CertiK 최고사업책임자 제이슨 지앙은 최근 Cointelegraph의 The Agenda 팟캐스트에 출연하여 Bybit 사건 이후 Web3.0의 보안에 대해 심도 있게 논의했습니다. 하룻밤 사이에 14억 달러의 자산이 증발했을 때, 업계뿐만 아니라 디지털 부의 보안을 중시하는 모든 사용자에게 충격을 주었습니다. 이는 암호화 역사상 가장 큰 도난 사건일 뿐만 아니라, 업계의 급속한 발전 속에 숨겨진 위험을 드러내는 사건이기도 합니다.
블록체인 보안 분야의 선두주자로서 CertiK은 이러한 위협에 대한 분석을 멈춘 적이 없습니다. Bybit 사건 이후 CertiK은 신속하게 기술 분석을 수행 하고 블라인드 서명 문제의 존재를 지적했습니다. 대화 중에 제이슨은 익명 서명의 이유를 설명했고 사용자들이 거래 주소를 최소한 세 번 확인하는 것이 좋다고 권고했습니다.
THORChain 검증 노드가 거래 롤백을 거부했을 때, 제이슨은 우리는 마치 서부 개척 시대와 같다고 퉁명스럽게 말했지만, 규제를 수용해야만 Web3.0 산업이 성숙해질 수 있다고 강조했습니다. 수십억 달러 규모의 해커 공격에 직면하여, 취약점을 발견해 보상하는 4,000달러라는 금액은 하찮은 것에 불과하며, 업계에서는 긴급하게 보안 투자 부족 문제에 대처해야 합니다. 결국, Web3.0 세계의 황금기는 해커들의 카니발이 되어서는 안 됩니다.
아래는 전체 보고서입니다. 여기를 클릭하여 팟캐스트를 들어보세요.
Bybit의 14억 달러 도난 사건 이후 CertiK 임원진이 암호화폐 자산의 보안을 개선하는 방법을 설명
올해 2월, Bybit에 대한 해커 공격은 업계에 충격을 안겼습니다. 북한 해커 그룹인 라자루스 그룹이 중앙집중형 거래소에서 14억 달러 상당의 이더리움 관련 토큰을 훔쳤다고 알려졌으며, 이는 역사상 가장 큰 암호화폐 도난 사건으로 기록되었습니다.
해커 공격의 여파로 많은 의문이 제기되었습니다. 무엇이 잘못되었을까요? 귀하의 자금은 안전한가요? 이런 사건이 다시 일어나지 않도록 하려면 어떤 조치를 취해야 할까?
블록체인 보안 회사 CertiK에 따르면, 이 대규모 도난으로 인한 손실은 2월에 발생한 모든 손실의 약 92%를 차지했습니다. 이 사건으로 인해 2월의 총 암호화폐 손실액은 1월 대비 약 1,500% 급증했습니다.
Cointelegraph의 The Agenda 팟캐스트 57회에서 진행자 Jonathan DeYoung과 Ray Salmond는 CertiK의 최고사업책임자 Jason Jiang과 Bybit 해킹이 어떻게 발생했는지, 익스플로잇의 결과, 사용자와 거래소가 암호화폐를 안전하게 보호하기 위해 할 수 있는 일에 대해 이야기를 나누었습니다.
Bybit 도난 사건 이후에도 암호화폐 지갑은 여전히 안전할까요?
간단히 말해, 제이슨은 라자루스 그룹이 바이비트에 대한 대규모 해킹 공격을 성공적으로 감행할 수 있었던 이유는 Safe의 공식 프런트엔드 스크립트 코드가 오염되어 악성 코드로 대체되었기 때문이라고 생각합니다. 이 세 서명자가 바이비트가 사용하는 다중 서명 SafeWallet을 관리합니다. 그런 다음 이 그룹은 오염된 프런트엔드 코드를 사용하여 서명자들이 합법적이라고 믿는 악의적인 거래에 서명하도록 했습니다.
