OKX Web3, 블록섹: 올자이언트웨일즈 디파이 세계 회피 전략

소개

OKX 웹3월렛은 다양한 유형의 체인 보안 질문에 답하는 '보안 특집' 칼럼을 특별히 기획했습니다. 사용자 주변에서 발생하는 가장 실제적인 사례를 통해 보안 분야의 전문가 또는 기관과 공동으로 다양한 관점에서 이중으로 공유하고 답변함으로써 얕은 것부터 깊은 것까지 안전한 거래의 규칙을 정리하고 요약하여 사용자 보안 교육을 강화하고 사용자 스스로 개인 키와 지갑 자산을 보호하는 방법을 배울 수 있도록 돕고자 합니다.

디파이 세계의 가장 큰 매력은 누구나 '거대한 고래'가 될 수 있는 잠재력을 가지고 있다는 것입니다.

그러나 '거대한 고래'도 용감할 수는 없으며, 고기를 먹어도 '맞을 때'가 있습니다

따라서 체인에서 플레이하려면 안전이 최우선이며, 그렇지 않으면 다시 '처음부터 시작'해야 합니다

그렇지 않다면. 이번 호는 보안 특집 05호로, 블록체인 보안의 선구자인 블록섹과 OKX 웹3 지갑 보안팀을 특별 초청하여 프로젝트 측뿐만 아니라 '거대한 고래'가 되려고 하거나 이미 된 모든 사용자들에게 실용적인 가이드의 관점에서 디파이 피해 방지 전략을 공유하고자 합니다. 예를 들어, 감사 보고서를 읽는 방법, 처음에 DeFi 프로젝트의 위험을 평가하는 데 사용되는 일반적인 지표 및 매개변수, 프로젝트 당사자 또는 거대 고래 사용자를 위한 모니터링 및 인식 기능을 구축하는 방법, DeFi 보안 행동 강령 등.... 놓치지 마세요!

블록섹보안팀: 블록섹은 세계 최고의 '풀스택' 블록체인 보안 제공업체로, 메타마스크, 컴파운드, Uniswap 재단, 포르타, 팬케이크스왑, 퍼퍼 및 기타 유명 프로젝트 당사자를 포함한 300개 이상의 고객에게 서비스를 제공해왔으며, 화이트햇 구조를 통해 2천만 달러 이상의 자본 손실을 복구했습니다.

블록섹의 CEO이자 공동 창립자인 저우 야진은 절강대학교 컴퓨터 과학 교수로 아미너가 선정한 세계에서 가장 영향력 있는 학자이며 50개 이상의 최고 논문을 발표하고 1만 건 이상의 인용을 받았습니다.CTO이자 공동 창립자인 우 레이는 전 파이쉴드의 공동 창립자인 절강대학교 컴퓨터 과학 교수이며 팀을 이끌고 있습니다. 그는 잘 알려진 여러 프로젝트에서 수십 개의 제로데이 취약점을 발견한 팀을 이끌었습니다. 제품 디렉터인 Raymond는 Tencent와 360에서 보안 제품을 담당했습니다.

OKX Web3 지갑 보안팀: 안녕하세요, 여러분, 이 소식을 전할 수 있게 되어 매우 기쁩니다. OKX Web3 보안팀은 주로 스마트 컨트랙트 보안 감사, 지갑 보안 역량 구축, 온체인 프로젝트 보안 모니터링, 보안 시스템 구축 등 OKX Web3 분야에서 모든 종류의 보안 기능 구축을 담당하고 있으며, 주로 보안 시스템 구축에 관한 업무를 담당하고 있습니다. 이 팀은 주로 스마트 컨트랙트 보안 감사, 지갑 보안, 온체인 프로젝트 보안 모니터링 등 OKX의 Web3 영역에서 다양한 보안 기능을 구축하여 사용자에게 제품 보안, 자본 보안, 거래 보안 등 여러 보호 서비스를 제공하고 전체 블록체인 보안 생태계를 유지하는 데 기여하는 역할을 담당하고 있습니다.

1분기: 실제 디파이 리스크 사례 몇 가지를 공유해주세요.

BlockSec 보안팀. Strong>보안팀: 디파이는 자산에 비교적 안정적이고 높은 수익을 가져다주기 때문에 많은 대규모 참여자를 끌어모으고 있습니다. 또한 많은 프로젝트 소유자는 유동성을 높이기 위해 대규모 투자자를 초대하는 데 앞장서고 있습니다. 예를 들어, 일부 대형 투자자들이 막대한 자산을 탈중앙 금융에 예치한다는 뉴스를 종종 접할 수 있습니다. 물론 이러한 거대 고래들은 안정적인 수익을 얻는 것 외에도 탈중앙화 금융 프로젝트에 참여할 때 몇 가지 위험에 직면하게 됩니다. 다음으로 업계에서 알려진 몇 가지 DeFi 위험 사례를 공유해드리겠습니다.

사례 1: 2022년 PolyNetwork 보안 사고로 총 6억 달러 이상의 자산이 공격당했습니다. 이 사건에는 1억 달러가 포함되어 있었다는 소문이 있으며, 공격자들은 이후 돈을 갚았고 사건은 성공적으로 해결되었으며, DeFi는 이 사건을 기념하기 위해 체인에 기념비를 세우겠다고 발표했지만 매우 고통스러운 과정이었을 것으로 생각됩니다. 현재 발생한 보안 사고 중 소수의 사건은 잘 해결되었지만, 대부분은 운이 좋지 않았습니다.

사례 2: 2023년에 잘 알려진 DEX 스시스왑이 공격을 받아 대형 업체인 0xSifu가 330만 달러 이상의 손실을 입었고, 그 손실만 전체 손실의 약 90%에 달했습니다.

사례 3: 올해 3월에 발생한 프리즈마 보안 사고의 경우 총 손실액은 1,400만 달러였으며, 17개의 지갑 주소에서 발생한 손실액은 지갑당 평균 82만 달러였지만 이 중 4개 사용자만 손실액의 80퍼센트를 차지했습니다. 도난당한 자산의 대부분은 아직 복구되지 않았습니다.

OKX Web3 지갑 보안팀:

온체인 세계가 급성장함에 따라 사용자가 직면하는 디파이 리스크 사례는 날로 증가하고 있으며, 온체인 보안은 항상 사용자의 가장 기본적이고 중요한 요구사항이 될 것입니다.

사례 1: PlayDapp 권한 계정 개인 키 유출 2024년 2월 9일부터 12일까지 이더리움 기반 게임 플랫폼인 PlayDapp은 개인 키 유출로 인해 공격자가 17억 9천만 개의 PLA 토큰을 무단으로 발행하고 도난당하는 공격을 받아 약 3,235만 달러의 손실을 입었습니다. 공격자는 PLA 토큰에 새로운 민트를 추가하여 여러 온체인 주소와 거래소에 분산된 대량의 PLA를 발행했습니다.

