이 기사에서는 블록체인에 대한 알려진 모든 공격과 스마트 계약 취약성에 대해 설명합니다. 블록체인은 우리가 생각하는 것만큼 안전하지 않습니다. 모든 블록체인 기술에 보안이 통합되어 있지만 가장 강력한 블록체인도 현대 사이버 범죄자의 공격을 받습니다.

블록체인은 전통적인 사이버 공격에 꽤 잘 저항할 수 있지만, 사이버 범죄자들은 ​​특히 블록체인 기술을 해킹하기 위한 새로운 접근 방식을 고안하고 있습니다. 이 기사에서는 블록체인 기술에 대한 주요 공격 벡터를 설명하고 현재까지 가장 중요한 블록체인 공격을 살펴봅니다.

사이버 범죄자들은 ​​이미 블록체인을 오용하여 악의적인 행동을 수행했습니다.  공격자가 암호화폐로 보상을 받지 못했다면 WannaCry  및  Petya  와 같은  랜섬웨어 공격이 그렇게 대규모로 발생하지 않았을 것입니다. 이제 해커는 블록체인 보안 취약점을 주요 수익원으로 악용하는 것으로 보입니다.

2019년 3월 화이트 햇 해커는   불과 30일 만에 다양한 블록체인 및 암호화폐 플랫폼에서 43개의 버그를 발견했습니다 . 그들은 심지어 Coinbase ,  EOS 및  Tezos 와 같은 유명한 플랫폼에서 취약점을 발견했습니다  .

그러나 약점은 눈에 띄지 않는 곳에 숨겨져 있을 수 있기 때문에 감지하기 어려운 경우가 많습니다. 예를 들어  Parity 다중서명 지갑은  인출 기능이 있는 라이브러리를 깨뜨려 해킹당했습니다 . 공격자는 라이브러리 자체를 지갑으로 초기화하고 소유자 권한을 주장했습니다. 그 결과 573개의 지갑이 영향을 받았고 3천만 달러 상당의 암호화폐가 도난당했으며 화이트 햇 해커 그룹에 의해 구출된 또 다른 1억 8천만 달러가 나중에 정당한 소유자에게 반환되었습니다.

비트코인  과  이더리움 과 같은 거대한 네트워크를 공격함으로써  사이버 범죄자들은 ​​그들이 블록체인 보안의 신화를 반증할 만큼 충분히 영리하다는 것을 보여줍니다. 가장 일반적인 5가지 블록체인 공격 벡터를 고려해 보겠습니다.

블록체인 네트워크에는 트랜잭션을 생성 및 실행하고 다른 서비스를 제공하는 노드가 포함됩니다. 예를 들어 비트코인 ​​네트워크는 트랜잭션을 주고받는 노드와 승인된 트랜잭션을 블록에 추가하는 채굴자로 구성됩니다. 사이버 범죄자는 네트워크 취약점을 찾아 다음 유형의 공격으로 악용합니다.

분산 서비스 거부(DDoS) 공격은 블록체인 네트워크에서 실행하기 어렵지만 가능합니다.

DDoS를 사용하여 블록체인 네트워크를 공격할 때 해커는 수많은 요청으로 모든 처리 리소스를 소비하여 서버를 다운시키려고 합니다. DDoS 공격자는 네트워크의 마이닝 풀, 전자 지갑, 암호화폐 거래소 및 기타 금융 서비스의 연결을 끊는 것을 목표로 합니다. 블록체인은 DDoS 봇넷을 사용하여 애플리케이션 계층에서 DDoS로 해킹될 수도 있습니다.

2017년 Bitfinex는 대규모 DDoS 공격을 받았습니다  . Bitfinex가 사용자에게 공격에 대해 알리기 전날 플랫폼에서 IOTA 토큰을 출시한 IOTA 재단에게는 특히 불편했습니다. 3년 후인 2020년 2월, Bitfinex는   OKEx 암호화폐 거래소에서 유사한 공격을 발견한 지 하루 만에 또 다른 DDoS 공격을 경험했습니다 .

트랜잭션 가단성 공격은 피해자가 두 번 지불하도록 속이는 것입니다. 비트코인 네트워크에서 모든 트랜잭션에는 트랜잭션 ID인 해시가 있습니다. 공격자가 트랜잭션의 ID를 변경하는 경우 변경된 해시로 트랜잭션을 네트워크에 브로드캐스트하고 원래 트랜잭션 전에 확인하도록 할 수 있습니다. 이 작업이 성공하면 발신인은 초기 거래가 실패했다고 믿게 되지만 자금은 여전히 ​​발신인의 계정에서 인출됩니다. 그리고 보낸 사람이 거래를 반복하면 같은 금액이 두 번 인출됩니다. 이 해킹은 채굴자가 두 트랜잭션을 확인하면 성공합니다.

비트코인 거래소 마운트곡스는 2014년 가단성 공격으로 파산했지만, 비트코인은   서명 데이터를 비트코인 ​​거래에서 분리해 서명 데이터로 대체하는 세그윗(Segregated Witness) 프로세스를 도입해 이 문제를 해결한 것으로 보인다. 각 서명에 대한 가변성 해시 약속.

타임재킹은 비트코인 ​​타임스탬프 처리의 이론적인 취약점을 악용합니다. 타임재킹 공격 중에 해커는 노드의 네트워크 시간 카운터를 변경하고 노드가 대체 블록체인을 수락하도록 강제합니다. 이는 악의적인 사용자가 부정확한 타임스탬프를 사용하여 여러 가짜 피어를 네트워크에 추가할 때 달성될 수 있습니다. 그러나 수락 시간 범위를 제한하거나 노드의 시스템 시간을 사용하여 타임재킹 공격을 방지할 수 있습니다.

타임재킹 공격도 시빌 공격의 확장입니다. 각 노드는 피어의 중간 시간을 기반으로 하는 시간 카운터를 유지하고 중간 시간이 특정 값만큼 시스템 시간과 다른 경우 노드는 시스템 시간으로 되돌아갑니다. 공격자는 부정확한 타임스탬프를 보고하는 노드로 네트워크를 가득 채울 수 있으며, 이로 인해 네트워크 속도가 느려지거나 빨라져 비동기화가 발생할 수 있습니다.

라우팅 공격은 개별 노드와 전체 네트워크 모두에 영향을 미칠 수 있습니다. 이 해킹의 아이디어는 트랜잭션을 동료에게 푸시하기 전에 조작하는 것입니다. 해커가 네트워크를 서로 통신할 수 없는 파티션으로 나누기 때문에 다른 노드가 이러한 조작을 감지하는 것은 거의 불가능합니다. 라우팅 공격은 실제로 두 가지 별도의 공격으로 구성됩니다.

1. 네트워크 노드를 별도의 그룹으로 나누는 파티션 공격
2. 메시지 전파를 변조하여 네트워크로 보내는 지연 공격

Sybil  공격은  동일한 노드에 여러 식별자를 할당하여 구성됩니다. 블록체인 네트워크에는 신뢰할 수 있는 노드가 없으며 모든 요청은 여러 노드로 전송됩니다.

그림 1. 시빌 공격

Sybil 공격 중에 해커는 네트워크의 여러 노드를 제어합니다. 그런 다음 피해자는 모든 트랜잭션을 종료하는 가짜 노드에 둘러싸여 있습니다. 마지막으로 피해자는  이중 지출 공격 에 노출됩니다 . Sybil 공격은 감지하고 방지하기가 매우 어렵지만 다음과 같은 조치가 효과적일 수 있습니다. 새 ID 생성 비용 증가, 네트워크 가입을 위한 특정 유형의 신뢰 요구 또는 평판을 기반으로 사용자 권한  결정 .

Sybil 공격은 Wikipedia에서 " 공격자가 많은 수의 가명 ID를 생성하여 서비스의 평판 시스템을 전복하고 이를 사용하여 불균형적으로 큰 영향력을 얻는 컴퓨터 네트워크 서비스에 대한 공격 유형"으로 정의됩니다.” 네트워크가 노드 수를 유지하지 않으면 공격자는 피해 노드를 네트워크에서 완전히 격리할 수 있습니다. 블록체인에 대한 시빌 공격도 유사하게 작동합니다. 여기서 공격자는 제어된 노드로 네트워크를 플러딩하여 피해자가 공격자가 제어하는 ​​노드에만 연결하도록 합니다. 이것은 공격자가 진짜 블록이 체인에 추가되는 것을 막을 수 있거나, 공격자가 자신의 블록을 체인에 추가하거나, 노드 사이에 혼란을 일으켜 블록체인의 일반적인 기능을 방해할 수 있는 다양한 피해로 이어질 수 있습니다. 회로망.

위의 시각적 표현에서 레드 노드는 공격자에 의해 제어되며 네트워크를 플러딩하여 피해자가 악의적인 노드에만 연결되도록 합니다.

IdAPoS는 비경제적 맥락에서 리더 선택을 용이하게 하기 위해 지분증명을 확장함으로써 신뢰할 수 없는 평판 시스템을 구현하는 분산형 블록체인 네트워크를 위한 신원 기반 합의 프로토콜입니다. 공개/무허가 설정에서 작동하는 모든 프로토콜과 마찬가지로 비잔틴 액터가 인위적으로 많은 수의 ID를 제시하여 피어 샘플링을 방해하는 Sybil 공격에 취약합니다. 본 논문은 이러한 공격이 IdAPoS 프로토콜을 사용하는 블록체인 시스템의 구성원 선택의 안정성에 어떤 영향을 미치는지 설명하고 공격을 완화할 수 있는 방법을 조사합니다. 새로운 프로토콜로서 이러한 유형의 공격에 대한 취약성은 이전에 연구된 적이 없습니다. 연구 질문은 정직한 행위자와 악의적인 행위자가 에이전트로 표현되는 IdAPoS 시스템의 에이전트 기반 모델을 통해 접근합니다. 시뮬레이션은 다양한 공격 완화 전략을 사용하는 IdAPoS 시스템의 합리적인 구성에서 실행됩니다. 결과는 여러 개별 완화 전략을 결합한 슈퍼 전략이 완화되지 않은 프로토콜 및 제안된 다른 개별 전략보다 Sybil 공격을 억제하는 데 더 효과적이라는 것을 보여줍니다. 시뮬레이션에서 이 전략은 악의적인 개체가 시스템을 장악할 때까지의 시간을 약 5배 연장했습니다. 이러한 긍정적인 초기 결과는 프로토콜의 실질적인 실행 가능성에 대한 추가 연구가 보증됨을 나타냅니다. 시뮬레이션은 다양한 공격 완화 전략을 사용하는 IdAPoS 시스템의 합리적인 구성에서 실행됩니다. 결과는 여러 개별 완화 전략을 결합한 슈퍼 전략이 완화되지 않은 프로토콜 및 제안된 다른 개별 전략보다 Sybil 공격을 억제하는 데 더 효과적이라는 것을 보여줍니다. 시뮬레이션에서 이 전략은 악의적인 개체가 시스템을 장악할 때까지의 시간을 약 5배 연장했습니다. 이러한 긍정적인 초기 결과는 프로토콜의 실질적인 실행 가능성에 대한 추가 연구가 보증됨을 나타냅니다. 시뮬레이션은 다양한 공격 완화 전략을 사용하는 IdAPoS 시스템의 합리적인 구성에서 실행됩니다. 결과는 여러 개별 완화 전략을 결합한 슈퍼 전략이 완화되지 않은 프로토콜 및 제안된 다른 개별 전략보다 Sybil 공격을 억제하는 데 더 효과적이라는 것을 보여줍니다. 시뮬레이션에서 이 전략은 악의적인 개체가 시스템을 장악할 때까지의 시간을 약 5배 연장했습니다. 이러한 긍정적인 초기 결과는 프로토콜의 실질적인 실행 가능성에 대한 추가 연구가 보증됨을 나타냅니다.

