안전이라는 반대말인 위험 없이는 안전을 말할 수 없습니다.
최근 믹스신(MIxin), 코인엑스(CoinEx) 도난 사건, HTX 핫월렛 공격 등 잇따른 보안사고가 다시 한번 업계 보안 이슈에 투자자들의 이목을 집중시켰다.
파이둔 통계에 따르면 9월 25일 기준 Mixin(2억 달러 손실), Euler Labs(1억 9,700만 달러 손실, 해커는 1억 9,700만 달러 손실), Vyper/Curve(7,360만 달러 손실, 해커는 1억 9,700만 달러 손실) 5,230만 달러 손실), CoinEx(7,000만 달러 손실), Atomic Wallet(6,500만 달러 손실), Stake(4,100만 달러 손실), CoinsPaid(3,770만 달러 손실), Poly Network(2,600만 달러 손실), 저탄수화물 Crusader(2,500만 달러 손실)), 거대 고래를 대상으로 한 피싱(2,400만 달러 손실) 및 기타 상위 10대 해커 공격으로 인해 상위 10대 해커 공격으로 인한 총 손실액은 6억 위안 이상입니다.
암호화폐 세계의 어두운 숲에서는 해킹 공격, 피싱 사기 등 다양한 위험이 늘 발생하고 있습니다.
이번 글에서는 보안을 제품 디자인의 첫 번째 원칙으로 삼는 OKX를 샘플로 사용하여 OKX Web3 지갑과 OKX CEX의 보안 시스템을 체계적으로 해체하고 팀이 생각하는 것에서부터 Web3의 보안 세계를 파헤쳐보겠습니다. 그리고 생각합니다.필수적인 질문입니다.
지갑 보안에 있어서는 실시간으로 위험을 식별, 표시 및 차단하는 것이 중요합니다.
CertiK가 발표한 2023년 2분기 Web3.0 산업 보안 보고서의 통계에 따르면 CertiK는 총 212건의 보안 사고를 발견했으며 해커와 기타 악의적인 행위자는 Web3.0 업계에서 3억 1천만 달러 상당의 토큰을 압착했습니다. 이는 체인 자산 보안 문제의 심각성을 보여줍니다.
일반적으로 사용되는 이더리움의 EOA 계정을 예로 들면, 일반적으로 개인 키가 분실된 경우에만 자산 이전이 가능하며 승인 기능은 악의적인 계약을 승인하는 데 사용되며 허용 기능은 악의적인 통화 이체에 서명하는 데 사용됩니다. 메시지.
프라이빗 키 분실 문제는 업계에 갓 입문한 초보들에게 흔히 발생하는 인간의 미숙함으로 인한 니모닉 단어 분실이 한편으로는 플레이어가 로그인하는 경우도 있습니다. 피싱 웹사이트에서 에어드랍을 받고 개인 키를 적극적으로 입력하는 경우 키와 니모닉으로 인해 발생합니다. 두 경우 모두 매우 흔한 상황이며, 물론 악성 지갑을 다운로드 받거나 지갑이 위치한 컴퓨터/휴대폰에 트로이 목마 프로그램이 이식되어 최종적으로 해커에 의해 제어되는 경우도 있습니다. 컴퓨터의 경우 일반 웹사이트에서 소프트웨어를 다운로드하기만 하면 됩니다. 적시에 최신 버전으로 업그레이드하고 기본적인 네트워크 보안 지식을 갖추고 있으면 적발될 가능성이 적습니다.
인간의 경험 부족으로 인한 개인 키 분실 문제에 대응하여 OKX Web3 Wallet은 MPC 개인 키리스 지갑을 출시하여 사용자가 위험을 피할 수 있도록 돕습니다.
MPC의 정식 명칭은 Multi-Party Computation으로 간단히 다중 서명 지갑으로 이해하면 됩니다. OKX Web3 MPC 지갑은 MPC 기술을 사용하여 개인 키를 OKX 거래소, 사용자 장비 및 클라우드 백업(iCloud/Google 드라이브)에 보관되는 세 부분으로 분할합니다.지갑을 만들 때 사용자는 로그인만 하면 됩니다. OKX APP을 선택하고 개인 키 지갑 없이 주소 생성을 선택하고 클라우드 백업을 활성화하여 세 번째 조각을 백업합니다. 니모닉을 수동으로 유지할 필요가 없으며 사용자는 사용 시 서명 인증을 완료하기 위해 2/3 조각이 필요합니다. 거래 프로세스에서는 개인 키 일반 텍스트가 표시되지 않습니다. 개인 키 유출로 인한 자산 보안 문제를 어느 정도 해결합니다. 또한 OKX는 MPC 지갑에 긴급 탈출 기능도 설정해 사용자가 특별한 상황에 처했을 때 비상구에서 클라우드 백업 비밀번호만 입력하면 신속하게 개인 키를 획득하고 자산을 이체할 수 있어 안전하고 안전하다. 편리한.