사례 2: 헤지 파이낸스 공격 2024년 4월 19일, 헤지 파이낸스는 이더리움과 아비트럼에서 대규모 보안 침해를 겪었고, 이로 인해 약 4,470만 달러의 손실을 입었습니다. 공격자는 사용자 입력 검증이 없는 콘트랙트의 취약점을 악용하여 취약한 콘트랙트에 대한 권한을 얻어 콘트랙트의 자산을 탈취했습니다.

Q2: 현재 디파이 영역에 존재하는 주요 위험 유형을 요약해 주시겠습니까?

OKX Web3월렛 보안팀: 실제 사례와 결합하여 현재 디파이 공간에서 흔히 발생하는 위험 유형을 4가지로 분류했습니다

첫 번째 유형은 피싱 공격입니다. 피싱 공격은 합법적인 기관이나 개인으로 가장하여 피해자가 개인 키, 비밀번호 또는 기타 개인 데이터와 같은 민감한 정보를 제공하도록 유인하는 일반적인 사이버 공격 유형입니다.

1) 가짜 웹사이트: 공격자는 실제 디파이 프로젝트와 유사한 피싱 웹사이트를 만들어 사용자가 인증에 서명하거나 거래를 이체하도록 속입니다.

2) 소셜 엔지니어링 공격: 공격자는 트위터에서 유명인 계정을 사용하거나 프로젝트의 트위터 또는 디스코드 계정을 탈취하여 가짜 프로모션이나 에어드랍(실제로는 피싱 링크)을 게시한 다음 사용자에게 피싱 공격을 수행합니다.

3) 악성 스마트 콘트랙트: 공격자는 겉보기에 매력적인 스마트 콘트랙트나 탈중앙 금융 프로젝트를 게시하여 사용자를 속여 접근 권한을 승인하도록 유도하고 자금을 탈취합니다.

유형 2: 러그풀: 러그풀은 프로젝트 개발자가 대규모 투자를 유치한 후 갑자기 자금을 인출하고 잠적하여 투자자의 자금을 전액 손실시키는 디파이 분야 특유의 스캠으로, 보통 탈중앙화 거래소(DEX)와 유동성 채굴 프로젝트에서 발생합니다. 주요 증상은 다음과 같습니다.

1) 유동성 인출: 개발자가 사용자의 투자를 유도하기 위해 유동성 풀에 대량의 유동성을 공급한 후 갑자기 모든 유동성을 인출하여 토큰 가격이 급락하고 투자자가 많은 돈을 잃게 되는 경우입니다.

2) 가짜 프로젝트: 개발자가 합법적인 것처럼 보이는 탈중앙 금융 프로젝트를 만들어 허위 약속과 높은 수익률로 사용자의 투자를 유도하지만 실제로는 실제 제품이나 서비스가 존재하지 않는 경우입니다.

3) 계약 권한 변경: 개발자는 스마트 컨트랙트의 백도어 또는 권한을 사용하여 언제든지 계약 규칙을 변경하거나 자금을 인출할 수 있습니다.

세 번째 범주: 스마트 컨트랙트 취약성. 스마트 컨트랙트는 블록체인에서 실행되는 자체 실행 코드로, 일단 배포되면 변경할 수 없습니다. 스마트 컨트랙트가 취약하면 심각한 보안 문제가 발생할 수 있습니다. 일반적인 스마트 컨트랙트 취약점은 다음과 같습니다.

1) 재진입 취약점: 공격자가 마지막 호출이 완료되기 전에 취약한 컨트랙트를 반복적으로 호출하여 컨트랙트의 내부 상태에 문제를 일으킵니다.

2) 논리 오류: 컨트랙트의 설계 또는 구현에서 논리 오류가 발생하여 예기치 않은 동작이나 취약점이 발생합니다.

3) 정수 오버플로: 컨트랙트가 정수 연산을 올바르게 처리하지 못해 오버플로 또는 언더플로우가 발생하는 경우입니다.

4) 가격 조작: 공격자가 술어 컴퓨터의 가격을 조작하여 공격을 감행합니다.

5) 정밀도 손실: 부동 소수점 또는 정수 정밀도 문제로 인한 계산 오류.

6) 입력 유효성 검사 부족: 사용자 입력을 적절히 검증하지 않아 잠재적인 보안 문제가 발생하는 경우.

범주 4: 거버넌스 위험. 거버넌스 위험은 프로젝트의 핵심 의사 결정 및 제어 메커니즘과 관련이 있으며, 악의적으로 악용될 경우 프로젝트가 의도한 목표에서 벗어나거나 심각한 경제적 손실과 신뢰의 위기를 초래할 수 있습니다. 일반적인 위험 유형은 다음과 같습니다.

1) 개인 키 유출

일부 탈중앙 금융 프로젝트는 EOA(외부 소유 계정) 또는 다중 서명 지갑으로 제어되는 권한 계정을 가지고 있으며, 이러한 개인 키가 유출되거나 도난당하면 공격자가 마음대로 컨트랙트나 자금을 조작할 수 있습니다.

2) 거버넌스 공격

일부 디파이 프로젝트는 탈중앙화된 거버넌스 체계를 채택하고 있음에도 불구하고 다음과 같은 위험을 안고 있습니다:

- 거버넌스 토큰 차용: 공격자는 대량의 거버넌스 토큰을 빌려 단기간에 투표 결과를 조작할 수 있습니다.

- 다수 투표권의 통제: 거버넌스 토큰이 소수의 사람들에게 집중되어 있는 경우, 이들은 투표권을 중앙 집중화하여 전체 프로젝트의 의사결정을 통제할 수 있습니다.

Q3: 프로젝트의 보안과 위험 수준을 처음에 평가할 수 있는 차원이나 매개변수는 무엇인가요?

BlockSec보안팀: 디파이 프로젝트에 참여하기 전, 프로젝트의 전반적인 보안 평가를 수행하는 것이 필수적입니다. 특히 많은 자금을 투자하는 참여자의 경우, 보안 실사를 통해 자금의 안전성을 극대화할 수 있습니다.

이미지 src="https://img.jinse.cn/7236891_watermarknone.png" title="7236891" alt="0ZMl7RyiNxChtXTtHJVfdFockABI53gV1mrcv4kG.png">< /p>

/p>

첫째, 프로젝트 측에서 감사를 받는지, 보안 평판이 좋은 감사 기관에서 감사를 받는지, 여러 감사 기관이 참여하는지, 최신 코드 감사를 받는지 등 프로젝트의 코드 보안을 철저히 평가하는 것이 좋습니다. 일반적으로 온라인에서 실행되는 코드가 보안 평판이 좋은 여러 보안 회사에서 감사를 받았다면 보안 공격의 위험을 크게 줄일 수 있습니다.

