서명 요청을 발송합니다. 사용자가 지갑을 사용할 때 서명 버튼을 잘못 클릭할 가능성이 높아져 자산이 도난당할 수 있습니다. 사실, DApp 브라우저를 떠나거나 종료하기만 하면 WalletConnect 연결이 중단되어야 합니다. 그렇지 않으면 사용자가 지갑을 사용할 때 갑자기 서명이 나타나 혼란스러워져 도난 위험이 발생할 수 있습니다.

여기서 ethsign에 대해 다시 언급하겠습니다. ethsign은 개방형 서명 방법으로, 최근 2년 동안 공격자들이 피싱에 자주 사용했습니다. 이는 임의의 해시, 즉 어떤 거래나 데이터에 대해서도 서명할 수 있게 하여 위험한 피싱 위험을 초래합니다. 서명하거나 로그인할 때 사용 중인 애플리케이션이나 웹사이트를 주의 깊게 확인하고, 불확실한 경우 비밀번호나 거래 서명을 입력하지 말아야 하며, 맹목적인 서명을 거부하면 많은 보안 위험을 피할 수 있습니다.

7. 느린 안개가 블록체인 보안 분야에서 활동한 이래로 가장 인상 깊었던 보안 사건은 무엇인가요?

답변: 최근 2~3년 동안 인상 깊었던 사건은 2021년에 발생한 Poly Network 사건입니다. 공격 사건이 발생한 첫 순간인 8월 10일 저녁 8시경, 우리는 높은 관심을 유지하며 공격 과정 분석, 자금 흐름 추적, 도난 손실 통계 등을 진행했습니다. 마치 전선에 있는 느낌이었습니다. 그리고 6.1억 달러의 손실이 발생했으며, 당시에는 공격 사건 중에서 특히 큰 손실로 여겨졌습니다.

우리 팀은 11일 새벽 5시경에 이번 공격 사건의 분석 결과와 우리가 발견한 공격자의 IP 신원 정보 등을 첫 번째로 발표했습니다. 11일 오후 4시경, 해커는 중압감 속에서 자산을 반환하기 시작했습니다. 이후 해커의 체인 상 발언도 꽤 "재미있었"으며, 전체 과정은 보안 회사로서 매우 성취감을 느낄 수 있는 경험이었습니다.

8. 마지막으로 흥미로운 질문을 드리겠습니다. 형식적 검증, AI 감사 등 새로운 기술이 지속적으로 발전하고 있는데, 느린 안개는 새로운 기술의 발전을 어떻게 생각하나요?

답변: 새로운 기술에 대해 이야기하자면, 예를 들어 ChatGPT는 전통적인 텍스트 작업의 효율성을 높이고, CodeGPT는 코드 작성 효율성을 높입니다. 우리는 내부적으로 역사적으로 흔한 취약점 코드를 테스트 사례로 사용하여 GPT의 기본 취약점 탐지 능력을 검증한 적이 있습니다. 테스트 결과, GPT 모델은 간단한 취약점 코드 블록에 대한 탐지 능력이 꽤 좋지만, 약간 복잡한 취약점 코드는 현재로서는 탐지할 수 없으며, 테스트 중 GPT-4(Web)의 전체적인 문맥 가독성이 매우 높고 출력 형식이 비교적 명확하다는 것을 확인할 수 있었습니다.

GPT는 계약 코드에서 기본적인 간단한 취약점에 대해 일부 탐지 능력을 가지고 있으며, 취약점을 탐지한 후에는 매우 높은 가독성으로 취약점 문제를 설명합니다. 이러한 특성은 초급 계약 감사 작업자에게 초기 교육을 제공하고 간단한 질문에 대한 빠른 안내를 제공하는 데 적합합니다. 그러나 몇 가지 단점도 있습니다: 예를 들어, GPT는 매 대화마다 출력에 일정한 변동성이 있으며, API 인터페이스 매개변수를 통해 조정할 수 있지만 여전히 일정한 출력을 제공하지 않습니다. 이러한 변동성은 언어 대화에는 좋은 방식이지만, 코드 분석 작업에는 좋지 않은 문제입니다.

AI가 우리에게 다양한 취약점에 대한 답변을 제공하기 위해서는 동일한 질문을 여러 번 요청하고 비교하여 필터링해야 하므로, 이는 무의식적으로 작업량을 증가시켜 AI가 인간의 효율성을 높이는 기본 목표에 반하는 결과를 초래합니다. 또한, 약간 복잡한 취약점을 탐지할 경우 현재(2024.3.16) 훈련된 모델이 관련 주요 취약점 포인트를 정확하게 분석하고 찾지 못하는 것을 발견하게 됩니다.

현재로서는 GPT가 계약 취약점 분석 및 발굴 능력이 상대적으로 약한 상태에 있지만, 일반적인 취약점 소규모 코드 블록의 분석 및 보고서 텍스트 생성 능력은 여전히 사용자에게 흥미를 주고 있습니다. 예측 가능한 미래 몇 년 동안 GPT 및 기타 AI 모델의 훈련 개발과 함께, 대규모 복잡한 계약에 대한 더 빠르고, 더 스마트하며, 더 포괄적인 보조 감사가 반드시 실현될 것이라고 믿습니다.**

결론

느린 안개 보안 팀의 답변에 깊이 감사드립니다. 빛이 있는 곳에는 그림자가 있으며, 블록체인 산업도 예외는 아닙니다. 그러나 느린 안개 기술과 같은 블록체인 보안 회사의 존재 덕분에 그림자 속에도 미세한 빛이 비칠 수 있습니다. 발전과 함께 블록체인 산업이 더욱 규범화될 것이라고 믿으며, 느린 안개 기술의 미래 발전도 기대합니다~

이후 NFTGo는 Web3 Builder와의 인터뷰 대화를 지속적으로 초대할 예정이며, 여러분의 많은 관심 부탁드립니다. 우리의 중국어 트위터: @NFTGoCN에서 저희를 주목해 주세요. 여러분의 제안, 보고 싶은 Builder, 질문하고 싶은 내용, 또는 자발적으로 추천하고 싶은 내용은 언제든지 저희 트위터 댓글이나 DM으로 환영합니다.