Eclipse 공격은 해커가 많은 수의 IP 주소를 제어하거나 분산된 봇넷을 보유해야 합니다. 그런 다음 공격자는 피해 노드의 "시도" 테이블에 있는 주소를 덮어쓰고 피해 노드가 다시 시작될 때까지 기다립니다. 다시 시작한 후 피해 노드의 모든 나가는 연결은 공격자가 제어하는 ​​IP 주소로 리디렉션됩니다. 이로 인해 피해자는 관심 있는 트랜잭션을 얻을 수 없습니다. Boston University의 연구원은  Ethereum 네트워크에서 일식 공격을 시작했으며  한두 대의 시스템만 사용하여 이를 수행했습니다.

Eclipse 공격은  아키텍처가 워크로드를 분할하고 피어 간에 작업을 할당하는 블록체인에서 발생합니다. 예를 들어 체인에 나가는 연결이 8개뿐이고 주어진 순간에 최대 128개의 스레드를 지원할 수 있는 노드가 있는 경우 각 노드는 연결된 노드에 대해서만 보기 액세스 권한을 가집니다. 공격자가 특정 노드를 공격하여 8개의 노드를 제어하게 되면 피해 노드에 대한 체인의 관점이 변경될 수 있습니다.  그것에 연결되어 있습니다. 이로 인해 특정 트랜잭션이 발생하지 않은 것으로 피해자를 속여 코인을 이중으로 지출하거나 2계층 프로토콜에 대한 공격을 포함하는 다양한 피해가 발생할 수 있습니다. 공격자는 결제 채널이 닫혀 있을 때 피해자가 열려 있다고 믿게 하여 피해자를 속여 거래를 시작하도록 할 수 있습니다. 다음 다이어그램은 Eclipse 공격을 받는 노드를 보여줍니다.

사진 : Eclipse 공격

위의 시각적 표현에서 빨간색 노드는 공격자에 의해 제어되며 공격자가 제어하는 ​​노드에 연결하여 희생 노드 체인의 복사본을 변경할 수 있습니다.

이 기술 보고서에서는 이더리움 블록체인 네트워크와 클라이언트에 영향을 미치는 세 가지 취약점을 제시합니다. 먼저 공격자가 피해자의 연결을 독점하지 않고 P2P 네트워크를 분할할 수 있도록 하는 이클립스 공격에 대해 설명합니다. 이것은 이더리움의 블록 전파 설계를 악용하여 공격이 가능합니다. 둘째, 노드가 메인 체인보다 총 난이도가 낮은 더 긴 체인을 받아들이도록 강제하는 익스플로잇을 제시합니다. 마지막으로 이더리움 난이도 계산의 버그를 설명합니다. 보고된 각 취약점에 대한 대책 제안을 제공합니다.

장거리 공격은  지분 증명  (PoS) 합의 알고리즘을 사용하는 네트워크를 대상으로 하며, 사용자는 보유한 코인 수에 따라 블록 트랜잭션을 채굴하거나 검증할 수 있습니다.

이러한 공격은 세 가지 유형으로 분류할 수 있습니다.

1. 단순  — 노드가 블록 타임스탬프를 확인하지 않을 때 지분 증명 프로토콜의 순진한 구현
2. 사후 손상  — 주어진 시간 프레임에서 메인 체인보다 더 많은 블록을 생성하려는 시도
3. 스테이크 블리딩  — 정직하게 유지되는 블록체인에서 공격자가 유지하는 프라이빗 블록체인으로 트랜잭션 복사

장거리 공격을 수행할 때 해커는 과거에 유효성 검사에 이미 사용된 상당한 토큰 잔액의 개인 키를 구입하거나 도난당했습니다. 그러면 해커는 블록체인의 대체 히스토리를 생성하고 PoS 검증을 기반으로 보상을 높일 수 있습니다.

실제로 블록체인과 사이버 보안은 사람들이 상호 작용할 때까지 소금과 후추처럼 함께합니다. 놀랍게 들릴지 모르지만 블록체인 사용자는 가장 큰 보안 위협을 제기합니다. 사람들은 사이버 보안에서 블록체인 의 사용에 대해 알고  있으며 블록체인의 보안을 과대평가하고 약점을 간과하는 경향이 있습니다. 사용자 지갑 자격 증명은 사이버 범죄자의 주요 대상입니다.

지갑 자격 증명을 얻기 위해 해커는 피싱 및 사전 공격과 같은 전통적인 방법과 암호화 알고리즘의 약점 찾기와 같은 새롭고 정교한 방법을 모두 사용하려고 합니다. 다음은 사용자 지갑을 공격하는 가장 일반적인 방법에 대한 개요입니다.

 2018년에는 가짜 온라인 시드 생성기인 iotaseed.io(현재 오프라인)로 시작된 IOTA 지갑에 대한 공격이 있었습니다  . 해커들은 이 서비스로 피싱 캠페인을 벌이고 비밀 씨앗으로 로그를 수집했습니다. 그 결과 2018년 1월 해커는 피해자의 지갑에서 400만 달러 이상의 IOTA를 성공적으로 훔쳤습니다.

이러한 공격 중에 해커는 password1과 같은 일반적인 암호의 해시 값을 시도하여 피해자의 암호화 해시 및  솔트를 해독하려고 시도합니다  . 공격자는 일반 텍스트 암호를 암호화 해시로 변환하여 지갑 자격 증명을 찾을 수 있습니다.

블록체인 네트워크는 다양한 암호화 알고리즘을 사용하여 사용자 서명을 생성하지만 취약점도 있을 수 있습니다. 예를 들어 비트코인은  ECDSA 암호화 알고리즘을 사용하여  고유한 개인 키를 자동으로 생성합니다. 그러나 ECDSA에는  엔트로피가 충분하지 않아 둘 이상의 서명에서 동일한 무작위 값이 발생할 수 있습니다. IOTA는 또한 오래된  Curl 해시 기능 으로 인해 암호화 문제에 직면했습니다 .

Johoe라는 해커는 키 생성의 취약점을 악용하여 2014년 12월 Blockchain.info에서 제공하는 개인 키에 액세스했습니다. 이  공격은  코드 업데이트 중에 나타난 실수로 인해 공개 생성을 위한 입력의 무작위성이 좋지 않아 발생했습니다. 사용자 키. 이 취약점은 신속하게 완화되었지만 ECDSA 알고리즘에는 여전히 결함이 있을 수 있습니다.

서명  임시값이 NONCES   공개되면   개인 키를 즉시 복구  할 수 있으므로    전체   서명 체계가 깨집니다  .

또한 두 개의 nonce가 반복되면 메시지가 무엇이든   공격자가   이를 쉽게 감지하고 즉시   비밀 키를 복구하여  전체 체계를 깨뜨릴 수 있습니다.

거래:   08d917f0fee48b0d765006fa52d62dd3d704563200f2817046973e3bf6d11f1f

비트코인 주소:   15N1KY5ohztgCXtEe13BbGRk85x2FPgW8E

가짜 서명을 곱하고 격자를 적용했습니다.

GOOGLE COLAB   에서 패키지 설치와 함께   Python 스크립트   algorithmLLL.py를 사용하는 경우  

설치 >> SAGE + ECDSA + BITCOIN + 알고리즘 LLL

Private Key 우리   는   . Bitcoin Wallet _  ECDSA

bitaddress를 열고  다음을 확인합니다.

개인 키를 찾았습니다!

ADDR: 15N1KY5ohztgCXtEe13BbGRk85x2FPgW8E
WIF:  5JCAmNLXeSwi2SCgNH7wRL5qSQhPa7sZvj8eDwxisY5hJm8Uh92
HEX:  31AFD65CAD430D276E3360B1C762808D1D051154724B6FC15ED978FA9D06B1C1 

«RangeNonce» 비밀 키의 범위를 찾는 스크립트입니다.

배포 키트의 버전을 선택합시다   GNU/Linux . Google Colab 제공합니다 UBUNTU 18.04

에 모든 파일 업로드 Google Colab

스크립트에 대한 권한을 허용하고 스크립트를 실행합시다 «RangeNonce»

팀:

chmod +x RangeNonce
./RangeNonce
cat Result.txt

따라서 우리의   비밀 키는 다음 범위   에 있습니다    .

K = 070239c013e8f40c8c2a0e608ae15a6b00000000000000000000000000000000
K = 070239c013e8f40c8c2a0e608ae15a6bffffffffffffffffffffffffffffffff

 형식의 초기   32 숫자와 문자   에 주의하십시오HEX  . 서명 값은   비밀 키의 범위   , 즉 값과  Z 일치합니다   ."K" (NONCES)

 비트코인 블록체인 트랜잭션의 치명적인 취약점으로 우리는 비트코인 ​​지갑을 궁극적으로 복원하기 위해 취약한 서명에서 ECDSA 비밀 키를 추출하는 다소 어려운 이산 로그 문제를 해결할 수 있습니다.  비밀 키를 알면 개인 키를 얻을 수 있기 때문입니다."K" (NONCE)

이를 위해  비트코인에 대한 인기 있는 공격 목록 에 여러 알고리즘이 있으며  그 중 하나는  "비트코인에 대한 프레이-뤼크 공격" 입니다  .

비트코인 암호화폐의 가장 큰 암호학적 강점은   큰 정수의 인수분해 문제와  비트코인 ​​서명 거래의 히든 넘버 문제를 기반으로  하는 이산수학의 연산 방식 이다 .(HNP)ECDSA

Rowhammer Attack on BitcoinECDSA, 특정 값을 모듈로 정규화된 다항식에 대한 모든 0을 효율적으로 찾을 수 있으며, 이 방법을 서명 알고리즘, 더 정확하게는 비트코인 ​​블록체인의 매우 취약한 트랜잭션에 적용합니다  . 우리는 유한 필드의 동일한 요소의 다른 거듭제곱에 의한 곱셈을 적용할 것입니다. 이는 이상하게도 일치할 수 있으며 라그랑주 보간 다항식을
사용하여 지정할 수 있는 유한 필드에 대한 특정 함수를 제공합니다   .

차등 결함 분석은  1996년 이스라엘 암호 해독가 및 암호 분석가  와  이스라엘 과학자가  오류 주입을 사용하여  비밀 키를 추출하고  다양한 서명 및 확인 알고리즘을 사용하여 개인 키를  복구  할 수 있음을 보여 (DFA)주면서 문헌에 간략하게 설명되었습니다  . Eli Biham Adi Shamir

우리는   이 연구 논문에 설명된 차등 버그로 "비트코인에 대한 화이트박스 공격"을 구현합니다. 이전 기사DFA 에서 설명한  고전   은  . 이러한 공격 중 일부는 두 개의 서명 쌍이 필요합니다  .F()ECDSA

트위스트 어택

얼마 전까지만 해도   표준 타원 곡선을 위한  elliptic(6.5.4) 패키지는 다양한 공격에 취약 했는데  그 중 하나가  Twist Attack 입니다  . 암호화 문제는 secp256k1 구현에 있었습니다. 우리는 비트코인 ​​암호화폐가 secp256k1을 사용  하고 이  공격이 비트코인을 우회하지 않았음을   알고 있습니다. 5~45비트로 구성된 더 간단한 하위 그룹) sextic  twists 라고 하는 이 프로세스는 일련의 ECC 작업을 수행한 후 암호화된 데이터가 노출될 정도로 위험합니다.

이 기사에서는 예를 들어 트위스트 공격을 구현하고 secp256k1 타원 곡선의 특정 지점을 사용하여 부분 개인 키 값을 얻고 "Sagemath pollard rho"를 사용하여 5-15분 내에 비트코인 ​​지갑을 복원하는 방법을 보여줍니다  . 함수: (discrete_log_rho)”  및  “ 중국 나머지 정리”  .

하드웨어 지갑 또는 콜드 지갑도 해킹될 수 있습니다. 예를 들어  연구원들은  Nano S Ledger 지갑의 버그를 악용하여 Evil Maid 공격을 시작했습니다. 이 해킹의 결과로 연구원들은 피해자의 개인 키와 PIN, 복구 시드 및 암호를 얻었습니다.

최신 콜드 월렛 공격 중 하나는 2019년  업비트  암호화폐 거래소가 콜드 월렛으로 자금을 이체할 때 발생했습니다. 이는 사이버 공격이 예상될 때 암호화폐를 동결하는 일반적인 방법입니다. 해커들은 거래 시점을 알고 있었기 때문에 342,000 ETH를 훔치는 데 성공했습니다.