둘째, 실시간 보안 모니터링 시스템 구축의 프로젝트 측면을 살펴보는 것도 중요합니다. 보안 감사는 보안이 정적인지 확인하고 프로젝트가 시작된 후 발생하는 동적인 보안 문제를 해결하지 못합니다. 예를 들어, 프로젝트 측에서 프로젝트의 주요 운영 매개변수를 부적절하게 조정하거나 새 풀을 추가한 경우 등이 있습니다. 프로젝트 소유자가 실시간 보안 모니터링 시스템을 채택한 경우, 런타임 보안 요소는 이러한 체계를 채택하지 않은 프로토콜보다 약간 더 높을 것입니다.

셋째, 프로젝트 측이 비상시에 자동으로 대응할 수 있는 능력이 있는지 확인하는 것이 중요합니다. 이 기능은 오랫동안 커뮤니티에서 간과되어 왔습니다. 여러 보안 사고에서 프로젝트 측이 자동 기능 붕괴(또는 금전적으로 민감한 운영의 붕괴)를 처리할 수 없다는 사실을 발견했습니다. 프로젝트 측에서는 비상 시 보안 사고를 처리하기 위해 대부분 수동 방법을 사용했는데, 이는 비효율적이거나 심지어 비효과적인 것으로 판명되었습니다.

넷째, 프로젝트의 외부 의존성과 이러한 외부 의존성의 견고성을 살펴봅니다. 탈중앙 금융 프로젝트는 가격, 유동성 등 타사 프로젝트에서 제공하는 정보에 의존하게 됩니다. 따라서 외부 의존성의 수, 외부 의존 프로젝트의 보안성, 외부 의존성의 비정상적인 데이터에 대한 모니터링 및 실시간 처리 여부 등의 관점에서 프로젝트의 보안성을 평가해야 합니다. 일반적으로 프로젝트 측의 외부 의존성은 프로젝트 측의 책임자이며, 외부 프로젝트 예외 데이터는 내결함성이 있고 프로젝트의 실시간 처리가 더 안전할 것입니다.

다섯째, 프로젝트의 커뮤니티 거버넌스 구조가 비교적 잘 갖춰져 있는지 여부입니다. 여기에는 프로젝트 당사자가 주요 이벤트에 대한 커뮤니티 투표 메커니즘을 가지고 있는지, 민감한 작업이 다중 서명으로 완료되는지, 다중 서명 지갑이 중립적인 커뮤니티 참여를 도입하는지, 커뮤니티 안전 위원회가 있는지 여부가 포함됩니다. 이러한 거버넌스 구조 중 일부는 프로젝트의 투명성을 개선하고 사용자의 자금이 프로젝트에 유용될 가능성을 줄일 수 있습니다.

마지막으로, 프로젝트 당사자의 과거 이력도 매우 중요합니다. 프로젝트 팀과 핵심 프로젝트 멤버에 대한 신원 조회를 수행해야 합니다. 프로젝트의 핵심 구성원이 과거에 여러 번 공격을 받거나 러그풀을 당한 적이 있다면 프로젝트의 보안 위험이 상대적으로 높을 것입니다. 요컨대, 디파이 프로젝트에 참여하기 전에 사용자들, 특히 큰 돈을 가진 사람들은 프로젝트 시작 전 코드 보안 감사부터 프로젝트 시작 후 프로젝트의 실시간 보안 모니터링, 프로젝트의 보안 입력 및 보안을 검사하는 자동화된 대응 구축 능력, 외부 의존성, 지배구조, 프로젝트 측의 과거 이력 등을 잘 조사하여 프로젝트에 투자한 돈이 좋은 일에 쓰일 수 있도록 해야 합니다. 프로젝트에 투자된 자금의 안전을 보호하기 위한 작업입니다.

OKX Web3 지갑 보안팀: 디파이 프로젝트의 보안을 100% 보장할 수는 없지만, 사용자는 초기에 다음 차원을 교차 조합하여 디파이 프로젝트의 보안 및 위험 수준을 평가할 수 있습니다.

I. 프로젝트 기술 보안

1. 스마트 컨트랙트 감사 :

1) 프로젝트가 여러 감사 기관의 감사를 받았는지, 감사 기관의 평판과 경험이 좋은지 확인합니다.

2) 감사 보고서에서 보고된 문제의 수와 심각도를 확인하여 모든 문제가 해결되었는지 확인합니다.

3) 프로젝트에 배포된 코드가 감사를 받은 코드 버전과 일치하는지 확인합니다.

2. 코드 오픈 소스:

1) 프로젝트의 코드가 오픈 소스인지 확인합니다. 오픈 소스 코드는 커뮤니티와 보안 전문가가 검토할 수 있으므로 잠재적인 보안 문제를 식별하는 데 도움이 될 수 있습니다.

2) 개발팀 배경: 프로젝트 개발팀의 배경과 경험, 특히 블록체인과 보안에 대한 경험, 팀의 투명성 및 공개 정보 수준을 확인합니다.

3) 취약점 포상금 프로그램: 프로젝트에 보안 연구자들이 취약점을 신고하도록 장려하기 위한 취약점 포상금 프로그램이 있는지 여부.

3. 재정 및 경제적 보안

1) 동결된 자금의 양: 스마트 컨트랙트에 동결된 자금의 양을 확인하며, 동결이 많을수록 프로젝트의 신뢰도가 높다는 의미일 수 있습니다.

2) 거래량 및 유동성: 프로젝트의 거래량과 유동성을 평가하며, 유동성이 낮으면 가격 조작의 위험이 높아질 수 있습니다.

3) 토큰 경제 모델: 토큰 할당, 인센티브, 인플레이션 모델 등 프로젝트의 토큰 경제 모델을 평가합니다. 예를 들어, 토큰 보유가 과도하게 집중되어 있는지 여부 등을 평가합니다.

4. 운영 및 관리 보안

1) 거버넌스 메커니즘: 프로젝트의 거버넌스 메커니즘, 탈중앙화된 거버넌스 메커니즘이 있는지, 커뮤니티가 중요한 결정에 투표할 수 있는지 등을 파악하고 거버넌스 토큰의 분포와 의결권 집중 정도 등을 분석합니다.

2) 위험 관리 대책: 프로젝트에 위험 관리 대책과 비상 계획이 있는지, 잠재적인 보안 위협과 경제적 공격에 어떻게 대처할 수 있는지. 또한 프로젝트 투명성 및 커뮤니티 커뮤니케이션 측면에서는 프로젝트 소유자가 정기적으로 프로젝트 진행 보고서와 보안 업데이트를 게시하는지, 커뮤니티와 적극적으로 소통하고 사용자 문제를 해결하는지 등을 확인할 수 있습니다.

5. 시장 및 커뮤니티 평가

1) 커뮤니티 활동: 프로젝트의 커뮤니티 활동과 사용자 기반을 평가하며, 커뮤니티가 활발하다는 것은 일반적으로 프로젝트가 폭넓은 지지를 받고 있다는 것을 의미합니다.

