콘플럭스 (Conflux) : DeFi 프로토콜을 올바르게 보안하여 감사하다.

요즘 DeFi는 블록체인 분야에서 큰 화두로 부상하고 있는 단어입니다. 그러나 업계에서는 새로운 DeFi 프로토콜과 기존의 DeFi 프로토콜 모두에서 몇 가지 사소한 보안 침해에 취약하다는 것을 입증했습니다. Uniswap나 Curve와 같은 대형 탈중앙화 거래소 사이에서도 감사 후 스마트 계약의 버그가 발견되었고, “재진입 공격 (reentrancy attack)”을 통해 수십만 달러를 도난 당했다. Uniswap나 Curve 넘어서 Lendf.me는 2,500만 달러의 자금 유출을 경험했고 Hegic은 옵션 계약 만료로 고정된 유동성을 잃었으며, PegNet은 51%의 공격을 받았다. 이러한 보안 침해의 대부분은 감사를 통해 검토한 후 구축된 기본 코드로 추적할 수 있다. 문제는 많은 프로토콜들이 비용이 많이 들고 시간이 많이 소요되기 때문에 이 과정에서 가장 빠른 방법을 찾고 있다는 것이다. 이용자 자금뿐만 아니라 DeFi 채택을 위험에 빠뜨리고 있다. 이 문제를 해결하기 위해서는 개발자에게 감사의 중요성을 강조하고, DeFi 프로토콜을 감사할 때 가장 효율적일 수 있는 방법에 대한 지속 가능한 해결책을 모색해야 한다

Conflux 모든 프로토콜과 기반 인프라는 Quanstamp, Slowmist, Beosin, Peakshield와 같은 분야의 리더들에 의해 감사되어, Conflux Network를 기반으로 구축하려는 개발자들이 과거에 다른 블록체인이 직면했던 몇 가지 잠재적 공격으로부터 Conflux Network가 안전하다고 믿을 수 있다.

우리는 개발자들이 어떻게 그들의 감사 경험을 최대한 활용할 수 있는지에 대해 더 잘 이해하기 위해 맨하탄에 본사를 둔 감사 회사인 CertiK와 이야기를 나누었다. 그들은 Kava, Thorchain, 그리고 현대와 같은 여러 프로젝트에서 일했다.

다시 한 번, 큰 도약은 감사 기준 개념이 행해지는 것보다 말하는 것이 더 쉽다는 것이었다.코드의 각 부문은 그 자체로 고유하며 수많은 프로그래밍 언어로 코딩될 수 있기 때문에, 감사 표준을 효과적으로 DeFi 프로젝트의 Catch-all 솔루션으로 적용할 수 있다고 말하는 것은다소 순진하게 생각한 일일 것이다.

단, 프로젝트를 검토할 때는 특히 “네 개의 눈 원칙 (four-eye principle)” 및 라인별 코드베이스 심사와 관련하여 일정한 원칙을 준수해야 한다.

마지막으로 각 프로젝트의 구조와 통합을 고려하여 위험도가 높은 영역을 식별한 후 이를 강조하기 위한 방법을 설계해야 한다.

우리의 블록체인에 DApp을 배치하고자 하는 개발자로서, 그들은 항상 침해로부터 프로토콜을 추가로 보호할 수 있는 새로운 방법을 찾고 제3자 보안 점검을 최대한 활용할 수 있는 적절한 조치를 취하도록 해야 한다.

CertiK는 철저한 문서 작성, 최신 보안 관행 적용, 저장소에 강력한 코드 윤리 적용, 완전한 테스트 적용, 테스트넷에 DApp의 스트레스 테스트 등에 시간을 할애할 것을 권고한다.

대부분의 경우, 이러한 보안 침해는 사실상 감사 권한을 넘어선 것이며, 감사 표준화의 개념에도 불구하고 이러한 기본 기능을 무시하는 부실한 코드는 감사에서 수리할 수 없는 것이다.

Conflux Network에서 우리는 개발자들과 긴밀하게 협력하여 개발자들이 우리의 네트워크에서 DApps를 개발하는 원활한 경험을 할 수 있도록 한다. 개발자와 사용자가 자금이 빠져나가지 않도록 DeFi 플랫폼 감사의 중요성을 그들에게 강조하는 것이 중요하다. 우리는 우리의 모든 프로토콜과 기술이 블록체인의 수준에서 엄격하게 테스트되고 안전하게 배치되어 모든 당사자들이 안전한 경험을 즐길 수 있도록 하고 프로토콜이 레이어-2 애플리케이션에 대해 동일한 것을 하도록 장려하여 우리가 함께 DeFi의 성장을 개발할 수 있도록 할 수 있다.