핫 지갑은 개인 암호화 키를 저장하기 위한 인터넷 연결 앱입니다. 암호화폐 거래소 소유자는 사용자 데이터를 웹과 분리된 지갑에 보관한다고 주장하지만, 2018년 코인체크에 대한 5억 달러 규모의  공격은  이것이 항상 사실이 아님을 입증했습니다.

2019년 6월  GateHub에 대한 공격으로 인해 수십 개의 기본 XRP  지갑에 대한 무단 액세스와 암호화 자산 도난이  발생했습니다  . 싱가포르에 본사를 둔  암호화폐 거래소 비트루(Bitrue)  도 시스템 취약점으로 인해 거의 동시에 핫월렛 공격을 경험했다. 그 결과 해커들은 XRP에서 450만 달러, ADA에서 237,500달러 이상의 자금을 훔쳤습니다.

우리는 이미 Ethereum ,  EOS 및  NEO 플랫폼 을 기반으로 하는 스마트 계약의 취약점을 분석하고 회피하는 데 풍부한 경험을 축적했습니다   . 스마트 계약과 관련된 주요 블록체인 보안 문제는 소스 코드의 버그, 네트워크의 가상 머신, 스마트 계약을 위한 런타임 환경 및 블록체인 자체와 관련이 있습니다. 이러한 각 공격 벡터를 살펴보겠습니다.

PDF: 스마트 계약 취약성 탐지 기술: 설문 조사

사용된 스마트 계약 예제는 이더리움 블록체인에서 발생한 문제입니다. 이더리움 가상 머신을 사용하는 모든 플랫폼에 적용 가능하며 개념은 모든 형태의 스마트 계약에 적용될 수 있습니다. 이 항목에서는 이러한 문제를 완화하기 위한 알려진 모범 사례도 다룹니다.

토폴로지 공격은 비트코인 ​​네트워크에서 가능한 공격 벡터를 탐색하고, 이후 검증을 위해 통제된 양의 피어-피어 통신에 의존하는 모든 네트워크를 탐색합니다. 탐색된 문제는 취약한 스마트 계약 코드와 토폴로지 공격의 두 가지 수준에 있습니다.

사이버 보안 세계에 대한 Jorden Seet의 관심은 2013년 그가 2일간의 모의 침투 테스트 부트캠프 후 첫 번째 CTF에서 경쟁하면서 시작되었습니다. 그 이후로 그는 사이버 보안에 대한 열정을 키웠고 암호화에서 사회 공학에 이르기까지 사이버 보안의 여러 측면을 탐구했습니다.

현재 그는 국립 연구 재단 – 텔아비브 대학교(NRF-TAU)에서 SMU의 사이버 공격 억제를 위해 네트워크 토폴로지 분석을 사용하는 프로젝트에 참여하고 있습니다. 그는 이전에 싱가포르의 사이버 보안국 침투 테스트 부서에서 인턴으로 근무했으며 현재 스마트 계약 감사 및 블록체인 개발에 대해 BlockConnectors와 협력하고 있습니다.

여가 시간에는 Smart Contract Hacking 작업을 하고 잠재적인 블록체인 공격 벡터를 탐색합니다. 그는 분산화가 DDoS 방지, 데이터 무결성 및 IoT 보안과 같은 보안 산업을 혁신하는 진정한 잠재력을 가질 수 있는 패러다임이라고 굳게 믿습니다.

스마트 계약의 소스 코드에 취약성이 있는 경우 계약에 서명하는 당사자에게 위험을 초래합니다. 예를 들어, 이더리움 계약에서 발견된 버그로 인해   소유자는 2016년에 8천만 달러의 비용이 들었습니다. Solidity의 일반적인 취약점 중 하나는 재진입 공격으로 알려진 다른 스마트 계약의 신뢰할 수 없는 기능에 제어를 위임할 수 있는 가능성을 열어줍니다 . 이 공격 중에 계약 A는 정의되지 않은 동작이 있는 계약 B의 함수를 호출합니다. 차례로 계약 B는 계약 A의 함수를 호출하고 이를 악의적인 목적으로 사용할 수 있습니다.

EVM(Ethereum Virtual Machine)은 이더리움 기반 블록체인의 모든 스마트 계약이 실행되는 분산 스택 기반 컴퓨터입니다. EVM의 가장 일반적인 취약점은 다음과 같습니다.

• 불변의 결함 — 블록체인 블록은 본질적으로 불변입니다. 즉, 스마트 계약이 생성되면 변경할 수 없습니다. 그러나 스마트 계약의 코드에 버그가 포함되어 있으면 수정할 수도 없습니다. DAO 공격 에서 발생한 것처럼 사이버 범죄자가 코드 취약점을 발견하고 악용하여 Ether를 훔치거나 새로운 포크를 만들 수 있는 위험이 있습니다  .
• 전송 중 손실된 암호화폐 — Ether가 소유자나 계약이 없는 고아 주소로 전송되는 경우 가능합니다.
•  액세스 제어의 버그 — 이더리움 스마트 계약에는 해커가 계약의 민감한 기능에 액세스할 수 있도록 허용하는 누락된 수정자 버그가 있습니다  .
• 짧은 주소 공격  — EVM이 잘못 채워진 인수를 수락할 수 있기 때문에 가능합니다. 해커는 특별히 제작된 주소를 잠재적 피해자에게 전송하여 이 취약점을 악용할 수 있습니다. 예를 들어, 2017년 Coindash ICO 에 대한 성공적인 공격 중에   Coindash Ethereum 주소가 수정되어 피해자가 Ether를 해커의 주소로 보내도록 했습니다.

또한 해커는 DDoS, Eclipse 및 다양한 저수준 공격을 포함하여 블록체인 기술을 손상시키는 일반적인 다른 방법을 적용하여 스마트 계약을 손상시킬 수 있습니다.

그러나 Cardano 및 Zilliqa와 같은 최신 블록체인은 IELE, KEVM 등과 같은 다른 가상 머신을 사용합니다. 이 새로운 블록체인은  프로토콜 내에서 스마트 계약 보안을 보장한다고 주장합니다 .

금융 기관과 달리 블록체인은 네트워크의 모든 노드가 합의한 후에만 트랜잭션을 확인합니다. 트랜잭션이 있는 블록이 검증될 때까지 트랜잭션은 검증되지 않은 것으로 분류됩니다. 그러나 검증에는 일정 시간이 걸리므로 사이버 공격에 완벽한 벡터가 생성됩니다.

이중 지출은  트랜잭션 확인 메커니즘을 악용하는 일반적인 블록체인 공격입니다. 블록체인의 모든 트랜잭션은 유효한 것으로 인식되기 위해 사용자가 확인해야 하며 시간이 걸립니다. 공격자는 이 지연을 이용하여 시스템을 속여 하나 이상의 트랜잭션에서 동일한 코인이나 토큰을 사용하도록 할 수 있습니다.

그림 2. 이중 지출 공격

다음은 트랜잭션 시작과 확인 사이의 중간 시간을 이용하는 가장 일반적인 유형의 공격입니다.

Finney 공격은 하나의 트랜잭션이 블록으로 사전 채굴되고 사전 채굴된 블록이 네트워크에 릴리스되기 전에 동일한 트랜잭션이 생성되어 두 번째 동일한 트랜잭션을 무효화하는 경우에 가능합니다.

Finney 공격은 이기적 마이닝 공격의 연장선이라고 할 수 있습니다. 공격자는 블록을 은밀하게 채굴하고 확인되지 않은 거래를 다른 노드, 아마도 상인 노드로 보냅니다. 상인 노드가 트랜잭션을 수락하면 공격자는 짧은 시간 내에 체인에 새 블록을 추가하여 해당 트랜잭션을 취소하고 이중 지출 공격을 유도할 수 있습니다. Finney 공격의 경우 공격 창은 상당히 작지만 트랜잭션의 가치가 충분히 크면 많은 피해를 줄 수 있습니다.

경쟁 공격은 공격자가 두 개의 충돌하는 트랜잭션을 생성할 때 실행됩니다. 첫 번째 거래는 거래 확인을 기다리지 않고 결제를 수락(예: 제품을 전송)하는 피해자에게 전송됩니다. 동시에 공격자에게 동일한 양의 암호화폐를 반환하는 충돌 트랜잭션이 네트워크에 브로드캐스팅되어 결국 첫 번째 트랜잭션을 무효화합니다.

경쟁 공격에서 공격자는 트랜잭션을 사전 채굴하지 않고 단순히 두 개의 서로 다른 트랜잭션을 브로드캐스트합니다. 하나는 판매자에게, 다른 하나는 네트워크에 전송합니다. 공격자가 상인 노드에게 자신이 받은 트랜잭션이 첫 번째 트랜잭션이라는 환상을 주는 데 성공하면 이를 수락하고 공격자는 완전히 다른 트랜잭션을 전체 네트워크에 브로드캐스트할 수 있습니다.

이러한 핵심 블록체인 수준의 공격 외에도 애플리케이션 구현 수준에서 발생할 수 있는 여러 다른 공격이 있습니다. 그 중 가장 악명 높은 공격 중 하나는 2016년 6월에 발생한 DAO 공격으로 약 7,000만 달러를 절도했습니다. 공격자는 회사의 크라우드 펀딩 캠페인에 기여하고 철회를 요청했습니다. 단, 현재 거래의 정산 상태를 확인하지 않은 출금에 대해서는 재귀 기능을 구현하였습니다. 돈을 회수하기 위해   이더리움 체인은 하드포크에 들어갔고 이전 체인은 이더리움 클래식으로 계속 유지되었습니다. 이로 인해 체인의 평판이 심각하게 손상되었으며 체인의 자율성도 문제가 되었습니다.

이러한 공격이 발생하지 않도록 하기 위한 몇 가지 일반적인 조치는 다음과 같습니다.

• 체인 코드와 합의 알고리즘에 논리적 불일치가 없는지 확인해야 합니다.
• 피어는 충분히 복잡하고 주의해서 선택해야 하며 트랜잭션을 정기적으로 검토해야 합니다.
• 의심스러운 활동이 감지되는 경우 네트워크는 악의적인 행위자 노드를 즉시 격리할 수 있도록 충분히 경계해야 합니다.
• 새 노드가 네트워크에 합류할 때 각각의 새 노드에 대해 네트워크에 대해 적절한 검토 프로세스를 배포해야 합니다.
• 속도 제한 알고리즘은 손상을 제한하고 공격이 발생할 때 공격을 방지하기 위해 모든 관련 프로세스에 있어야 합니다.
• 2FA는 관련된 모든 인증 지점에 존재해야 하며 모든 인증 수준 버그는 가능한 한 응용 프로그램 수준 자체에서 수정되어야 합니다.
• 대부분의 경우 블랙리스트 및 화이트리스트 접근 방식은 확장성 문제로 인해 작동하지 않습니다. 따라서 더 나은 접근 방식은 공격을 수행하는 데 비용이 많이 들고 시스템의 복잡성을 증가시켜 복원력을 높이고 성공적인 악용을 극도로 어렵게 만드는 것입니다.

다양한 종류의 블록체인 네트워크에 여러 가지 다른 버그와  취약점이  존재하며, 가장 일반적이고 우려되는 것은 스마트 계약 수준이지만 나중에 다룰 주제입니다.

Vector76은 두 가지 이전 공격의 조합입니다. 이  경우, 악의적인 채굴자는 두 개의 노드를 생성하는데, 그 중 하나는 교환 노드에만 연결되고 다른 하나는 블록체인 네트워크에서 잘 연결된 피어에 연결됩니다. 그 후 광부는 높은 가치와 낮은 가치의 두 가지 트랜잭션을 생성합니다. 그런 다음 공격자는 교환 서비스에서 가치가 높은 트랜잭션이 포함된 블록을 미리 채굴하고 보류합니다. 블록 발표 후 공격자는 신속하게 사전 채굴된 블록을 교환 서비스로 직접 보냅니다. 일부 마이너와 함께 사전 채굴된 블록을 메인 체인으로 간주하고 이 트랜잭션을 확인합니다. 따라서 이 공격은 네트워크의 한 부분에서는 공격자가 블록에 포함시킨 트랜잭션을 볼 수 있지만 네트워크의 다른 부분에서는 이 트랜잭션을 볼 수 없다는 사실을 악용합니다.