2) 미디어 및 소셜 미디어 평가: 미디어와 소셜 미디어에서 프로젝트에 대한 평가를 분석하여 사용자와 업계 전문가가 프로젝트를 어떻게 인식하는지 파악합니다.

3) 파트너 및 투자자: 프로젝트가 잘 알려진 파트너와 투자자의 지원을 받는지 확인합니다. 평판이 좋은 파트너와 투자자는 프로젝트에 신뢰성을 더할 수 있지만 프로젝트의 안전성을 판단하는 결정적인 요소는 될 수 없습니다.

4분기 질문: 사용자는 감사 보고서와 오픈소스 상태 등을 어떻게 살펴봐야 하나요?  

BlockSec보안팀: 감사를 받은 프로젝트의 경우 일반적으로 프로젝트 소유자가 주도적으로 공식 채널을 통해 감사 보고서를 커뮤니티에 공개합니다. 이러한 감사 보고서 중 일부는 일반적으로 프로젝트의 문서, Github 코드베이스 및 기타 채널에 있습니다. 또한 감사 보고서의 진위 여부와 인증 여부를 확인할 필요가 있으며, 확인 방법으로는 감사 보고서의 디지털 서명을 검토하거나 감사 회사에 연락하여 2차 확인을 하는 방법 등이 있습니다.

그렇다면 투자자는 어떻게 감사보고서를 열람할 수 있을까요?

첫째, 오픈 제플린, 트레일 오브 비트, 블록섹 등 보안 평판이 높은 여러 보안 회사에서 감사한 감사 보고서인지 확인해야 합니다.

둘째, 문제에서 언급된 감사 보고서가 수리되었는지, 수리되지 않았다면 프로젝트 측에서 수리하지 않은 사유가 충분한지 확인합니다. 여기서도 감사 보고서에서 효과적인 취약점 보고와 비효율적인 취약점 보고를 구분할 필요가 있습니다. 감사 보고서에 대한 통일된 업계 표준이 없기 때문에 보안 감사 업체는 자체 보안 인식에 따라 프로젝트 취약점 위험 등급 및 보고서를 수행합니다. 따라서 감사 보고서에서 발견된 취약점에 대해서는 유효한 취약점 보고서에 초점을 맞춰야 합니다. 이 프로세스는 제3자의 독립적인 평가를 위해 자체 보안 컨설팅 팀을 도입하는 것이 가장 좋습니다.

셋째, 프로젝트 측에서 발행한 감사 보고서의 감사 시점과 최근 프로젝트 업그레이드 업데이트 시점이 일치(또는 근접)하는지 확인해야 하며, 프로젝트 측의 감사 보고서가 현재 온라인 모든 코드의 프로젝트 측에서 다루고 있는 코드에 대해서도 주의를 기울여야 합니다. 프로젝트 측에서는 일반적으로 경제적 비용과 시간 비용을 고려하여 부분 코드 감사를 수행합니다. 따라서 이 경우 감사를 받는 코드가 핵심 프로토콜 코드인지 여부를 판단해야 합니다.

넷째, 프로젝트 측에서 온라인에서 실행되는 코드가 검증(오픈소스)되었는지, 그리고 검증한 코드가 감사 보고서와 일치하는지 확인해야 합니다. 일반적으로 감사는 현업에 배포된 코드가 아닌 Github에 있는 프로젝트 측 코드를 기반으로 이루어집니다. 최종적으로 체인 코드에 배포된 프로젝트가 오픈 소스가 아니거나 감사받은 코드와 차이가 큰 경우 이 점에 주의해야 합니다.

요컨대, 감사 보고서를 읽는 것 자체는 전문적인 일이기 때문에 독립적인 외부 보안 전문가에게 자문을 구하는 것이 좋습니다.

지갑 보안팀: 사용자는 디파이 프로젝트의 공식 웹사이트 또는 오케이링크와 같은 서드파티 웹사이트를 통해 스마트 컨트랙트의 감사 보고서와 오픈소스 현황을 확인할 수 있으며, 다음은 프로젝트 감사 보고서와 오픈소스 현황에 대한 일반적인 견해에 대한 소개입니다. 단계:

첫째, 공식 공지사항이나 웹사이트를 찾아보세요. 대부분의 신뢰할 수 있는 탈중앙 금융 프로젝트는 공식 웹사이트에 관련 문서를 게시합니다. 프로젝트 문서 페이지에는 일반적으로 감사 보고서로 연결되는 "보안", "감사" 또는 "계약 주소" 페이지가 있습니다. 문서 페이지에는 일반적으로 감사 보고서와 프로젝트에서 배포한 계약의 주소로 연결되는 "보안", "감사" 또는 "계약 주소" 페이지가 있습니다. 프로젝트의 공식 웹사이트 외에도 일반적으로 감사 보고서와 배포된 컨트랙트 주소 정보는 Medium, Twitter 등의 공식 소셜 미디어에도 표시됩니다.

둘째, 프로젝트의 공식 웹사이트를 읽은 후 OKLink 브라우저를 통해 배포된 컨트랙트의 주소를 조회하고 주소의 "컨트랙트" 섹션에서 배포된 컨트랙트의 오픈 소스 코드 정보를 볼 수 있습니다.

셋째, 감사 보고서의 프로젝트 측과 계약 오픈 소스 코드 정보의 배포에서 감사 보고서의 프로젝트 측의 감사 보고서를 읽기 시작하고 감사 보고서를 읽으면 다음과 같은주의 사항이 있습니다.

1) 감사 보고서의 구조에 대한 이해, 감사 보고서의 일반적인 개념을 갖는 감사 보고서의 내용은 감사 보고서 소개, 문제 발견으로 나뉩니다, 해결 방안 및 권고 사항, 감사 결과로 구성됩니다.

2) 서론의 내용을 읽을 때 감사 보고서 감사의 범위와 목표에주의를 기울여야하며 일반적으로 감사 보고서는 Github 커밋 ID에 제출 된 감사 파일로 표시되며 감사 보고서 감사 파일을 비교해야하며 오픈 소스 코드의 체인 배포가 일관성이 있어야합니다.

3) 발견된 문제점, 해결책 및 권고 사항과 감사 결과 섹션을 읽을 때 프로젝트 팀이 발견된 취약점을 해결하기 위해 권고 사항을 준수했는지, 프로젝트 측에서 후속 감사 내용을 수정하여 모든 문제를 제대로 처리했는지를 중점적으로 확인해야 합니다.

4) 여러 보고서를 비교합니다. 프로젝트가 여러 번 감사를 받은 경우 각 감사 보고서의 차이점을 살펴보고 프로젝트의 보안 개선 사항을 파악하세요.

5번 질문: 해킹 이력, 바운티 프로그램, 프로젝트 보안에 대한 DeFi 기준값이 있나요?  

OKX Web3 지갑보안팀: 해킹 이력과 바운티 프로그램은 디파이 프로젝트의 보안 평가에 일정한 기준값을 제공하며, 이는 주로 다음과 같은 측면에서 반영됩니다: 

OkX Web3 지갑보안팀: 해킹 이력 및 포상 프로그램은 디파이 프로젝트의 보안 평가를 위해 일정한 기준값을 제공합니다.