인간 경험의 부족으로 인한 니모닉 문구와 관련된 보안 문제는 일반적으로 초보 사용자에게서 발생하며, 대화형 경험이 있는 사용자의 경우 위에서 언급한 피싱 위험과 같이 승인 승인 및 허가 서명 두 가지 측면에서 위험이 대부분 발생합니다.
승인 기능은 온체인 상호 작용의 중요한 부분으로, 계약이 transferForm 기능을 호출하여 계약 코드에 합의된 규칙에 따라 주소의 자산을 전송할 수 있도록 합니다. 악의적인 계약에 대한 승인이 승인되면 자산 도난의 위험이 더 커집니다.
서명 위험은 주로 erc 20 프로토콜의 허가 확장 기능에서 발생합니다. 이를 통해 사용자는 메시지에 서명하여 인증 작업을 완료하고 서명 결과를 다른 지갑으로 보내 자산 이전 작업을 완료할 수 있습니다. 사용자가 DEX 보류 주문 기능을 사용할 때 일반적으로 사용되는 기능입니다. 1inch의 Fusion 기능을 예로 들면 이 기능을 사용하면 사용자가 보류 주문 메시지에 서명할 수 있습니다. 서명 후 사용자는 가스를 지불하지 않고 자산을 1inch에 위탁하여 처리할 수 있습니다. 1inch는 사용자가 구매하고 싶은 코인을 제공합니다. 이 과정에서 웹사이트가 사용자의 서명을 유도하기 위해 악의적인 메시지를 위조한다면 그 결과는 아마도 유감스러울 것입니다.
따라서 위험 모니터링이 특히 중요합니다.
OKX Web3 팀은 인증 관리 페이지를 개발했습니다. 사용자는 이 페이지에서 프로토콜 및 통화에 대한 인증 상태를 직접 확인할 수 있으며, 동시에 이 페이지에서 인증을 직접 취소하여 불필요한 위험을 피할 수 있습니다. 이러한 악성 위험 계약의 경우 OKX Web3 지갑은 사용자가 KYT Sky Eye 시스템에 액세스하여 위험 탐지를 수행하도록 돕습니다. 현재 시스템에는 3억 개 이상의 암호화폐 주소가 포함되어 있으며 악성 주소, 의심스러운 거래(pixiu 디스크/피싱 등)를 탐지할 수 있습니다. ) ) 효과적인 위험 감지 및 자동 조기 경고를 수행합니다.
OKX Web3 팀의 보안 아키텍처 책임자인 Neil은 OKX가 다음으로 주소 태그의 계층적 처리를 수행할 것이라고 말했습니다. 화이트리스트 주소는 일반 프롬프트를 통해 처리되고 그레이리스트 주소는 일반 위험 프롬프트를 통해 처리되며 블랙리스트 주소는 차단됩니다. 앞으로도 위험 예방, 위험 정리, 위험 적용, 사용자 교육 등 다양한 측면에서 보안 보호 시스템을 강화하고 흔들림 없이 사용자의 경비원 역할을 해나갈 것입니다.
실제로 인터랙티브 환경에 숨겨진 위험 외에도 지갑 자체의 보안도 특히 중요합니다. 현재 OKX Web3 지갑은 MPC 개인 키리스 지갑, AA 지갑 및 BRC 20-S의 핵심 알고리즘인 멀티체인 서명 SDK를 완전히 오픈 소스화했습니다. 오픈 소스 코드의 의의는 제품을 투명하고 신뢰할 수 있게 만들고 동료의 판단을 수용하는 동시에 개발자 간의 의사소통과 공개 협업을 촉진하여 Web3 기술의 개발과 발전을 촉진하는 것입니다.
물론, 체인상의 다양한 리스크 외에도 FTX 등 중앙화된 플랫폼의 붕괴로 인한 시스템적 리스크가 더욱 우려스럽습니다.
CEX 보안은 자율규제 및 강력한 리스크 통제 시스템 구축에 중점을 두고 있습니다.
Fcoin의 소멸부터 FTX의 몰락까지 지난 몇 년간 많은 CEX 플랫폼들이 붕괴의 저주를 벗어나지 못했습니다. 그 이유는 대부분 급속한 성장과 기업의 책임의식의 불일치로 인한 내부경영 부실에서 비롯되지만, 더 근본적인 이유는 인간의 본성에 있습니다.
그러므로 자제와 자기조절은 CEX의 필수조건이 되었습니다.