거래소 서비스가 고가의 거래를 확인한 후 공격자는 저가의 거래를 메인 네트워크로 보내고 최종적으로 고가의 거래를 거부합니다. 결과적으로 공격자의 계정에 고액 거래 금액이 입금됩니다. 이러한 유형의 공격은 성공할 가능성이 높지만 한 번의 확인 후 결제를 수락하는 호스팅된 전자 지갑과 들어오는 거래가 있는 노드가 필요하기 때문에 일반적이지 않습니다.

블록체인 재구성 공격이라고도 하는 대체 히스토리  공격  은 여러 확인의 경우에도 발생할 수 있지만 해커의 엄청난 컴퓨팅 성능이 필요합니다. 이 경우 악의적인 사용자는 트랜잭션을 수신자에게 보내는 동시에 동일한 코인을 반환하는 다른 트랜잭션으로 대체 포크를 채굴합니다. 예를 들어 수취인이 n번의 확인 후에 거래가 유효한 것으로 간주하고 제품을 보내더라도 공격자가 더 긴 체인을 해제하고 코인을 돌려받는 경우 수취인은 돈을 잃을 수 있습니다.

최신 블록체인 개편 공격 중 하나는  2020년 8월 이더리움 클래식 에서  채굴자가 오래된 소프트웨어를 사용하고 채굴할 때 한동안 인터넷 액세스가 끊긴 경우 발생했습니다. 블록체인의 두 버전이 네트워크의 노드에서 유효성을 위해 경쟁하고 약  3000블록 삽입이 발생했을 때 재구성이 발생했습니다 .

해커가 네트워크 해시 비율의 51%를 제어하고 최종적으로 기존 포크보다 우선하는 대체 포크를 생성할 때 다수 공격이 가능 합니다 . 이 공격은 초기에 유일하게 알려진 블록체인 취약점이었으며 가까운 과거에는 비현실적으로 보였습니다. 그러나 Verge , ZenCash, Monacoin, Bitcoin Gold 및 Litecoin Cash와 같은 최소 5개의 암호화폐는  이미 51% 공격을 받았습니다. 이러한 각각의 경우에서 사이버 범죄자는 네트워크를 손상시키고 수백만 달러를 챙길 만큼 충분한 해싱 파워를 수집했습니다.

2020년 8월에 발생한 Ethereum Classic(ETC)에 대한 최근  51%의 공격  으로 약 560만 달러 상당의 ETC 암호화폐가 이중 사용되었습니다. 분명히 해커는 ETC 프로토콜에 대해 잘 알고 있었고 플랫폼이 공격을 알아차릴 때까지 4일 동안 4,280개의 블록을 채굴했습니다. 사건 발생 5일 만에 ETC는  채굴자가 4,000블록의 네트워크 개편을 실시하는 2차 51% 공격을 당했다.

Majority attack

불행히도 모든 소규모 암호화폐는 여전히 다수의 공격을 받을 위험이 있습니다. 이러한 암호화폐는 더 적은 수의 채굴자를 유치하기 때문에 공격자는 네트워크의 대부분을 차지하기 위해 컴퓨팅 성능을 임대할 수 있습니다. Crypto51 개발자는   더 작은 암호 화폐를 해킹할 때 발생할 수 있는 잠재적 위험에 주의를 환기시키려고 노력했습니다. 그들의 웹사이트는 다양한 블록체인에 대한 51% 공격의 예상 비용을 보여줍니다.

이중 지출 공격을 방지하기 위한 가능한 조치에는 수신 기간 동안 수신된 트랜잭션 모니터링, 이중 지출 시도 전달, 트랜잭션 관찰을 위한 다른 노드 삽입 및 직접 들어오는 연결 거부가 포함됩니다.

 또한 거래 확인 메커니즘의 약점을 악용하는 문제를 해결하도록 설계된 번개 네트워크 라는 혁신적인 기술이 있습니다  . 이 네트워크를 통해 사용자는 자금 보관을 위임하지 않고 양방향 결제 채널 네트워크를 통해 거래를 즉시 확인할 수 있습니다. 그러나 여전히 DDoS 공격에 취약하며 그 중 하나는  2018년 3월에 이미 발생했습니다 .

51% 공격은 특정 채굴자 또는 채굴자 집합이 전체 블록체인 네트워크 처리 능력의 50% 이상을 획득하여 합의 알고리즘과 관련하여 다수를 확보하는 데 도움이 될 때 발생합니다. 이 공격 벡터는 주로 작업 증명 알고리즘과 관련이 있지만 다른 합의 알고리즘에 대한 테스트 사례로 확장될 수 있습니다. 체인. 이로 인해 체인 데이터 재작성, 새 블록 추가, 이중 지출 등 여러 피해가 발생할 수 있습니다. 다음 다이어그램은 이 공격이 어떻게 발생하는지 보여줍니다.

위의 시각적 표현에서 빨간색 노드는 공격자에 의해 제어되며 다수의 합의를 얻은 후 새 블록을 추가하여 체인의 복사본을 변경할 수 있습니다.

51% 공격을 받은 주요 체인 중 일부는 비트코인 ​​골드 블록체인(2018년 5월, 약 1,800만 달러 상당의 388,000 BTG가 여러 거래소에서 도난당했습니다), 비트코인 ​​사토시의 비전(2021년 8월 이후 51% 공격을 받았습니다. 5%의 가치 손실을 입은 코인)과 이더리움 클래식 블록체인. 대여한 해시파워도 51% 공격으로 이어질 수 있습니다. 이 방법에서 공격자는 서버에서 컴퓨팅 파워를 임대하여 다른 참여자보다 빠르게 해시를 계산하고 합의를 얻을 수 있습니다. 채굴 풀도 때때로 합의 요구 사항을 초과할 수 있기 때문에 흥미로운 당사자입니다. 2014년 7월, 마이닝 풀 ghash.io는 짧은 기간 동안 50% 이상의 처리 능력을 얻었고, 그 후 자발적으로 전력을 줄이기로 약속했습니다.

최근 Ethereum Classic에 대한 51% 공격의 배후에 있는 범인은 빌린 채굴 해시 파워를 사용하여 강도를 수행했으며, 기본 기술로  " 작업 증명 " 에 의존하는 암호화폐에 공통적인 취약점을 악용했습니다.

임대 채굴 해시 파워는 지난 달 ETC에 대한 세 가지 공격의 중심에 있습니다. 이로 인해 수백만 달러의 손실이 발생했으며 이전에는 변경할 수 없고 "해킹할 수 없다 "  고 믿었던 PoW 프로토콜의 명성에 큰 타격을 입혔습니다. 

 Ethereum Classic의 프로젝트 인큐베이터인 ETC Labs의 CEO인 Terry Culver는 Forkast.News  와의 인터뷰 에서 "실제로 시스템의 엄청난 취약점입니다."라고 말했습니다 . 

“한 달에 3번의 공격은 Ethereum Classic의 보안이 문제라는 것을 알려줄 것입니다. 그리고 우리는 다른 블록체인이 더 정기적으로, 아마도 덜 가시적인 공격을 받는다고 믿고 알고 있습니다.”라고 Culver는 말했습니다. "보편적인 문제입니다."

암호 화폐 공간은 " 고객 파악" 및 자금 세탁 방지(KYC/AML) 절차 구현, 정부  규제 강화  , 해킹 방지를 위한 보안 시스템 강화 등 범죄자를 걸러내고 보안을 강화하기 위해 노력해 왔습니다.

그러나 이러한 노력에도 불구하고 악의적인 행위자는 많은 블록체인 시스템의 핵심 기능인 분산화와 네트워크를 제어하기 위해 프로토콜 노드의 51% 합의가 있어야 한다는 요구 사항을 계속 악용하고 있습니다. 

Culver는 "[암호화폐] 시스템이 성숙하고 있지만 해시 렌탈 시장은 실제로 성장하고 있습니다."라고 말했습니다. “불을 켜면 쥐가 어디로 가는지 생각해 보세요. (악의적인 행위자들은) 대부분 거래소를 떠나 해시 렌탈 시장으로 이동했습니다.”

PoW 시스템 지지자들은 합의를 얻는 데 필요한 51% 요구 사항으로 인해 비트코인 ​​및 이더리움과 같은 대규모 블록체인 프로토콜을 해킹하기가 매우 어려워질 것이라고 말할 것입니다. 그러나 누군가 또는 그룹이 해당 네트워크에 대한 51%의 제어권을 관리하는 경우 이론적인 가능성은 여전히 ​​있습니다. 노드가 많지 않은 소규모 암호화폐의 경우 51% 공격의 위험이 증가합니다. 소규모 네트워크의 네트워크를 장악하면서 수익을 내는 것이 상대적으로 더 쉽기 때문입니다.

 예를 들어, 비트코인에서 1시간 동안 51% 공격을 수행하는 데는 미화 513,000달러 이상이 필요하지만, 이더리움 클래식에 대한 유사한 공격에는 약 미화 3,800달러만 필요 합니다 .  악의적인 행위자가 공격하기가 훨씬 쉽고 수익성이 높습니다.

Culver는 "해시 대여 시장은 어딘가의 바위 아래에 있는 것과 같습니다. 완전히 익명입니다."라고 말했습니다. “그들은 기본적으로 자금 세탁 작업입니다. 따라서 부당 이득에서 BTC를 가져오고, 해시 파워를 임대하고, 출처가 없는 갓 발행된 토큰을 얻을 수 있습니다.”

그들은 그것을 어떻게 했습니까? 데이터 인텔리전스 회사인 Bitquery의 분석  에 따르면  지난 8월 ETC에 대한 처음 두 번의 공격 배후에 있는 악의적인 행위자는 NiceHash 제공업체 daggerhashimoto 로부터 해시 파워를 임대하여 네트워크에서 51%의 지배력을 달성할 수 있었습니다. 

슬로베니아에 기반을 둔 NiceHash는 고객이 암호화폐 채굴을 위한 컴퓨팅 성능을 제공하는 판매자로부터 해싱 성능을 임대할 수 있는 온라인 플랫폼입니다. 

이 임대 해시 파워를 사용하여  Ethereum Classic에 대한 첫 번째 및 두 번째 공격  배후의 공격자는 블록체인의 항목을 덮어쓰고 거래 대상을 바꾸거나 변경함으로써 700만 달러 이상을 "이중 지출"할 수 있었습니다. 즉, 공격자는 네트워크를 거의 완벽하게 제어할 수 있었고 마음대로 돈을 보낼 수 있었습니다.

NiceHash는 이전에 논란에 휩싸였습니다. 2019년 전 CTO이자 공동 설립자인 Matjaz Skorjanec는   수백만 달러의 절도를 조직한 해킹 그룹에 연루된 미국 혐의로 독일에서  체포되었습니다 .

NiceHash 자체는  2017년에 해킹되어  약 7,800만 달러의 비트코인 ​​손실이 발생했습니다.

8월 해킹은 2019년 1월 ETC에 대해 유사한 51% 공격이 발생했기 때문에 Ethereum Classic이 이러한 위반으로 고통받은 것은 이번이 처음이 아닙니다  . 해커들은 또한   2018년에 Bitcoin Gold, Verge 및 Monacoin을 포함한 다른 여러 소규모 암호 화폐에 대해 성공적인 51% 공격을 시작했습니다 .

ETC를 대리하고 있는 뉴욕 소재 국제 로펌 Kobre & Kim의 파트너인 Benjamin JA Sauter는 "컴퓨터는 점점 더 좋아지고 있으며 이러한 작업을 수행하는 데 필요한 컴퓨터 성능을 제어하는 ​​것이 점점 더 쉬워질 것"이라고 말했습니다. 해커를 조사하고 고소하는 연구소. 

또한 최근 중국  쓰촨성에서 발생한 홍수로 수천 명의 암호화폐 채굴자가 파괴되면서 중국의 해싱 파워 집중도 암호화폐에 위험이 되는 것으로 나타났습니다  . 저렴한 수력 발전으로 유명한 쓰촨성은 돈을 절약하려는 암호화폐 채굴 농장으로 인기가 높았지만 홍수와 산사태로 인해 중국 채굴장에서 BTC 해시레이트가 뚜렷하게 떨어졌습니다.