1) 과거 취약점 공개: 공격 이력을 통해 프로젝트에 존재했던 특정 보안 취약점을 확인할 수 있어 과거에 어떤 보안 이슈가 악용되었는지, 해당 이슈가 완전히 복구되었는지 파악할 수 있습니다.

2) 리스크 관리 역량 평가: 프로젝트가 과거 보안 사고에 어떻게 대응했는지는 프로젝트의 리스크 관리 및 위기 관리 역량을 반영할 수 있습니다. 적극적으로 대응하고, 취약점을 적시에 수정하고, 영향을 받은 사용자에게 보상하는 프로젝트는 일반적으로 더 안정적이고 성숙한 투자 옵션으로 간주됩니다.

3) 프로젝트 신뢰도: 잦은 보안 문제는 프로젝트에 대한 사용자의 신뢰를 떨어뜨릴 수 있지만, 프로젝트가 실수를 통해 학습하고 보안 조치를 강화하는 능력을 보여줄 수 있다면 장기적인 신뢰도를 쌓을 수 있습니다.

둘째, 바운티 프로그램

디파이 및 기타 소프트웨어 프로젝트에서 바운티 프로그램을 시행하는 것은 보안을 개선하고 잠재적인 취약점을 발견하는 데 중요한 전략입니다. 이러한 프로그램은 프로젝트 보안 평가에 다음과 같은 여러 가지 이점을 제공합니다.

1) 외부 감사 강화: 바운티 프로그램은 전 세계의 보안 연구자들이 프로젝트 보안 감사에 참여하도록 장려합니다. 보안 테스트에 대한 이러한 '크라우드 소싱' 접근 방식은 내부 감사에서 간과할 수 있는 문제를 노출하여 잠재적인 취약점을 발견하고 해결할 가능성을 높일 수 있습니다.

2) 보안 조치의 효과 검증: 프로젝트는 실제 포상금 프로그램을 통해 현장에서 보안 조치의 효과를 테스트할 수 있습니다. 프로젝트의 바운티 프로그램 기간이 길지만 보고된 심각한 취약점이 적다면 이는 프로젝트의 상대적인 성숙도와 보안을 나타내는 지표가 될 수 있습니다.

3) 지속적인 보안 개선: 바운티 프로그램은 지속적인 개선을 위한 메커니즘을 제공합니다. 새로운 기술과 새로운 공격 수단이 등장함에 따라 바운티 프로그램은 프로젝트 팀이 적시에 보안 조치를 업데이트하고 강화하여 프로젝트가 최신 보안 문제에 대처할 수 있도록 도와줍니다.

4) 보안 문화 확립: 프로젝트에서 포상금 프로그램을 설정했는지 여부와 프로그램의 심각성 및 활동 정도는 보안에 대한 프로젝트 팀의 태도를 반영할 수 있습니다. 활발한 포상금 프로그램은 프로젝트가 견고한 안전 문화를 구축하기 위해 노력하고 있음을 보여줍니다.

5) 커뮤니티와 투자자의 신뢰 증진: 바운티 프로그램의 존재와 효과는 커뮤니티와 잠재 투자자에게 프로젝트가 보안을 중요하게 생각한다는 것을 보여줄 수 있습니다. 이는 사용자 신뢰를 높일 뿐만 아니라 투자자들이 높은 수준의 보안 책임을 보여주는 프로젝트를 선택하는 경향이 있기 때문에 더 많은 투자를 유치할 수도 있습니다.

Q6: 사용자가 탈중앙 금융에 참여할 때 어떻게 감시 인식을 구축할 수 있나요?

? 블록섹보안팀:대형 고래 사용자를 예로 들면, 대형 고래는 주로 개인 투자자 또는 소규모 투자 조직 팀을 말하며, 이들은 자본은 크지만 일반적으로 매우 강력한 보안 팀이나 자체 보안 도구를 개발할 수 있는 능력을 갖추지 못했습니다. 따라서 지금까지 대부분의 거대 고래는 위험 인식 능력이 충분하지 않았고, 그렇지 않았다면 그렇게 큰 손실을 입지 않았을 것입니다.

거대한 손실의 위험 때문에 일부 거대 고래 사용자는 위험을 모니터링하고 인식하기 위해 공개적으로 사용 가능한 일부 보안 도구에 의식적으로 의존하기 시작했습니다. 현재 많은 팀에서 모니터링 제품을 만들고 있지만, 어떤 제품을 선택하느냐가 매우 중요합니다. 다음은 몇 가지 핵심 사항입니다.

첫째, 도구 사용 비용이 있습니다. 많은 도구는 매우 강력하지만 프로그래밍이 필요하고 사용 비용이 저렴하지 않습니다. 사용자가 계약의 구조를 파악하거나 주소를 수집하는 것조차 쉽지 않습니다.

둘째, 정확성입니다. 밤에 잠자리에 들어 여러 번 연속으로 알림을 받았는데 그것이 오경보라는 사실을 알고 당황하고 싶은 사람은 아무도 없을 것입니다. 따라서 정확성도 중요합니다.

마지막으로 보안이 있습니다. 특히 이 정도 규모의 자금이라면 도구 개발과 팀에 대한 다양한 보안 위험을 무시할 수 없습니다. 최근 갈라 게임에 대한 공격은 안전하지 않은 타사 서비스 제공업체의 도입으로 인한 것으로 알려져 있습니다. 따라서 신뢰할 수 있는 팀과 신뢰할 수 있는 제품이 중요합니다.

지금까지 많은 거대 고래로부터 접근을 받아 전문 자산 관리 솔루션을 추천하여 거대 고래 사용자가 자금의 안전을 보장 할뿐만 아니라 "발굴 및 판매"와 같은 일상적인 자금 관리, 인지 된 위험, 비상시 자금의 후퇴까지 고려할 수 있도록합니다.

< /p>

Q7: 참여하기DeFi의 보안 권장사항 및 보안 위험에 대처하는 방법

BlockSec >보안팀: 대규모 자금 참여자의 경우, 디파이 프로토콜에 참여할 때 가장 우선시해야 할 것은 원금의 안전성을 보장하고, 발생 가능한 보안 위험을 보다 철저히 검토한 후 투자하는 것입니다. 자금의 안전성은 일반적으로 여러 가지 방법으로 보장할 수 있습니다.

첫째, 프로젝트 소유자의 보안 강조 수준과 의지를 여러 가지 방법으로 판단하는 것이 중요합니다. 위에서 언급한 비교적 철저한 보안 감사를 거쳤는지, 프로젝트 측에서 프로젝트 보안 위험 모니터링 및 자동 대응 기능을 갖추고 있는지, 더 나은 커뮤니티 거버넌스 메커니즘을 갖추고 있는지 등을 포함해서 말이죠. 이 중 일부는 사용자의 자본 보안에 대한 프로젝트 측의 책임감 있는 태도 여부가 더 중요한 측면에 반영될 수 있습니다.