업계 선두 기업들은 작년 말부터 POR 등의 메커니즘을 통해 자금 투명성을 높이고 사용자 자금을 체인에 업로드해 공개하는 자율 규제 모델을 출시했습니다.
공식 정보에 따르면 OKX는 11개월 연속 지급준비율을 발행했으며 22개 공공화폐의 지급준비율이 100%를 넘었고 그 중 BTC, ETH, USDT의 지급준비율은 102%, 103%, 102%이다. % 각각. , 총 가치가 미화 112억 달러에 달하는 이들은 매월 예비 인증서를 발행하는 업계에서 몇 안 되는 주류 암호화폐 거래소 중 하나입니다. 관계자는 OKX가 POR 투명성을 전통적인 재무 감사 표준으로 향상시키는 데 전념하고 있으며 앞으로도 안전성과 투명성 측면에서 업계를 선도해 나갈 것이라고 말했다. 이제 zk-STARK와 같은 혁신적인 기술을 통해 POR 시스템을 업그레이드했으며 사용자는 OKX의 POR 투명성을 독립적으로 확인할 수 있다. 언제든지 지급 능력. 지금까지 수십만 명의 사용자가 POR 페이지 방문에 참여하고 자체 검증을 완료했습니다.
CEX의 보안을 이야기하면 인간 본성의 나약함은 결코 벗어날 수 없지만 단기적으로 극복할 수는 없습니다. 일반 사용자의 경우 극단적인 상황이 발생할 때 자산의 안전을 보장하는 방법에 더 많은 주의를 기울여야 합니까? 플랫폼의 경우, 위기 속에서 이용자가 혼자 살아갈 수 있도록 돕는 것이 핵심 경쟁력이라는 점을 분명히 인식하는 것이 더욱 필요하다.
Luna 크래시 사건에서 OKX 위험 관리 시스템은 UST 재무 관리에 참여하는 사용자가 원활하게 탈출할 수 있도록 자동 상환 메커니즘을 즉시 활성화했으며, 3 Commas API 데이터 유출 사건에서 OKX는 협력한 많은 거래소 중 유일한 사용자였습니다. 손실이 전혀 없으며 가장 완벽한 보안 성능을 갖춘 플랫폼입니다. OKX는 다양한 테스트를 거쳐 탁월한 품질을 입증했습니다.
바람과 파도를 여러 번 탈 수 있는 비결은 OKX 팀이 항상 잠재적인 위험을 사전에 시뮬레이션하고 위험 관리 시스템의 구축과 반복에 많은 시간과 에너지를 투자한다는 것입니다. 위험 관리 시스템 담당자는 OKX의 API 시스템에는 강력한 Fast API 기능, IP 화이트리스트, 사기 방지 위험 제어 및 제3자 화이트리스트 기능이 있습니다. 이것이 OKX API 위험 제어 시스템의 핵심 기능입니다. 심지어 해커가 API 키를 침입하면 키를 쉽게 사용할 수 없게 됩니다. 사용자는 일반적으로 이러한 조치의 존재를 인식할 수 없지만 중요한 순간에는 항상 조용히 작업합니다.
실제로 보안에는 섹시한 스토리가 필요하지 않습니다. 그 본질은 플랫폼이 항상 책임감을 유지할 수 있는지 여부에 있습니다. 이것은 지렛대가 필요한 것 같습니다. 리스크 관리 담당자는 OKX의 책임감의 지렛대가 다음과 같이 솔직하게 말했습니다. 선을 위한 기술을 장려하는 희망에 Web3.0에 뿌리내린다
보안 문제의 본질로 돌아가기
산업이 발전함에 따라 특히 현재 시장 환경에서는 보안 문제 유형이 점점 더 많아질 것이며, 많은 해커들이 암호화 세계를 표적으로 삼고 있습니다. 보안요원의 경우 직면하는 과제도 증가할 것입니다. 아마도 그러한 믿음이 있어야만 OKX가 계속해서 전진할 수 있을 것입니다.
OKX의 보안 시스템을 해체함으로써 Web3 보안 문제에 대한 접근 방식과 사고 방식을 명확하게 볼 수 있으며, 그들은 Web3 보안 세계 발전의 두 가지 주요 스레드를 파악하고 두 가지 주요 스레드를 따라 강력한 방어선을 구축했습니다.
보안 문제는 사람이 선한 성향을 가지고 있는지 악한 성향을 갖고 있는지에 대한 문제가 항상 따르지만, 일반 사용자로서 이를 구별하기는 어렵습니다. 당신이 능력이 강할수록 자신의 깃털을 더욱 소중하게 여기고 정념을 더 많이 유지할 수 있습니다.