ETC Labs의 최근 공격 및 주장을 다루는 성명서 에서   NiceHash는 "51% 공격을 지원하거나 활성화하지 않는다"고 말하지만 해시 파워가 "공격자의 풀에 의해 남용될 수 있다"고 인정합니다.

NiceHash는 시장 중단 및 조작을 방지하거나 방지하기 위한 조치를 취하고 있으며 서비스 약관 및 개인 정보 보호 정책을 위반하는 활동에 대해 조사를 수행하는 법 집행 기관과 협력한다고 말합니다.

Forkast.News는  추가 의견을 위해 NiceHash에 연락했지만 작성 당시 응답을 받지 못했습니다. 

해킹과 수많은 금전적 손실에도 불구하고 암호화 커뮤니티는 정부 규제와 조사를 강화하는 대신 악의적인 행위자를 개인적으로 추적하는 것을 선호한다고 말했습니다. 

Ethereum Classic에 대한 공격의 결과로 ETC Labs는   ETC 생태계의 무결성을 보호하기 위한 전략적 계획을 개발 중이라고 발표했습니다 . 이 계획에는 네트워크에서 일관된 해시 비율을 유지하기 위해 광부와 협력하고, 해시 비율의 이상 또는 급증을 식별하기 위한 고급 모니터링과 궁극적으로 PoW 마이닝 알고리즘을 변경하는 것이 포함됩니다.

Sauter는 "대체로 정부가 거래소 운영 방식에 깊이 관여하고 잘못을 시정하는 것을 원하지 않는다고 생각합니다."라고 말했습니다. “저는 업계 전체가 자율 규제를 원하고 정부가 잡초에 개입할 필요가 없는 환경을 원한다고 생각합니다. 그러나 효과적인 사적인 해결책이 없는 한 문제가 해결되는 방식입니다.”

이것은 생각을 자극하는 관찰입니다. 🤔
정의에 따라 탈중앙화 암호화폐는 해시레이트, 지분 및/또는 기타 허가 없이 획득할 수 있는 리소스를 통해 51% 공격에 취약해야 합니다.
암호가 51% 공격을 받을 수 없다면 허가되고 중앙 집중화됩니다. https://t.co/LRCVj5F0O1 — 찰리 리 [LTC⚡] (@SatoshiLite)  2019년 1월 8일

암호화폐 산업은 최근 정부의 관심 증가, 더 엄격한 규칙 및 규제로 이동하고 있습니다. 여기에는   미화 1,000달러 이상 거래하는 사람들의 개인 정보를 포함하는 거래소와 같은 가상 자산 서비스 제공업체에 대한  미국의 금융 조치 태스크 포스(Financial Action Task Force) 지침이 포함됩니다.

또 다른 미국 기관인 CFTC(Commodity Futures Trading Commission)도   2024년까지 암호화폐를 규제하기 위한 전략적 계획을 발표했습니다 . SEC 위원 Hester Peirce에 따르면. 

 Peirce는 Forkast.News  와의 인터뷰 에서 "자본 시장은 사람들의 삶을 변화시킬 수 있으므로 금융 시스템이 더 많은 사람들에게 접근할 수 있다는 것은 현재 시행되고 있는 일부 규제 기능을 실제로 재검토해야 한다는 것을 의미합니다."라고 말했습니다  . "Crypto는 우리가 자기 성찰을 할 수 있는 기회입니다. 우리가 혁신을 올바르게 처리하고 있습니까?"

임대 해시 파워는 정부가 개입하기 전에 업계가 개인적으로 분쟁을 해결하는 것을 선호할 수 있는 새로운 분야일 수 있다고 Sauter는 말했습니다.

Sauter는 "[사적 분쟁 해결을 위한 프레임워크가 없다면] 사기 피해자가 선택할 수 있는 유일한 다른 선택은 정부에 가는 것입니다." SEC와 CFTC. "업계는 정부가 손을 대지 않는 접근 방식을 취하기를 원하지만 누가 시스템을 남용하고 있는지 알아낼 방법이 없다면 그것은 장기적으로 실현 가능한 해결책이 되지 못할 것입니다."

암호화폐 산업을 2017년 ICO 버블 기간 동안 확산된 사기와 해킹의 황량한 서부에서 벗어나려면 정부 또는 민간 조직을 통해 시스템에 대한 통제와 점검을 강화해야 합니다.

“임대 시장이 있다면 그 자체가 문제가 아니라고 생각합니다.”라고 Sauter는 말했습니다. “그러나 당신이 당신의 고객이 누구인지 추적하지 않고 거래소가 지금 하고 있는 것과 같은 종류의 실사를 하지 않는다면, 이런 종류의 사기를 추적하고 사람들이 사기를 당했을 때 책임을 물을 수 있습니다. 남용하면 해결책이 아니라 문제의 일부가 됩니다.”

NiceHash는 달라지기를 간청합니다.

"ISP가 모든 인터넷 트래픽이 악의적이지 않다는 것을 보장할 수 없는 것처럼 NiceHash는 모든 블록체인 인프라의 보안을 책임질 수 없습니다."라고 해시 파워 제공업체는 성명에서 말했습니다. “보안 문제는 커뮤니티와 제작자의 문제가 됩니다. 진정한 분권화를 원한다면 그것을 받아들여야 합니다.”

Ethereum Classic은 8월에 10,000개 이상의 블록이 중단되고 수백만 달러의 손실을 초래한 51% 공격의 세 가지 개별 인스턴스로 포위되었습니다. Ethereum Classic의 프로젝트 인큐베이터인 ETC Labs의 CEO인 Terry Culver는 "좌절감이 증가한다는 것은 분명히 그것을 설명하는 가장 좋은 방법입니다."라고 말했습니다.

ETC Labs와 다른 개발자들은  추가 51% 공격으로부터 블록체인 네트워크를 보호하기 위한 방법을 연구하고 있지만 트랜잭션에 대한 보안 문제로 인해 더 많은 암호화폐에서 사용되는 합의 메커니즘인 작업 증명  (PoW)  기반 블록체인 네트워크의 유용성에 의문이 제기되었습니다.  다른 어떤 것보다.

오늘 #ETC 네트워크 에서 또 다른 대규모 51% 공격이 발생하여   약 2일의 채굴에 해당하는 7000개 이상의 블록이 재구성되었습니다. 손실된 모든 블록은 미성숙 잔액에서 제거되며 삭제된 txs에 대한 모든 지불금을 확인합니다.

— 비트플라이(@etherchain_org)  2020년 8월 29일

 Culver는 Forkast.News 와의 인터뷰에서 “비트코인과 이더리움을 포함한 모든 작업 증명 블록체인이 가지고 있는 취약점입니다 . "우리는 이러한 네트워크를 공격하는 데 드는 비용 때문에 안전하다고 생각하지만 사실 비용은 주관적입니다."

Ethereum Classic의 51% 공격의 최근 물결 중 첫 번째 물결은  8월 초 에 발생 했습니다. 이때 약 560만 달러의 ETC가 이중 사용되었습니다. 임대 해시파워를 통해 개인이 네트워크를 대부분 제어할 수 있었기 때문에 가능했습니다.

Culver는 "국가 활동가 또는 비국가 활동가를 위해 이러한 네트워크 중 하나를 공격하는 데 드는 비용은 매우 적습니다."라고 말했습니다. "사실, 그런 공격이 올 것이라고 생각합니다."

뉴욕에 본사를 둔 국제 법률 회사 Kobre & Kim의 파트너인 Benjamin JA Sauter에 따르면 공격은 다른 출판물에서 보고된 것처럼 ETC 블록체인의 기술적 문제의 결과가 아니라 개인 또는 그룹 행동의 결과입니다. 악의적으로 사기를 칩니다.

"우리가 하고 싶은 것은 그들에게 메시지를 보내는 것입니다. 당신이 이 일에서 벗어나지 않을 것이며, 우리는 그것을 좌시하지 않을 것이며, 당신이 누구인지 알아내려고 노력할 것입니다." 소터가 말했다.

Culver는 다음과 같이 덧붙입니다. 우리에게 이것은 작업 증명을 포기하는 문제가 아닙니다. 악의적인 활동을 방지하고 우리가 성장시키려는 종류의 생태계를 성장시킬 수 있도록 하는 혁신의 문제입니다.”

Culver와 Sauter의  Forkast.News  편집장 Angie Lau가 반복되는 Ethereum Classic 51% 해킹에 대해 설명하고, 이러한 위반이 비트코인 ​​및 이더리움과 같은 대규모 PoW 블록체인에 대해 의미하는 바, '지분 증명' 네트워크가 더 우수한 대안을 제공하는지 여부에 대한 전체 인터뷰를 시청하세요. , 그리고 더.

Angie Lau: Word on the Block에 오신 것을 환영합니다. 이 시리즈는 비즈니스, 정치 및 경제의 교차점에서 우리 세계를 형성하는 블록체인 및 새로운 기술 이야기에 대해 더 깊이 파고듭니다. 저는  Forkast.News  편집장 Angie Lau입니다. 글쎄, 옛날 옛적에 Satoshi Nakamoto의 Bitcoin에 의해 대중화 된 합의 메커니즘으로 '작업 증명'은 실제로 블록 체인 세계를 돌게 만들었습니다. 개발자들은 51% 공격, 작업 증명, 묘책에 대해 점점 더 우려하고 있습니다.

정말 초창기에는 이론적이었고 가설이었습니다. 글쎄요, 불과 몇 달 만에 공격자는 네트워크의 해시 비율을 50% 이상 제어할 수 있었고 다른 채굴자가 블록을 완료하는 것을 막았습니다. 우리는 하나의 네트워크에서 하나도 아니고 둘도 아닌 세 개의 공격(51% 공격)을 보았습니다. 바로 이더리움 클래식입니다. 그래서 문제는 이것이 작업 증명의 끝인가 하는 것입니다. 이더리움 클래식에 무슨 일이 일어나고 있나요?

하이라이트

Ethereum Classic이 다시 51% 해킹될 수 있습니까? “한 달에 3번의 공격은 Ethereum Classic의 보안이 문제라는 것을 알려줄 것입니다. 그리고 우리는 다른 블록체인이 더 정기적으로, 아마도 덜 가시적인 공격을 받는다고 믿고 알고 있습니다. 보편적인 문제입니다.”

작업 증명 블록체인의 특성: “우리는 해당 네트워크를 공격하는 데 드는 비용 때문에 블록체인이 안전하다고 생각하지만 사실 비용은 주관적입니다. 국가 활동가 또는 비국가 활동가를 위해 이러한 네트워크 중 하나를 공격하는 데 드는 비용은 매우 적습니다.”

이러한 공격이 발생하도록 허용한 요인: “여기에는 두 가지 문제가 있습니다. 하나는 네트워크에서 해시 파워의 51%를 확보하여 자신의 거래를 생성할 수 있게 하는 것입니다. 다른 하나는 거래소인데, 보안 프로토콜이 충분히 강력하지 않은 경우 공격자는 거래소가 응답하기 전에 매우 빠르게 자금을 입금하고 인출할 수 있습니다.”

이러한 손실에도 불구하고 업계는 여전히 자율 규제에 대한 강한 열망을 가지고 있습니다. 업계 전체가 스스로 규제할 수 있고 정부가 개입할 필요가 없는 환경을 원한다고 생각합니다.”

작업 증명에서 지분 증명으로 이동할 때입니까? “우리에게 이것은 작업 증명을 포기하는 문제가 아닙니다. 악의적인 활동을 방지하고 우리가 성장시키려는 종류의 생태계를 성장시킬 수 있도록 하는 혁신의 문제입니다.”

비트코인과 같은 주요 암호화폐의 경우 개인 채굴자가 수익을 얻는 것이 불가능해졌기 때문에 채굴자는 채굴 풀을 만들어 컴퓨팅 파워를 통합합니다. 이를 통해 더 많은 블록을 채굴할 수 있고 각각 보상의 일부를 받을 수 있습니다. 현재 가장 큰 비트코인 ​​채굴 풀은 BTC.com, AntPool 및 ViaBTC입니다. 이들은 모두 Blockchain.com 에 따르면 비트코인 ​​네트워크의 총 해시 비율의 52% 이상을 나타냅니다  .