이는 SafeWallet을 더 이상 신뢰할 수 없다는 뜻인가요? 제이슨은 그것이 그렇게 간단한 일이 아니라고 말한다. Safe 개발자의 컴퓨터가 해킹당했을 때, 그 컴퓨터에서 더 많은 정보가 유출되었을 가능성이 있습니다. 하지만 개인 사용자에게 그런 일이 일어날 가능성은 매우 낮다고 생각합니다.
그는 일반 사용자들이 암호화폐의 보안을 크게 향상시킬 수 있는 방법이 여러 가지 있다고 말했는데, 여기에는 콜드 월렛에 자산을 저장하고 소셜 미디어에서 잠재적인 피싱 공격에 주의하는 것이 포함된다.
Ledger나 Trezor 하드웨어 지갑도 비슷한 방식으로 악용될 수 있는지 묻는 질문에 제이슨은 일반 사용자에게는 큰 위험이 아니지만, 주의 깊게 조사하고 거래에 주의하기만 하면 된다고 답했습니다.
그는 이 사건이 발생한 이유 중 하나는 서명자가 전체 주소를 확인하지 않고 거래 지시서에 맹목적으로 서명했기 때문이라고 덧붙였다. 보내는 주소가 실제로 보내고 싶은 주소인지 항상 확인하세요. 특히 대규모 거래의 경우 반복해서 확인하고 확인해야 합니다.
이 사건 이후 업계는 스스로를 바로잡고 개선하고, 서명 프로세스의 투명성과 쉬운 식별을 촉진하려고 노력할 것이라고 생각합니다. 물론 배울 만한 다른 교훈이 많이 있지만, 이것이 의심할 여지 없이 그 중 하나입니다.
다음에 발생할 수 있는 수십억 달러 규모의 거래소 해킹을 방지하려면 어떻게 해야 할까?
제이슨은 포괄적인 감독 및 보안 조치의 부족이 이 해킹 사건이 계속해서 확산되는 요인 중 하나일 수 있다고 지적했습니다. 이전에 크로스 체인 브리지 프로토콜인 THORChain의 일부 검증 노드는 Lazarus Group이 해당 프로토콜을 사용하여 훔친 자금을 비트코인으로 변환하는 것을 롤백하거나 막는 것을 거부했으며, 이로 인해 업계에서 분산화의 경계에 대한 논의가 더욱 촉발되었습니다.
서부에 오신 것을 환영합니다. 제이슨이 말했다. 이것이 우리의 현재 현실입니다.
그는 저희는 암호화폐가 번창하려면 규제를 수용해야 한다고 생각합니다.라고 말했습니다. 대중에게 더 수용 가능해지려면 규제에 적극적으로 접근하고 산업의 안전을 개선할 방법을 찾아야 합니다.
제이슨은 해킹 사건 이후 Bybit CEO 벤 저우의 대응을 칭찬했지만, 해킹 사건 전에 Bybit이 시작한 버그 바운티 프로그램은 단지 4,000달러의 보상만을 제공했다는 점을 지적했습니다. 그는 대부분 사이버 보안 실무자들이 돈만을 위해 동기를 부여받는 것은 아니지만, 버그 바운티 금액을 늘리면 거래소의 보안을 더 높이는 데 도움이 될 것이라고 말했습니다.
거래소와 프로토콜이 어떻게 최고 인재에게 인센티브를 제공하고 시스템을 보호하도록 유지할 수 있는지에 대한 질문에 Jason은 보안 엔지니어가 항상 그들이 받을 만한 인정을 받는 것은 아니라고 말했습니다.
그는 많은 사람들이 1등급 인재가 개발 역할에 종사하는 이유는 그곳에서 가장 많은 보상을 받기 때문이라고 생각합니다.라고 말했습니다. 하지만 보안 엔지니어에게 충분한 주의를 기울이고 있는지 여부도 중요합니다. 그들은 엄청난 책임이 있습니다.
우리는 그들의 압력을 적절히 줄이고 그들에게 더 많은 인정과 인센티브를 제공해야 합니다. 금전적 보상이든 명예적 인정이든, 우리는 우리의 능력 범위 내에서 그들에게 합리적인 보상을 제공해야 합니다.
