2018/11/23 - [암호화폐 이야기] - 스마트 컨트랙트의 단점과 다오 해킹 사태 ETC_02

▲이전내용에서 이어집니다.



스마트 컨트랙트는 그 자체로 매우 유용하지만 다오 해킹 사태에서 살펴봤듯이 매우 위험할 수도 있습니다. 

아무리 유용한 기능이라도 믿을 수가 없다면 아무 소용이 없을 것입니다.


스마트 컨트랙트의 구현은 컴퓨터 코드로 이루어져 있으나 그걸 사용하는 사용자는 아무리 쉬운  프로그래밍언어로 작성되었더라도 당연히 코드의 내용을 알 수가 없습니다.

다오 ico에 참여했던 사람들이 다오의 스마트 컨트랙트의 허점을 몰랐던 것처럼 말이죠 

당연히 알 수가 없습니다. 이것 때문에 사용자들이 프로그래밍을 배워야 할까요? 

그렇기 때문에 스마트 계약의 안정성을 대신 확인해주는 전문가가 필요합니다 



다오 해킹 사태라는 뼈아픈 사건을 겪으며 블록체인은 무조건 안전하다는 인식 또한 깨지게 됩니다.

당연히 블록체인을 통했다고 해서 무조건 안전한 것은 아닙니다

일단 제대로만 구현된다면 잘 굴러가지만 이 '제대로' 라는것이 중요합니다. 


스마트 컨트랙트가 '제대로' 짜여졌는지 검사하는 일이 바로 보안 감사입니다. 

이것은 건축을 할 때 감리를 꼭 해야 하는 이유와 비슷할 것입니다. 

보안 감사를 함으로써 얻을 수 있는 것은 다음과 같습니다


1. 개발자의 의도적인 부정행위 적발 


2. 의도치 않은 보안 결함, 비효율적인 코드의 실행 개선


3. 사용자가 안심하고 사용할 수 있는 환경 조성 


4. 만에 하나 잘못된 계약으로 오작동이 발생할 경우 감사업체가 배상하도록 하여 다오 사태와 같은 사건 때도 사용자의 피해를 최소화 (보험의 역할, 계약한 경우만)




제가 여러번 포스팅 올렸던 코인 칼리스토가 하는 일도 바로 이 보안 감사입니다



칼리스토의 보안감사를 받으면 달아주는 인장

칼리스토는 이미 28개의 댑을 감사했으며 지금도 33개의 댑을 감사 중입니다. 




퀀트스탬프는 최종적으로 알고리즘으로 자동화되는 보안 감사 프로토콜을 목표로 하고 있습니다.

자동화 시스템으로 36시간 안에 모든 감사를 마쳐 퀀트스탬프의 감사만 통과하면 안심하고 쓸 수 있는 환경을 만들고 싶다고 하는데요, 이미 리퀘스트 네트워크를 비롯 수백 개 이상의 이더리움 애플리케이션의 보안 감사를 완료했습니다.


한국에서도 온더, 해치랩스, 핵슬란트등의 보안 감사와 기술 자문을 전문적으로 해주는 회사들이 있다고 합니다. 


이렇듯 업계에서도 보안 감사의 중요성을 느끼고 활동하는 업체와 팀이 많이 있습니다.




올해 4월 스마트매쉬라는 토큰이 1경개가 후오비에 입금되는 사건이 일어나고 맙니다. 

스마트매쉬의 총 발행량은 31억 개이며 ERC-20 토큰은 발행 시 총량을 정해둡니다 

하지만 그것을 아득히 초과해 부를 수도 없을 만큼의 토큰이 생성되는 사건이 일어나고 그중 일부가 거래소에 입금되기까지 한 것입니다. 


이 사건은 후오비측의 발 빠른 조치로 토큰의 거래와 입출금을 정지시켰지만 역시 시장을 크게 불안하게 만들었습니다. 

하지만 이 사건은 단지 한줄의 SafeMath 함수를 사용하지 않아서 일어난 일이었습니다. 


안전한 스마트 계약의 구현이 얼마나 중요한지를 그리고 보안 감사가 왜 꼭 필요한 일인지 알 수 있는 사건입니다

만약 보안 감사를 받았더라면 아주 간단하게 방지할 수 있는 문제였습니다.  


이제는 거래소 상장에도 일정수준 이상의 보안 감사를 받았는지도 같이 확인해야 한다고 생각합니다.




마지막으로 스마트 컨트랙트를 구현할 때마다 매번 코드를 감사 받고 확인해야 한다면 이 기술의 효용이 있겠느냐는 물음이 있을 것 같아서 적어봅니다 


예를들면 엣지리스라는 카지노 Dapp이 있습니다. 

이 댑에는 블랙잭, 주사위게임 등등이 작동중 입니다.

이것은 투명하게 공개된 스마트 컨트랙트를 사용하여 게임을 하기 때문에 부정, 비리, 조작이 존재할 수 없으며 결과는 즉각 시행되어 환전 신청 따위의 기다림도 없습니다. 

단 한 번만 제대로 된 게임을 올려놓으면 그 이후로는 스스로 계속 굴러갈 것입니다. 



웨이트리스의 몸무게 관리도, 서버 점검도 필요 없습니다. 

스마트 컨트랙트는 블록체인 네트워크 위에서 스스로 작동합니다.



블록체인, 분산 원장 혹은 암호 경제학, 뭐라고 부르던지 우리는 이 분야에 대한 경험이 짧습니다. 

현재 가장 앞서있는 사람들도 기술의 전체 지도에서 보면 개척자에 불과합니다. 


인류가 달에 가기 위해 노력했던 것처럼 블록체인 역시 이제 막 두어 발 내디딘 개척의 단계에 지나지 않다는 것을 기억해주세요

스마트 컨트랙트의 안전한 사용을 위한 보안 감사 역시 내딛는 한발의 발걸음입니다.



--------------------------

다음편은 드디어 이더리움 클래식 이야기를 할것 같습니다


2018/11/25 - [암호화폐 이야기] - 이더리움 클래식은 왜 해킹 코인으로 불리나? ETC_04




참조


서울경제 - 스마트 컨트랙트의 결함을 찾아내는 '보안 감사 전문가'

https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=011&aid=0003416661


정순형 온더 대표님 - SMT(SmartMesh) 토큰 무한생성 해킹 설명과 대비책

https://medium.com/onther-tech/smt-%ED%86%A0%ED%81%B0-%EC%9D%B4%EC%A4%91%EC%A7%80%EB%B6%88-%ED%95%B4%ED%82%B9-%EC%84%A4%EB%AA%85%EA%B3%BC-%EB%8C%80%EB%B9%84%EC%B1%85-8bef3f41bcd2










+ Recent posts