마이닝 풀은 달콤한 목표를 나타냅니다.  악의적인 채굴자는 블록체인 합의 메커니즘의 일반적인 웹 애플리케이션 취약점을 악용하여 내부 및 외부적으로 채굴 풀을 제어하려고 합니다  .

이기적 마이닝이란 채굴한 블록을 일정 시간 동안 네트워크에 공개하지 않고 한 번에 여러 블록을 릴리스하여 다른 채굴자가 블록을 잃게 함으로써 악의적인 채굴자가 보상의 몫을 늘리려는 시도를 말합니다. 이러한 유형의 공격을 방지하기 위한 가능한 조치는 풀의 다양한 분기에 채굴자를 무작위로 할당하고 더 최근 타임스탬프가 있는 블록을 선호하며 허용 가능한 최대 시간 내에 블록을 생성하는 것입니다. 이러한 유형의 공격을 블록 보류라고도 합니다.

이기적인 채굴 공격

 2014년 Eligius 풀 에 대한 이기적인 채굴 공격의 결과로  채굴자들은 300 BTC를 잃었습니다. 이기적인 채굴은 성공할 가능성이 높으며 모든 암호화폐에서 발생할 수 있습니다. 이기적인 채굴에 대한 가능한 예방 조치에는 신뢰할 수 있는 채굴자만 등록하고 기존 비트코인 ​​프로토콜을 변경하여 부분 작업 증명과 전체 작업 증명 간의 차이를 숨기는 것이 포함됩니다.

이 공격은 공격자가 은밀하게 블록을 채굴하고 다른 노드에서 작동하는 공통 체인보다 긴 체인의 복사본을 만들 수 있을 때 발생합니다. 공격자는 일부 블록을 채굴하고 전체 네트워크에 브로드캐스트하지 않습니다. 그들은 채굴을 계속하고 체인 길이 측면에서 네트워크보다 충분히 앞서면 개인 포크를 게시합니다. 네트워크가 가장 많이 작업된 체인(일명 가장 긴 체인 규칙)으로 이동하므로 공격자의 체인이 승인된 체인이 됩니다. 이기적인 마이닝 공격의 도움으로 공격자는 일부 거래를 공용 네트워크에 게시한 다음 은밀하게 채굴된 블록의 도움으로 되돌릴 수 있습니다.

PDF: 암호화폐 지갑의 보안 문제 정의 및 보안 목표

보류 후 포크(FAW)는 공격자에게 더 많은 보상을 제공하는 이기적인 마이닝의 변형입니다. FAW 공격 중에 악의적인 채굴자는 성공 블록을 숨기고 상황에 따라 폐기하거나 나중에 포크를 생성하기 위해 해제합니다. 이 공격의 개념은   권우진이 이끄는 연구원 그룹에 의해 명시적으로 설명되었습니다 .

우선 블록체인 시스템이 작동하는 방식에 대한 핵심 개념이 있습니다. 문자 그대로 "블록"의 체인이며 각 블록은 암호로 해시된 데이터 조각입니다. 각 데이터 블록은 하나의 정보입니다. 통화에서 일반적이고 기본적인 예로서 각 블록은 트랜잭션입니다. 사용자가 거래를 원할 때 사용자가 실제로 사용할 수 있는 통화가 있는지 확인하기 위해 전체 블록체인에 대해 정보를 확인합니다. 일단 확인되면 거래는 데이터를 적절하게 해시하고 체인에 추가하기 위해 경쟁하는 광부에게 전송됩니다.

제조업에서는 블록체인 기술을 사용하여 민감한 파일을 보호할 수 있습니다. 공격자가 해당 파일을 가로채서 조작하려고 시도하면 블록체인 지문이 누락되고 해당 파일이 블록체인에서 거부됩니다.

그 암호화는 보안 방정식의 한 부분입니다. 블록체인에서 사용되는 암호화는 다양할 수 있지만 현대 암호화는 일반적으로 키를 손상시키지 않고 해독하기가 매우 어렵습니다. 블록체인 기술에 대해 배울 때 암호화 기능과 그 목적에 대해 모두 배우게 됩니다.

또한 블록체인 자체는 해시된 모든 데이터의 저장된 원장입니다. 첫 번째 작업부터 가장 최근의 작업까지 모든 것을 포함하는 완벽하고 불변의 거래 내역입니다. 더 중요한 것은 이 원장이 하나의 중앙 위치에 저장되지 않는다는 것입니다. 대신 기술을 사용하는 모든 사람에게 배포됩니다. 이 원장을 일치시키려면 원장의 모든 인스턴스를 조작해야 하기 때문에 아무도 이 원장을 조작할 수 없습니다. 이것이 합의 프로토콜입니다.

다른 블록체인 기술은 구체적으로 다른 방식으로 작동하지만 모두 합의 및 블록 체인과 관련된 핵심 요소를 공유합니다. 여기서 개별 블록은 각각 자신과 이전 블록에 대한 정보를 포함하고 체인을 무한정 계속합니다.

보안은 불변인 것처럼 보이지만 인간은 영리한 생물이며 블록체인 기술에 대한 실제 및 이론적 공격은 이미 다양합니다.

블록체인 기술은 상대적으로 새롭고 복잡하며, 이는 많은 사람들이 이를 타협하는 방법을 알아내기 위해 다양한 각도에서 바라보고 있음을 의미합니다. 잠재적인 이익 동기가 있는 곳이면 어디든 악의적인 행위자가 있을 것입니다. 실제로 블록체인 기술에는 많은 잠재적 및 실제 취약성이 있으므로 최신 사이버 보안에 관심이 있는 경우 이를 인지해야 합니다.

하이엔드 암호화 프로세스를 사용하여 데이터를 블록체인으로 인코딩하고 해시하는 것은 적절하게 구현된 경우 훌륭합니다. 이러한 기술을 함께 맞춰지는 퍼즐 조각으로 취급하기는 쉽지만 잘못된 방식으로 사용하면 악용될 수 있는 구멍이 남을 수 있습니다.

암호화를 직접 랙킹하는 것은 드물지만 조합 방식을 크래킹하는 것이 훨씬 쉽습니다. 불미스러운 액세스를 허용하는 암호화의 백도어 가능성은 말할 것도 없습니다.

블록체인 기술 자체는 안전하게 설계될 수 있지만 유용하려면 다른 기술과 인터페이스해야 하며 해당 접점이 악용될 수 있습니다. 블록체인 시스템에 대한 수십 건의 소규모 및 대규모 공격이 있었습니다. 블록체인은 암호화폐를 넘어 확장되지만 코인 교환은 정교한 공격의 주요 대상이었습니다. 공격자는 서버에서 적절한 보안 조치를 취하지 못한 거래소를 간단히 해킹할 수 있을 때 반드시 프로토콜 자체를 손상시킬 필요가 없습니다.

이러한 취약점을 찾는 것은 악의적인 행위자에게 절호의 기회가 될 수 있지만 현상금을 위해 버그를 쫓는 화이트 햇 해커에게도 수익성이 있는 것으로 입증되었습니다. 이 버그 헌터는 다양한 블록체인 플랫폼에서 수십 가지 문제를 식별했습니다.

이러한 공격 중 하나는 여러 디지털 통화에서 사용되는 "스마트 계약" 시스템을 대상으로 했습니다. 특히 일본 거래소 코인체크를 통해 이더리움의 블록체인을 노렸다. 이 공격은 거래소에서 약 8천만 달러 상당의 이더를 훔쳤습니다.

블록체인 통화 혜택도 손해입니다. 우리는 모두 매우 귀중한 디지털 지갑에 대한 액세스 권한을 잃은 사람들의 이야기를 읽었습니다. 통화의 익명성과 보안은 둘 다 이점으로 간주되지만 잃어버린 지갑을 복구할 수 없는 사람들에게는 기술이 디지털 코인의 양면에 대한 보안을 필요로 한다는 사실을 뼈저리게 상기시켜 줍니다.

이는 거래를 보장하거나 환불할 수 없는 문제이기도 합니다. 전통적인 통화를 사용하면 은행 계좌에서 일부 돈을 도난당한 경우 지불 거절을 통해 상황을 바로잡을 수 있으며 보험에 가입한 은행이 타격을 받아 상환을 받습니다. 암호 화폐와 같은 경우 지갑에서 통화를 도난당하면 사라집니다. 거래는 되돌릴 수 없으며 보험에 들지 않습니다.

경우에 따라 하드포크라고 하는 것으로 해결할 수 있습니다. 하드 포크는 도난 전에 체인을 "포크"하여 도난이 발생하지 않은 것처럼 보이도록 기록을 다시 작성하는 전체 블록체인에 대한 강제 업데이트입니다. 발생한 포크는 버려지고, 새로운 포크는 현실이 됩니다. 물론 여기에는 고유한 문제가 있습니다. 그러한 결정을 내릴 수 있는 중앙 기관으로 돌아가야 하며, 그러면 더 취약해질 수 있습니다.

이제 디지털 블록체인 통화의 향후 반복은 이 문제에 대한 솔루션을 통합할 것이며 아마도 다른 공격 벡터가 나타나게 할 것입니다. 끊임없이 진화하는 블록체인 보안의 세계는 주제를 공부할 때 배우게 될 것입니다.

블록체인의 분산된 특성과 네트워크가 합의를 필요로 하므로 단순한 조작 시도를 제거한다는 사실은 기술을 더 넓은 형태의 조작으로 열어줍니다.

블록체인에 대해 추측되는 문제 중 하나는 대다수의 문제입니다. 예를 들어, 암호화폐의 경우 합의를 유지하려면 분산된 광부 네트워크가 필요합니다. 블록체인의 "역사"를 바꾸려면 공격자는 그들의 현실이 옳았다는 합의를 확신시켜야 합니다. 일반적으로 이것은 불가능합니다.

그러나 점점 더 많은 채굴이 중국 창고 농장으로 이동하고 전 세계 사람들의 분산된 손에서 멀어짐에 따라 중앙 그룹이 모든 채굴을 지배하기가 더 쉬워지고 따라서 합의가 이루어집니다. 즉, 작업을 수행할 수 있는 충분한 컴퓨팅 성능을 가진 하나의 엔터티가 네트워크를 장악하고 본질적으로 원하는 대로 현실을 작성할 수 있습니다.

51% 공격이라고 하는 공격자는 네트워크의 노드에 대한 다수의 제어 권한을 획득하면 블록체인의 새로운 현실을 제어할 수 있습니다. 더 큰 블록체인은 그 시점에 있을 수도 있고 그렇지 않을 수도 있지만, 몇몇 소규모 네트워크는 이미 이러한 공격을 경험했습니다. 개념 증명이 입증되었으며 이제 해결해야 할 문제입니다.

"이클립스 공격"으로 알려진 또 다른 공격은 노드와의 통신을 장악하는 것입니다. 노드를 격리하고 트래픽을 제어함으로써 공격자는 해당 노드가 잘못된 데이터로 시간과 리소스를 낭비하도록 속여서 블록체인에 참여하지 못하게 할 수 있습니다.

"타임재킹" 공격도 비슷합니다. 해커는 이론적으로 노드의 시간 처리를 변경하고 해당 노드가 블록체인의 임시 포크에서 작동하도록 속일 수 있으며, 종종 공격에 대체 포크를 사용하기 위해 손상된 여러 피어를 사용합니다.

다른 공격에는 잘못된 방향이 포함됩니다. "이기적인 광부" 공격이 먼저 이론화되었습니다. 여기에는 채굴과 관련된 전략적 타이밍과 채굴된 블록을 체인에 추가하여 본질적으로 프로토콜을 포크하고 다른 채굴자들이 시간을 낭비하고 채굴의 이점을 잃게 만듭니다.

"파티션 공격"은 공격자가 네트워크를 분할하여 서로 간에 통신할 수 없는 여러 개의 다른 파티션으로 나누는 일종의 공격입니다. 선택적으로 차단하는 트래픽은 본질적으로 블록체인을 분기하므로 파티션 내에서만 합의가 필요합니다. 지연 공격이라고 하는 유사한 공격은 노드가 네트워크를 통해 메시지를 전파할 수 있는 속도를 변경합니다.