둘째, 많은 자금을 보유한 참여자는 자체적인 보안 모니터링 및 자동 대응 시스템을 구축해야 합니다. 투자한 프로토콜에 보안 사고가 발생할 경우, 대규모 자본 투자자들은 프로젝트 측에 모든 희망을 걸기보다는 이를 가장 먼저 감지하고 자금을 최대한 회수할 수 있어야 합니다. 2023년에는 커브, 카이버스왑, 오일러 파이낸스 등 여러 유명 프로젝트가 공격을 받을 수 있습니다. 안타깝게도 대규모 투자자들은 공격이 발생했을 때 시기적절하고 효과적인 인텔리전스가 부족하고 자체 보안 모니터링 및 비상 대피 시스템을 갖추지 않은 경우가 많다는 사실을 발견했습니다.

또한 투자자는 지속적인 관심을 기울여야 하는 프로젝트의 보안에 투자하기 위해 더 나은 보안 파트너를 선택해야 합니다. 코드 업그레이드, 중요한 매개변수 변경 등 프로젝트 측에서 적시에 위험을 감지하고 평가할 수 있어야 합니다. 이러한 작업은 전문 보안 팀과 도구의 참여 없이는 완료하기 어렵습니다.

마지막으로, 개인 키의 보안을 보호해야 합니다. 잦은 거래가 필요한 계정의 경우 온라인 다중 서명 및 오프라인 개인 키 보안 솔루션을 조합하여 하나의 개인 키 분실 후 단일 주소와 단일 위험 지점을 제거하는 것이 가장 좋습니다.

한 번 투자한 프로젝트가 보안 위험에 직면했다면 어떻게 대처해야 하나요?

저는 거대 고래와 투자자에게 보안 사고가 발생했을 때 가장 먼저 해야 할 대응은 가능한 한 빨리 자본을 회수하는 것이 가장 우선적인 조치라고 생각합니다. 그러나 공격자의 속도는 일반적으로 매우 빠르며 수동 조작은 종종 너무 늦기 때문에 위험에 따라 자동으로 자금을 인출 할 수있는 것이 가장 좋습니다. 현재 저희는 사용자가 출금 우선순위를 정할 수 있도록 자동 출금 후 거래에 대한 공격을 발견할 수 있는 관련 도구를 제공하고 있습니다.

두 번째로, 손실을 입은 경우 교훈을 얻는 것 외에도 프로젝트 측에서 피해 자금을 추적하고 모니터링하기 위해 보안 회사의 도움을 받도록 적극적으로 홍보해야 합니다. 암호화폐 업계 전체가 보안을 중요하게 생각하면서 자금 회수율이 점차 높아지고 있습니다.

마지막으로, 대규모 투자자인 경우 보안 회사에 투자한 다른 프로젝트에도 비슷한 문제가 있는지 확인해달라고 요청할 수도 있습니다. 컴파운드 V2의 정확도 손실 문제와 같이 많은 공격의 근본 원인은 일관성이 있으며, 작년에 많은 프로젝트가 비슷한 문제를 가지고 연달아 공격을 받았습니다. 따라서 보안 회사에 포트폴리오 내 다른 프로젝트의 위험성을 분석하도록 요청할 수 있으며, 위험성이 확인되면 가능한 한 빨리 해당 프로젝트에 전달하거나 프로젝트에서 철수해야 합니다.

OKX Web3 지갑 보안팀: 디파이 프로젝트에 참여할 때 자금 손실 위험을 줄이고 탈중앙화 금융의 혜택을 누릴 수 있는 다양한 조치를 취함으로써 사용자는 보다 안심하고 디파이 프로젝트에 참여할 수 있습니다. 사용자 수준과 OKX Web3 지갑 수준부터 시작하겠습니다.

첫째, 사용자의 경우:

1) 감사를 받은 프로젝트 선택: 잘 알려진 제3자 감사 회사(예: ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK 및 오늘 초청 연사인 BlockSec)의 감사를 받은 프로젝트에 우선순위를 부여합니다. 블록섹)의 공개 감사 보고서를 검토하여 잠재적인 위험과 취약점 수정 사항을 확인하세요.

2) 프로젝트의 배경과 팀에 대한 이해: 프로젝트의 백서, 공식 웹사이트, 개발팀의 배경을 조사하여 프로젝트가 투명하고 신뢰할 수 있는지 확인합니다. 소셜 미디어와 개발 커뮤니티에서 팀의 활동에 주목하여 기술력과 커뮤니티 지원을 파악하세요.

3) 분산 투자: 하나의 탈중앙 금융 프로젝트나 자산에 모든 자금을 투자하지 마세요. 분산 투자는 위험을 줄여줍니다. 대출, DEX, 파밍 등 다양한 유형의 디파이 프로젝트를 여러 개 선택해 위험 노출을 분산하세요.

4) 마이크로 테스트: 대규모 거래 전, 운영과 플랫폼의 안전성을 확인하기 위해 마이크로 테스트 거래를 진행합니다.

5) 정기적인 계좌 모니터링 및 비상 대응: 비정상적인 거래나 활동을 적시에 감지할 수 있도록 DeFi 계좌와 자산을 정기적으로 확인합니다. 도구(예: 이더스캔)를 사용해 온체인 거래 기록을 모니터링하여 자산 보안을 확보하세요. 이상 징후를 감지한 후 계정의 모든 권한을 취소하고 지갑 보안팀에 지원을 요청하는 등 긴급 조치를 취합니다.

6) 신규 프로젝트에 신중하게 접근: 이제 막 시작했거나 검증되지 않은 신규 프로젝트의 경우 신중한 태도를 유지하세요. 먼저 적은 금액을 투자하여 운영과 보안을 테스트하고 관찰할 수 있습니다.

7) 거래 시 주류 Web3 지갑 사용: 보안이 강화된 주류 Web3 지갑만 사용하여 디파이 프로젝트와 상호작용하세요.

8) 피싱 공격 방지: 출처가 불분명한 링크와 이메일을 클릭하지 않도록 주의하고, 신뢰할 수 없는 웹사이트에 개인 키나 니모닉을 입력하지 않으며, 방문하는 링크가 공식 웹사이트인지 확인합니다. 지갑과 애플리케이션을 다운로드할 때는 공식 채널을 사용해 소프트웨어의 신뢰성을 확인합니다.

둘째, OKX Web3 지갑 수준에서:

사용자 자금의 안전을 보호하기 위해 다양한 보안 메커니즘을 제공합니다:

1) 위험한 도메인 이름 탐지: 사용자가 DAPP에 액세스하면 OKX Web3 지갑은 도메인 이름 수준에서 탐지 및 분석됩니다. 사용자가 악성 DAPP에 액세스하는 경우, 사용자가 속지 않도록 가로채거나 경고합니다.