가장 일반적인 유형의 공격 중 하나는 이중 지출 공격입니다. 블록체인 기반 통화를 사용하면 네트워크는 트랜잭션을 확인하기 위해 요청이 원장과 일치하는지 동의해야 합니다. 하지만 네트워크의 모든 노드가 동의하는 데는 시간이 걸리며 시간 경과를 악용할 수 있습니다. Finney 공격, Race 공격 및 Vector76을 포함하여 여러 종류의 이중 지출 공격이 있습니다.

온라인 비즈니스 및 서비스에 대한 일반적인 위협 중 하나는 분산 서비스 거부 또는 DDoS 공격입니다. DDoS 공격은 처리할 수 있는 것보다 훨씬 더 많은 데이터를 서버로 전송하여 서버를 다운시키는 수천에서 수백만 대의 시스템을 포함합니다. 이러한 일은 중소기업에서 주요 웹사이트에 이르기까지 매년 수백 번 발생합니다.

블록체인의 분산 특성은 이러한 공격에 덜 취약하다는 것을 의미하지만 봇넷은 매우 클 수 있으며 한 번에 블록체인 네트워크의 여러 부분을 공격하도록 조정할 수 있습니다. 또한 과거의 수많은 사례는 블록체인 자체가 취약하지 않더라도 이를 사용하는 허브가 취약하다는 것을 보여주었습니다. 코인 교환은 DDoS 공격의 인기 있는 대상입니다.

또한 사전 무차별 대입 공격 또는 개인 정보에 대한 피싱 및 사회 공학 사용자의 암호 공격과 같은 보다 일반적인 많은 공격은 교환 및 기타 블록체인 인접 기술 및 플랫폼에서 계정을 보호하기 위해 작동할 수 있습니다.

블록체인에 사용되는 암호화 프로토콜의 특성상 취약할 수 있습니다. Bitcoin은 개인 키를 생성하기 위해 ECDSA 알고리즘을 사용하는 대표적인 예입니다. 블록체인 원장의 크기로 인해 사용된 알고리즘이 엔트로피가 충분하지 않아 동일한 키를 두 번 이상 생성할 수 있는 것으로 보입니다. 블록체인의 핵심에 사용되는 해싱 기능은 보안을 보장하기 위해 적절하게 복잡하고 엔트로피적이어야 하며 규모의 문제를 예측하기 어려울 수 있습니다.

무엇보다도 물리적 공격도 여전히 작동할 수 있습니다. 암호화폐를 "안전하게" 저장하는 한 가지 방법은 디지털 해커의 손이 닿지 않는 인터넷에서 완전히 분리된 데이터를 저장하는 지갑인 Cold Wallet입니다. 그러나 올바른 시설에 대한 올바른 액세스 권한이 있는 사람은 하드 드라이브와 여기에 포함된 모든 지갑을 간단히 훔칠 수 있습니다.

블록체인 기술은 새롭고 흥미롭기 때문에 수천 개의 기술 스타트업과 수백 개의 기성 기업이 이 분야에서 일하고 있습니다. 혁신과 실험에 무르익었지만 항상 새로운 공격의 여지가 있습니다. 새로운 기술에 취약성을 열어두는 과정에서 보안의 핵심 요소를 잊어버리기만 하면 됩니다.

블록체인 기술의 가장 흥미로운 용도 중 하나는 기술의 암호화폐 측면에서 분리하고 핵심 블록체인 프로토콜을 다른 방식으로 사용하는 것입니다. 이것은 놀라운 잠재력을 가지고 있으며 새로운 기술 구현에서 잠재적인 보안 문제를 발견하기 위해 많은 비판적 사고와 테스트가 필요합니다.

위에서 나열한 많은 문제는 이론적 공간이나 실제 구현에서 솔루션을 가지고 있습니다. 제시된 문제를 고려하고 잠재적 솔루션에 대해 생각하십시오. 당신은 무엇을 생각해 낼 수 있습니까?

생각 연습에 관심이 있고 블록체인 기술이 매력적이라고 ​​생각하는 경우 기술과 보안 문제의 내용을 자세히 알아보는 프로그램을 추구하는 것을 고려할 수 있습니다. 우리 프로그램은 귀하를 블록체인 개발자로 인증하고 급변하는 신흥 기술 세계에서 일할 수 있도록 준비할 수 있습니다.

진화의 다음 단계를 위한 블록체인 기술 개발에 관심이 있든, 해커 대 사이버 보안 전문가의 쫓고 쫓기는 게임에 더 관심이 있든, 블록체인 공간에는 당신을 위한 여지가 있습니다. 오늘 기술에 대해 자세히 알아보고 내일 기술에 대한 기여를 시작하십시오.

가장 유명한 암호화폐는 비트코인이지만 이더리움, 라이트코인, 모네로와 같은 다른 암호화폐도 많이 있습니다. 암호화폐는 종종 탈중앙화 거래소에서 사고 팔며 상품과 서비스를 구매하는 데에도 사용될 수 있습니다.

암호화폐는 블록체인 기술을 사용하여 모든 거래의 안전하고 분산된 원장을 생성합니다. 블록체인은 암호 기술을 사용하여 트랜잭션을 암호화하고 이중 지출을 방지하기 때문에 해킹으로부터 안전한 분산 데이터베이스입니다.

거래가 이루어질 때마다 블록체인에 기록되고 컴퓨터 네트워크에 의해 확인됩니다. 이것은 동일한 암호 화폐를 두 번 부정하게 사용하는 것을 불가능하게 합니다. 또한 위조에 취약한 기존 법정 화폐보다 암호화폐를 훨씬 더 안전하게 만듭니다.

암호화폐는 디지털이며 종종 온라인 지갑에 저장되기 때문에 해킹에 취약합니다. 실제로 최근 몇 년 동안 암호화폐 거래소에 대한 세간의 이목을 끄는 해킹이 여러 차례 발생하여   수백만 달러 상당의 암호화폐 손실이 발생했습니다.

2021년 5월 초,  랜섬웨어 공격이  콜로니얼 파이프라인을 강타했습니다. 이 공격으로 인해 미국 동부 해안에 많은 연료를 공급하는 파이프라인이 폐쇄되었습니다. 해커들은 비트코인으로 5백만 달러의 몸값을 요구했고, 그들은 그것을 얻었습니다.

이것은 범죄자들이 암호화폐를 사용하여 피해자로부터 돈을 갈취하는 방법의 한 예일 뿐입니다. 아래에는 기업의 사이버 보안과 회사 및 개인의 보안에 영향을 미치는 주요 암호화폐 사기가 나열되어 있습니다.

1. 투자 사기:  이러한 사기는 새로운 암호화폐에 대한 높은 투자 수익을 약속하며 피해자를 유인합니다. 현실은 이러한 사기꾼들이 당신의 돈을 빼앗아 사라질 것이라는 것입니다.
2. 피싱 사기(Phishing Scams):  피싱은  사이버 공격의 한 유형으로 범죄자가 암호화폐 거래소와 같은 합법적인 출처에서 온 것처럼 보이는 가짜 이메일이나 메시지를 보내는 것입니다. 이러한 메시지에는 로그인 자격 증명을 도용하거나 컴퓨터를 맬웨어로 감염시키는 위조 웹사이트로 연결되는 링크가 포함되어 있는 경우가 많습니다.
3. 폰지 사기(Ponzi Schemes):  폰지 사기는 높은 수익을 약속하지만 대신 새로운 투자자의 돈을 기존 투자자에게 지불하는 투자 사기 유형입니다. 이러한 계획은 결국 무너지고 새로운 투자자에게는 아무것도 남지 않습니다.
4. ICO(Initial Coin Offering) 사기:  ICO는 새로운 암호화폐를 위한 자금을 모으는 데 사용되는 크라우드 펀딩 캠페인입니다. 그러나 많은 ICO는 사기이며 그 뒤에 있는 사람들은 당신의 돈을 빼앗아 사라질 것입니다.
5. 맬웨어:  암호화폐 채굴에는 많은 컴퓨팅 성능이 필요하며 범죄자는 이를 활용하여 스스로 암호화폐를 채굴할 수 있습니다. 그들은 귀하의 리소스를 사용하여 암호화폐를 채굴할 수 있도록 허용하는 맬웨어로 귀하의 컴퓨터를 감염시킴으로써 이를 수행합니다. 이로 인해 컴퓨터 속도가 느려지고 많은 전력이 소모될 수 있습니다.

콜로니얼 파이프라인 공격에서 보았듯이 암호화폐는 종종 랜섬웨어 공격에 사용됩니다. 이러한 공격에서 해커는 데이터를 암호화하고 이를 해독하기 위해 암호화폐로 몸값을 요구합니다. 이러한 공격은 몸값을 지불하고 공격으로 인한 가동 중지 시간을 처리해야 하기 때문에 기업에 매우 큰 비용이 들 수 있습니다. 경우에 따라 회사는 몸값을 지불한 후에도 데이터를 복구하지 못할 수 있습니다.

암호화폐는 다크웹에서 불법 상품과 서비스를 사고팔 수도 있습니다. 여기에는 마약, 무기, 아동 음란물 등이 포함됩니다. 암호 화폐를 사용하여 범죄자는 잡힐 염려 없이 익명으로 이러한 항목을 사고 팔 수 있습니다. 이것은 법 집행 기관이 이러한 범죄자를 추적하는 것을 매우 어렵게 만듭니다.

암호화폐는 자금 세탁 계획에도 사용될 수 있습니다. 이러한 수법에서 범죄자는 불법 자금을 암호화폐로 전환한 다음 합법적인 상품과 서비스를 구매하는 데 사용하므로 돈을 추적하고 범죄자를 추적하기가 어렵습니다.

전반적으로 암호화폐는 비즈니스 보안에 상당한 영향을 미칠 수 있습니다. 암호 화폐를 지불로 수락하면 범죄자의 표적이 될 수 있습니다. 또한 암호화폐를 사용하여 상품 및 서비스를 사고 파는 경우 자신도 모르게 범죄 행위에 가담할 수 있습니다.

이러한 이유로 암호화폐를 다룰 때는 주의를 기울여야 합니다. 평판이 좋은 거래소 및 비즈니스만 거래하고 컴퓨터 보안을 최신 상태로 유지하여 마이닝 맬웨어 및 기타 공격으로부터 자신을 보호하십시오.

기업은 암호화폐 사기로부터 자신을 보호하기 위해 몇 가지 조치를 취할 수 있습니다.

1.  암호화폐와 작동 방식에 대해 자신과 직원을 교육하십시오 . 사기를 나타내는 위험 신호를 발견하는 데 도움이 됩니다.
2. 평판이 좋은 교환 및 비즈니스만 거래하십시오. 합법적인 회사와 거래하고 있는지 확인하기 위해 조사를 수행하십시오.
3. 마이닝 맬웨어 및 기타 공격으로부터 자신을 보호하기 위해 컴퓨터 보안을 최신 상태로 유지하십시오.
4. 암호 화폐를 지불로 수락할 때 주의하십시오. 수신에 동의하기 전에 관련된 위험을 이해했는지 확인하십시오.
5. 암호화폐를 사용하여 상품 및 서비스를 구매하거나 판매하는 경우 평판이 좋은 회사와만 거래하십시오. 이 작업과 관련된 위험에 유의하십시오.

 이러한 조치를 취하면 암호화폐 사기로부터 비즈니스를 보호 할 수 있습니다  .

암호화폐의 미래는 불확실하며 널리 채택될지 아니면 잊혀질지 두고 볼 일입니다.

암호 화폐는 우리가 비즈니스를 수행하고 서로 상호 작용하는 방식을 혁신할 수 있는 잠재력을 가지고 있습니다. 그러나 범죄 활동에 사용될 가능성도 있습니다.

시간만이 암호 화폐의 미래를 알려줄 것입니다. 그 동안 그것을 다룰 때 주의를 기울이는 것이 필수적입니다.

사이버 범죄자는 신용 카드 번호나 온라인 뱅킹 자격 증명을 도용하는 등 조직의 소프트웨어 시스템을 공격하여 돈을 벌 수 있습니다. 그러나 돈을 훔치는 것만큼 명백하지 않은 행동으로 수익을 창출하는 더 정교한 다른 방법이 있습니다.

공격자는 명령 및 제어 서버에 대한 원격 액세스 권한을 부여하는 맬웨어로 시스템을 감염시킬 수 있습니다. 수백 대 또는 수천 대의 컴퓨터를 감염시키면 피싱 이메일을 보내거나 다른 사이버 공격을 시작하거나 중요한 데이터를 훔치거나 암호화폐를 채굴하는 데 사용할 수 있는 봇넷을 구축할 수 있습니다.

또 다른 일반적인 동기는 개인 식별 정보(PII), 건강 관리 정보 및 생체 인식에 액세스하여 보험 사기, 신용 카드 사기를 저지르거나 처방약을 불법적으로 얻는 것입니다.

경쟁업체는 공격자를 고용하여 기업 스파이 활동을 수행하거나 DDoS(Distributed Denial of Service) 공격으로 데이터 센터에 과부하를 일으켜 다운타임을 유발하고 매출에 피해를 주며 고객이 귀사를 떠나게 할 수 있습니다.

돈만이 유일한 동기는 아닙니다. 공격자는 대중에게 정보를 유출하거나, 특정 조직을 난처하게 만들거나, 정치적 이데올로기를 키우거나, 미국이나 중국과 같은 정부를 대신하여 사이버 전쟁을 수행하기를 원할 수 있습니다.

공격자는 공격 벡터를 어떻게 악용합니까?
컴퓨터 시스템, 인프라, 네트워크, 운영 체제 및 IoT 장치에 대한 무단 액세스를 노출, 변경, 비활성화, 파괴, 훔치거나 획득하는 방법에는 여러 가지가 있습니다.

일반적으로 공격 벡터는 수동 공격과 능동 공격으로 나눌 수 있습니다.

수동 공격 벡터 악용
수동 공격 벡터 악용은 타이포스쿼팅, 피싱 및 기타 사회 공학 기반 공격과 같이 시스템 리소스에 영향을 주지 않고 시스템 정보에 액세스하거나 사용하려는 시도입니다.

능동적 공격 벡터 악용 능동적
사이버 공격 벡터 악용은 맬웨어, 패치되지 않은 취약점 악용, 이메일 스푸핑, 중간자 공격, 도메인 하이재킹 및 랜섬웨어와 같이 시스템을 변경하거나 작동에 영향을 미치려는 시도입니다.

즉, 대부분의 공격 벡터는 다음과 같은 유사점을 공유합니다.

공격자는 잠재적인 대상을 식별합니다.
공격자는 사회 공학, 맬웨어, 피싱, OPSEC 및 자동화된 취약성 검색을 사용하여 대상에 대한 정보를 수집합니다. 공격자는 정보를
사용하여 가능한 공격 벡터를 식별하고 이를 악용하는 도구를 만들거나 사용합니다. 공격자는 컴퓨터나 네트워크를 모니터링하거나 정보를 도용하거나 컴퓨팅 리소스를 사용합니다
. 자주 간과되는 공격 벡터 중 하나는 제3자 및 제4자 공급업체와 서비스 제공업체입니다. 내부 네트워크 보안 및 정보 보안 정책이 얼마나 정교한지는 중요하지 않습니다. 공급업체가 중요한 데이터에 액세스할 수 있다면 조직에 큰 위험이 됩니다.

그렇기 때문에 제3자 위험과 제4자 위험을 측정하고 완화하는 것이 중요합니다. 이는 정보 보안 정책 및 정보 위험 관리 프로그램의 일부가 되어야 함을 의미합니다.

공급업체 위험 관리를 자동화하고 공급업체의 보안 태세를 자동으로 모니터링하고 악화되면 알림을 제공하는 위협 인텔리전스 도구에 대한 투자를 고려하십시오.

이제 모든 조직에는 타사 위험 관리 프레임워크, 공급업체 관리 정책 및 공급업체 위험 관리 프로그램이 필요합니다.

새로운 공급업체를 고려하기 전에 사이버 보안 위험 평가를 수행하여 이를 사용하여 조직에 어떤 공격 벡터를 도입할 수 있는지 이해하고 SOC 2 준수에 대해 질문하십시오.

일반적인 유형의 공격 벡터는 무엇입니까?

1. 손상된 자격 증명
   ‍사용자 이름과 암호는 여전히 가장 일반적인 유형의 액세스 자격 증명이며 데이터 유출, 피싱 사기 및 맬웨어에 계속 노출됩니다. 분실, 도난 또는 노출된 경우 자격 증명은 공격자에게 무제한 액세스를 제공합니다. 이것이 조직이 데이터 노출 및 자격 증명 유출을 지속적으로 모니터링하는 도구에 투자하는 이유입니다. 암호 관리자, 2단계 인증(2FA), 다중 요소 인증(MFA) 및 생체 인식은 자격 증명 유출 위험을 줄여 보안 사고로 이어질 수 있습니다.
2. 약한 자격 증명
   ‍약한 암호와 재사용된 암호는 한 번의 데이터 유출로 인해 더 많은 결과가 발생할 수 있음을 의미합니다. 조직에 보안 암호를 생성하는 방법을 가르치고, 암호 관리자 또는 SSO(Single Sign-On) 도구에 투자하고, 직원에게 이점을 교육하십시오.
3. 내부자 위협 ‍불만을
   품은 직원이나 악의적인 내부자는 개인 정보를 노출하거나 회사 고유의 취약점에 대한 정보를 제공할 수 있습니다.
4. 누락되거나 잘못된 암호화
   ‍SSL 인증서 및 DNSSEC와 같은 일반적인 데이터 암호화 방법은 중간자 공격을 방지하고 전송되는 데이터의 기밀성을 보호할 수 있습니다. 미사용 데이터에 대한 암호화가 없거나 부실하면 데이터 유출 또는 데이터 유출 시 민감한 데이터 또는 자격 증명이 노출될 수 있습니다.
5. 잘못된
   구성 Google Cloud Platform, Microsoft Azure 또는 AWS와 같은 클라우드 서비스를 잘못 구성하거나 기본 자격 증명을 사용하면 데이터 위반 및 데이터 유출이 발생할 수 있습니다. S3 권한을 확인하지 않으면 다른 사람이 확인합니다. 가능한 경우 구성 드리프트를 방지하기 위해 구성 관리를 자동화합니다.
6. 랜섬웨어
   ‍랜섬웨어는 WannaCry와 같이 몸값을 지불하지 않는 한 데이터를 삭제하거나 암호화하는 강탈의 한 형태입니다. 시스템에 패치를 적용하고 중요한 데이터를 백업하는 등 방어 계획을 유지하여 랜섬웨어 공격의 영향을 최소화하십시오.
7. 피싱
   ‍피싱 공격은 적법한 동료나 기관으로 가장한 사람이 이메일, 전화 또는 문자 메시지로 대상에게 연락하여 중요한 데이터, 자격 증명 또는 개인 식별 정보(PII)를 제공하도록 속이는 사회 공학 공격입니다. 가짜 메시지는 사용자를 바이러스 또는 맬웨어 페이로드가 포함된 악성 웹사이트로 보낼 수 있습니다.

여기에서 다양한 유형의 피싱 공격에 대해 알아보세요.

8. 취약점
   ‍매일 새로운 보안 취약점이 CVE에 추가되고 제로데이 취약점도 자주 발견됩니다. 공격이 이를 악용하기 전에 개발자가 제로 데이 취약점에 대한 패치를 릴리스하지 않은 경우 제로 데이 공격을 방지하기 어려울 수 있습니다.

9. 무차별 대입
   ‍무차별 대입 공격은 시행 착오를 기반으로 합니다. 공격자는 한 번의 공격이 성공할 때까지 지속적으로 조직에 대한 액세스 권한을 얻으려고 시도할 수 있습니다. 취약한 암호나 암호화 공격, 이메일 피싱 또는 맬웨어 유형이 포함된 감염된 이메일 첨부 파일 전송 등이 여기에 해당될 수 있습니다. 무차별 암호 대입 공격에 대한 전체 게시물을 읽어보세요.
10. 분산 서비스 거부(DDoS)
    DDoS 공격은 데이터 센터, 서버, 웹 사이트 또는 웹 애플리케이션과 같은 네트워크 리소스에 대한 사이버 공격이며 컴퓨터 시스템의 가용성을 제한할 수 있습니다. 공격자는 속도를 늦추거나 충돌을 일으켜 사용자가 액세스할 수 없게 만드는 메시지로 네트워크 리소스를 넘치게 만듭니다. 잠재적 완화에는 CDN 및 프록시가 포함됩니다.
11. SQL 인젝션
    ‍SQL은 데이터베이스와 통신하는 데 사용되는 프로그래밍 언어인 구조적 쿼리 언어를 나타냅니다. 중요한 데이터를 저장하는 많은 서버는 SQL을 사용하여 데이터베이스의 데이터를 관리합니다. SQL 인젝션은 악의적인 SQL을 사용하여 서버가 그렇지 않은 경우 정보를 노출하도록 합니다. 데이터베이스가 고객 정보, 신용 카드 번호, 자격 증명 또는 기타 개인 식별 정보(PII)를 저장하는 경우 이것은 엄청난 사이버 위험입니다.
12. 트로이
    목마 ‍트로이 목마는 합법적인 프로그램으로 가장하여 사용자를 오도하는 맬웨어로 감염된 이메일 첨부 파일이나 가짜 악성 소프트웨어를 통해 유포되는 경우가 많습니다.
13. XSS(Cross-Site Scripting)
    XSS 공격은 웹 사이트에 악성 코드를 주입하는 것과 관련이 있지만 웹 사이트 자체는 공격을 받는 것이 아니라 웹 사이트 방문자에게 영향을 주는 것이 목표입니다. 공격자가 교차 사이트 스크립팅 공격을 배포할 수 있는 일반적인 방법은 댓글에 악성 코드를 삽입하는 것입니다(예: 블로그 게시물의 댓글 섹션에 악성 JavaScript에 대한 링크 포함).
14. 세션 하이재킹
    ‍귀하가 서비스에 로그인하면 일반적으로 귀하의 컴퓨터에 세션 키 또는 쿠키를 제공하므로 다시 로그인할 필요가 없습니다. 이 쿠키는 이를 사용하여 중요한 정보에 액세스하는 공격자가 하이재킹할 수 있습니다.
15. 중간자 공격
    공용 Wi-Fi 네트워크는 중간자 공격을 수행하고 보안 시스템에 로그인할 때와 같이 다른 곳으로 이동해야 하는 트래픽을 가로채는 데 악용될 수 있습니다.
16. 제3자 및 제4자 공급업체
    ‍아웃소싱의 증가는 공급업체가 고객의 데이터와 독점 데이터에 막대한 사이버 보안 위험을 제기한다는 것을 의미합니다. 가장 큰 데이터 유출 중 일부는 제3자에 의해 발생했습니다.

암호화폐는 비즈니스 보안에 상당한 영향을 미칠 수 있습니다. 암호 화폐를 지불로 수락하면 범죄자의 표적이 될 수 있습니다. 또한 암호화폐를 사용하여 상품 및 서비스를 사고 파는 경우 자신도 모르게 범죄 행위에 가담할 수 있습니다.

기업은 암호화폐 사기로부터 자신을 보호하기 위해 몇 가지 조치를 취할 수 있습니다. 여기에는 암호화폐에 대해 자신과 직원을 교육하고 평판이 좋은 회사 및 거래소만 거래하고 컴퓨터 보안을 최신 상태로 유지하는 것이 포함됩니다.

블록체인의 인기는 여전히 증가하고 있지만, 블록체인에 대한 사이버 공격의 증가는 평판에 부정적인 영향을 미칠 수 있습니다. 가장 일반적인 블록체인 취약점과 공격 유형을 아는 것은 블록체인 보안에 관심이 있고 무엇을 먼저 보호해야 하는지 알고자 하는 모든 사람에게 필수입니다.

GitHub

텔레그램: https://t.me/cryptodeeptech

동영상: https://youtu.be/7pqVNbcGzls

출처: https://cryptodeep.ru/blockchain-attack-vectors

 암호해독