이미지 src="https://img.jinse.cn/7236893_watermarknone.png" title="7236893" alt="qFdgBWVeW5x8cVh0JVGhOS79VgtVsDwUE8Nl58eu.png">< /p>

2) 픽시 디스크 토큰 감지: OKX Web3 지갑은 완벽한 픽시 디스크 토큰 감지 기능을 지원하며, 사용자가 픽시 디스크 토큰과 상호 작용하려는 것을 방지하기 위해 지갑에서 픽시 디스크 토큰을 적극적으로 보호합니다.

3) 주소 라벨 라이브러리: OKX Web3 지갑은 풍부하고 완벽한 주소 라벨 라이브러리를 제공하며, 사용자가 의심스러운 주소와 상호 작용할 때 OKX Web3 지갑은 적시에 경고를 표시합니다. 사용자는 결과가 자신의 기대에 부합하는지 판단하고 거래를 계속 제출할지 여부를 결정할 수 있습니다.

이미지 src="https://img.jinse.cn/7236894_watermarknone.png" title="7236894" alt="Rp4yYrNrN01G2foCh7DgD50on0YigzspSpkWCQbZ.png">< /p>

5) 디파이 애플리케이션의 통합: OKX Web3 월렛은 이미 모든 종류의 주류 디파이 프로젝트의 서비스를 통합했으며, 사용자는 OKX Web3 월렛을 통해 통합된 디파이 프로젝트와 안전하게 상호 작용할 수 있습니다. 또한 OKX Web3 월렛은 사용자에게 최적의 DeFi 서비스와 최적의 가스 솔루션을 제공하기 위해 DEX 및 크로스 체인 브리지와 같은 DeFi 서비스 경로도 추천할 것입니다.

이미지 src="https://img.jinse.cn/7236895_watermarknone.png" title="7236895" alt="S5VFdhuzhkYjyzHvSjZZqB883IhE4EcDpzgFIw3g.png">< /p>

6) 더 많은 보안 서비스: OKX Web3 월렛은 점차적으로 더 많은 보안 기능을 추가하고 고급 보안 보호 서비스를 구축하여 OKX 월렛 사용자를 더 좋고 효율적으로 보호할 것입니다.

Q8: 사용자뿐만 아니라 디파이 프로젝트가 직면하는 위험의 유형은 무엇이며 어떻게 보호하고 있나요?

BlockSec보안팀: 프로젝트 측면에서 디파이가 직면하는 위험 유형에는 코드 보안 위험, 운영 보안 위험, 외부 의존성 위험이 있습니다.

첫째, 코드 보안 위험입니다. 즉, 디파이 프로젝트는 코드 수준의 보안 위험이 존재할 수 있습니다. DeFi 프로젝트의 경우 스마트 컨트랙트는 핵심 비즈니스 로직(프론트 엔드 및 백엔드 처리 로직은 전통적인 소프트웨어 개발 비즈니스에 속하며 상대적으로 성숙함)이며, 다음과 같은 사항도 우리의 관심과 논의의 초점입니다.

1) 우선, 개발 관점에서 업계에서 인정하는 스마트 컨트랙트 보안 개발 관행을 따라야 할 필요성, 예를 들어 확인- 효과-상호 작용 모드 등 업계에서 인정하는 스마트 컨트랙트 개발 관행을 따라야 하며, 반복적인 바퀴 발명으로 인한 예측 불가능한 위험을 피하기 위해 일반적으로 사용되는 기능은 가능한 한 신뢰할 수 있는 서드파티 라이브러리를 통해 구현해야 합니다.

2) 다음 단계는 소프트웨어 개발의 중요한 부분이며 많은 문제를 발견하는 데 도움이 될 수 있는 내부 테스트를 잘 수행하는 것입니다. 그러나 DeFI 프로젝트의 경우 로컬 테스트만으로는 문제를 발견하기에 충분하지 않으며, 실제 환경에 가까운 배포 환경에서 추가 테스트가 필요하며, 이는 Phalcon Fork와 같은 도구를 사용하여 수행할 수 있습니다.

3) 마지막으로, 테스트가 완료되면 평판이 좋은 외부 감사 서비스를 이용하세요. 감사를 통해 문제가 100% 발생하지 않는다고 보장할 수는 없지만, 체계적인 감사는 개발자가 익숙하지 않거나 사고 방식이 달라 접근하기 어려운 부분인 알려진 일반적인 유형의 보안 문제를 찾는 데 큰 도움이 될 수 있습니다. 물론 감사 업체의 전문성과 방향성이 다르기 때문에 예산이 허락한다면 2개 이상의 감사 업체를 참여시키는 것이 실무적으로도 권장됩니다.

둘째, 운영상의 보안 위험입니다. 이는 프로젝트가 시작된 후 운영 중에 발생하는 보안 위험입니다. 한편으로는 코드에 아직 알려지지 않은 취약점이 있을 수 있습니다. 코드가 잘 개발되고 테스트 및 감사를 거쳤더라도 발견되지 않은 보안 위험이 있을 수 있으며, 이는 수십 년간의 소프트웨어 개발 보안 관행에서 널리 입증되었습니다. 한편으로는 코드 수준의 문제 외에도 개인 키 유출, 시스템의 중요한 매개 변수의 잘못된 설정 등과 같이 프로젝트가 시작된 후 심각한 결과와 막대한 손실을 초래할 수 있는 더 많은 문제에 직면하게 될 것입니다. 운영상의 보안 위험에 대처하기 위한 제안된 전략은 다음과 같습니다:

1) 건전한 개인키 관리 구축: 신뢰할 수 있는 하드웨어 지갑 또는 MPC 기반 지갑 솔루션과 같은 신뢰할 수 있는 개인키 관리 방법을 채택합니다.

2) 운영 상태 모니터링을 잘 수행: 모니터링 시스템은 권한 있는 작업과 프로젝트 운영의 보안 상태를 실시간으로 감지합니다.

3) 위험에 대한 자동화된 대응 메커니즘 구축: 예를 들어, BlockSec Phalcon을 사용하면 공격이 발생했을 때 자동으로 차단을 실행하여 (추가) 손실을 방지할 수 있습니다.

4) 권한 작업에 대한 단일 위험 지점 피하기: 예를 들어, 안전한 다중 서명 지갑을 사용하여 권한 작업을 수행합니다.

셋째, 외부 의존성 위험은 다른 디파이 프로토콜에서 제공하는 가격 예측자에 의존하지만 예측자에 문제가 발생하면 가격 계산에 잘못된 결과가 발생하는 등 프로젝트에 존재하는 외부 의존성과 관련된 위험을 말합니다. 외부 의존성 위험에 대한 권장 사항은 다음과 같습니다.

1) 업계에서 인정받는 신뢰할 수 있는 헤더 프로토콜과 같은 신뢰할 수 있는 외부 파트너를 선택합니다.

2) 운영 상태 모니터링을 잘 수행: 운영 보안 위험과 유사하지만 여기서는 외부 종속성에 대한 모니터링입니다.

3) 위험에 대한 자동화된 대응 메커니즘 구축: 운영 보안 위험과 유사하지만, 전체 프로토콜을 일시 중지하는 대신 대체 종속성을 전환하는 등 대응 방식이 다를 수 있습니다.

추가적으로 모니터링 기능을 구축하고자 하는 프로젝트를 위한 몇 가지 모니터링 제안 사항이 있습니다

1) 모니터링 지점을 정확하게 설정: 프로토콜에 존재하는 주요 상태(변수)와 모니터링해야 할 위치를 결정하는 것이 모니터링 기능 구축의 첫 번째 단계입니다. 그러나 특히 공격 모니터링에서 모든 모니터링 포인트를 커버하기는 어려우므로, 외부 전문 써드파티의 실전 테스트를 거친 공격 탐지 엔진을 사용하는 것이 좋습니다.

2) 모니터링의 정확성과 적시성 보장: 모니터링의 정확성은 오탐(FP)과 미탐(FN)이 너무 많아서는 안 되며, 정확성이 부족한 모니터링 시스템은 사용할 수 없으며, 적시성은 대응의 전제 조건(예: 의심스러운 컨트랙트가 배포된 후 공격 거래가 체인에 업로드되기 전에 탐지할 수 있는지)으로, 사후 분석에만 사용할 수 있으므로 모니터링 시스템의 성능과 안정성에 대한 요구가 매우 높습니다. 이는 모니터링 시스템의 성능과 안정성에 대한 매우 높은 요구 사항입니다.

3) 자동화된 대응 기능의 필요성: 정확한 실시간 모니터링을 기반으로 공격 차단을 위한 일시 정지 프로토콜 등 자동화된 대응 기능을 구축할 수 있습니다. 이를 위해서는 프로젝트의 필요에 따라 유연하게 조정할 수 있고 자동으로 실행되도록 트리거할 수 있는 안정적이고 사용자 지정 가능한 자동화된 대응 프레임워크가 필요합니다.

전반적으로 외부 전문 보안 벤더의 참여를 통해 모니터링 기능을 구축해야 합니다.

1) 기술적 위험: 주로 스마트 컨트랙트 취약점과 사이버 공격이 포함됩니다.

1) 기술적 위험: 주로 스마트 컨트랙트 취약점과 사이버 공격이 포함됩니다. 보호 조치에는 안전한 개발 관행 채택, 스마트 컨트랙트에 대한 종합적인 감사를 수행하기 위해 전문 제3자 감사 회사를 고용하고, 화이트 햇 해커가 취약점을 발견하도록 장려하기 위해 취약점 포상금 프로그램을 설정하고, 자금 보안을 개선하기 위해 자산을 분리하는 것이 포함됩니다.

2) 시장 위험: 가격 변동성, 유동성 위험, 시장 조작, 포트폴리오 위험 등이 주요 구성 요소입니다. 가격 변동성을 방지하기 위한 스테이블 코인 사용 및 위험 헤지, 유동성 위험을 처리하기 위한 유동성 채굴 및 동적 수수료 메커니즘 사용, 시장 조작을 방지하기 위한 탈중앙화 예측기 사용, 경쟁 위험에 대처하기 위한 프로토콜 기능의 지속적인 혁신과 최적화 등이 보호 조치에 포함됩니다.

3) 운영 리스크: 여기에는 주로 인적 오류와 거버넌스 메커니즘 리스크가 포함됩니다. 보호 조치에는 인적 오류 발생을 줄이기 위한 엄격한 내부 통제 및 운영 프로세스 구축, 운영 효율성 향상을 위한 자동화 도구 사용, 투표 지연 및 다중 서명 메커니즘 도입 등 탈중앙화와 보안 간의 균형을 보장하는 합리적인 거버넌스 메커니즘 설계가 포함됩니다. 또한 온라인 프로젝트에 대한 모니터링과 비상 계획을 잘 수립하여 이상 징후 발생 시 손실을 최소화하기 위한 즉각적인 조치를 취할 수 있도록 합니다.

4) 규제 위험: 법률 준수 요건 및 자금세탁방지(AML)/고객알기제도(KYC) 의무. 보호 조치에는 프로그램이 법률 및 규제 요건을 준수하도록 법률 고문을 고용하고, 투명한 규정 준수 정책을 수립하며, 사용자 및 규제 기관의 신뢰를 높이기 위해 AML 및 KYC 조치를 선제적으로 시행하는 것이 포함됩니다.

Q9:디파이 프로젝트 당사자들은 좋은 감사 업체를 어떻게 판단하고 선택하나요?

BlockSec보안팀:DeFi 프로젝트 측, 좋은 감사 회사를 판단하고 선택하는 방법, 다음은 몇 가지 간단한 기준입니다 :

1) 잘 알려진 프로젝트의 감사 여부: 이는 감사 회사가 이러한 잘 알려진 프로젝트.

2) 감사를 받은 프로젝트의 공격 여부: 물론 이론적으로 감사가 100% 보안을 보장하지는 않지만, 실제 경험에 따르면 평판이 좋은 감사 회사에서 감사를 받은 대부분의 프로젝트는 공격을 받은 기록이 없습니다.

3) 과거 감사 보고서를 통해 감사 품질 판단 : 감사 보고서는 감사 회사의 전문성 정도를 나타내는 중요한 척도이며, 특히 동일한 감사 프로젝트에서 동일한 감사 범위를 비교할 수 있으며 취약점 발견 품질 (피해 정도)에 집중할 수 있으며 취약점 발견 수는 일반적으로 프로젝트 측에서 채택하는 것이 일반적입니다.

4) 전문 실무자: 교육과 배경, 체계적인 교육과 경험 등 감사 업체의 구성이 감사 품질에 큰 도움이 됩니다.

마지막으로 05호 OKX 웹3월렛 '보안 특집'을 읽어주셔서 감사드리며, 현재 실제 사례와 위험 식별, 보안 운영 드라이 상품 등 06호 콘텐츠 준비에 한창이니 기대해 주세요!

면책 조항:

이 기사는 정보 제공만을 목적으로 하며, (i) 투자 자문 또는 투자 추천, (ii) 디지털 자산의 매수, 매도 또는 보유 제안 또는 권유, (iii) 재무, 회계, 법률 또는 세무 자문을 제공하기 위한 것이 아닙니다. 디지털 자산(스테이블코인 및 대체 불가능한 토큰 포함)의 보유는 높은 수준의 위험을 수반하며 크게 변동하거나 심지어 가치가 없어질 수도 있습니다. 회원님의 재정 상황에 비추어 디지털 자산을 거래하거나 보유하는 것이 회원님에게 적합한지 신중하게 고려해야 합니다. 관련 현지 법률 및 규정을 이해하고 준수할 책임은 전적으로 회원님에게 있습니다.