보고서는 Move, TON, 비트코인 확장 및 Cosmos 애플리케이션 체인의 4가지 주요 방향에 중점을 두고 기술 혁신, 보안 과제 및 역사적 보안 사고의 세 가지 방향에 대한 자세한 해석을 제공하여 투자자, 개발자 및 화이트 해커에게 경험을 제공합니다. 해커의 사고 방향은 다음과 같습니다.
생태계 이동(Aptos, Sui 등)
보고서는 Move 언어가 리소스 관리, 모듈형 설계, 내장된 보안 메커니즘 측면에서 어떻게 스마트 계약 프로그래밍을 혁신하는지 소개하고, Aptos와 Sui의 각각의 혁신 포인트와 보안 아키텍처에 대한 심층 분석을 제공합니다.
Move 언어는 원래 전통적인 스마트 계약 언어의 성능 및 보안 병목 현상을 해결하는 것을 목표로 하는 Diem(Libra) 프로젝트를 위해 Facebook(현재 Meta)에서 개발되었습니다. Move의 설계는 리소스의 명확성과 보안을 강조하여 블록체인의 모든 상태 변경에 대한 제어 가능성을 보장합니다. 이 혁신적인 프로그래밍 언어는 다음과 같은 중요한 이점을 제공합니다.
리소스 관리 모델: Move는 자산을 리소스로 취급하여 복사할 수 없거나 파괴할 수 없도록 만듭니다. 이 독특한 리소스 관리 모델은 스마트 계약에서 흔히 발생하는 이중 지출이나 우발적인 자산 파괴 문제를 방지합니다.
모듈식 설계: Move를 사용하면 스마트 계약을 모듈식 방식으로 구축하여 코드 재사용성을 높이고 개발 복잡성을 줄일 수 있습니다.
높은 보안: Move에는 재진입 공격과 같은 일반적인 보안 취약점을 방지하기 위해 언어 수준에서 다수의 보안 검사 메커니즘이 내장되어 있습니다.
또한 이 보고서는 커뮤니티에 잠재적인 무한 재귀 DoS 취약점, 메모리 풀 제거 메커니즘 결함 및 기타 사항에 주의하도록 상기시키기 위해 2023년부터 2024년 말까지 Move 가상 머신 및 Aptos 네트워크에서 발생한 일반적인 보안 사고도 검토합니다. 네트워크의 문제.
Move 생태보안 사건에 대한 자세한 검토를 원하시면 보고서를 다운로드하여 열람하시기 바랍니다.
TON 생태
TON(The Open Network)은 사용자에게 분산형 애플리케이션과 서비스를 제공하기 위해 빠르고 안전하며 확장 가능한 블록체인 플랫폼을 구축하는 것을 목표로 텔레그램이 만든 블록체인 및 디지털 통신 프로토콜입니다. TON은 블록체인 기술과 텔레그램의 통신 기능을 결합하여 고성능, 높은 보안성 및 높은 확장성을 달성합니다. 개발자가 다양한 분산 애플리케이션을 구축할 수 있도록 지원하고 분산 스토리지 솔루션을 제공합니다. 기존 블록체인 플랫폼과 비교하여 TON은 처리 속도와 처리량이 더 빠르며 지분 증명 합의 메커니즘을 채택합니다.
TON은 지분 증명 합의 메커니즘을 사용하고 Turing-complete 스마트 계약 및 비동기식 블록체인을 통해 높은 성능과 다양성을 달성합니다. TON의 초고속 저비용 트랜잭션은 체인의 유연하고 샤딩 가능한 아키텍처를 통해 구동됩니다. 이 아키텍처를 사용하면 성능 저하 없이 쉽게 확장할 수 있습니다. 동적 샤딩에는 동시에 실행되고 대규모 백로그를 방지할 수 있는 자체 목적을 가진 별도의 샤드의 초기 개발이 포함됩니다. TON의 블록 시간은 5초이고 완료 시간은 6초 미만입니다.
기존 인프라는 두 가지 주요 부분으로 나뉩니다.
●마스터체인: 검증자의 주소, 검증된 코인의 양 등 프로토콜의 모든 중요하고 중요한 데이터를 처리하는 역할을 담당합니다.
●워크체인: 메인체인과 연결된 보조 체인으로, 모든 거래 정보와 다양한 스마트 계약을 담고 있습니다. 각 워크체인은 서로 다른 규칙을 가질 수 있습니다.
TON 재단은 TON 코어 커뮤니티가 운영하는 DAO로 개발자 지원, 유동성 인센티브 프로그램 등 TON 생태계 내 프로젝트에 다양한 지원을 제공한다. 보고서는 2024년 TON 커뮤니티가 여러 측면에서 이룩한 중요한 진전을 자세히 설명합니다. 또한 보고서는 중첩된 구조를 통해 가상 머신 리소스 고갈을 일으킬 수 있는 악성 계약의 최근 취약점을 밝히고 모든 당사자에게 계약 보안 감사를 계속 강화할 것을 경고합니다.
TON 생태계에 대한 자세한 내용을 보려면 보고서를 다운로드하여 확인하세요.
비트코인은 생태계를 확장합니다
Lightning Network, Liquid Network, Rootstock(RSK), B² Network, Stacks 등을 포함한 레이어 2 및 사이드 체인 솔루션은 비트코인의 거래 확장 및 프로그래밍 가능성 분야의 혁신을 주도하고 있습니다. Lightning Network는 거래 효율성을 향상시키고 Liquid Network는 기관 간 거래를 가속화하며 Rootstock은 보안과 스마트 계약을 결합하여 dApp 생태계를 확장합니다. 또한 B² 네트워크 및 스택은 비트코인의 기능과 응용 시나리오를 더욱 심화시킵니다.
라이트닝 네트워크는 비트코인 레이어 2를 위한 가장 성숙하고 널리 사용되는 솔루션 중 하나입니다. 결제 채널을 구축함으로써 다수의 소규모 거래를 메인 체인에서 오프 체인으로 이동함으로써 비트코인의 거래 속도를 크게 높이고 처리 수수료를 절감합니다.
이미지 출처: https://lightning.network/lightning-network-presentation-time-2015-07-06.pdf
Liquid Network는 오픈 소스 Elements 블록체인 플랫폼에서 실행되는 사이드체인으로, 거래소와 기관 간의 더 빠른 거래를 위해 설계되었습니다. 이는 비트코인 회사, 거래소 및 기타 이해관계자로 구성된 분산 컨소시엄에 의해 관리됩니다. Liquid는 양방향 페그 메커니즘을 사용하여 BTC를 L-BTC로 또는 그 반대로 변환합니다.
이미지 출처: https://docs.liquid.net/docs/technical-overview
루트스톡(Rootstock)은 2015년 탄생 이후 가장 오랫동안 운영된 비트코인 사이드체인이며, 2018년 메인넷을 출시했습니다. 비트코인의 작업 증명(PoW) 보안과 이더리움의 스마트 계약을 결합한다는 점에서 독특합니다. 오픈 소스, EVM 호환 비트코인 레이어 2 솔루션인 Rootstock은 성장하는 dApp 생태계에 대한 진입점을 제공하고 완전한 무신뢰를 달성하기 위해 최선을 다하고 있습니다.
B² Network의 기술 아키텍처는 롤업 레이어와 데이터 가용성(DA) 레이어의 두 가지 레이어로 구성됩니다. B² Network는 사용자가 비트코인의 두 번째 레이어 솔루션에 대해 생각하는 방식을 재정의하는 것을 목표로 합니다.
2018년 Blockstack이라는 이름으로 메인넷에서 출시된 이후 Stacks는 최고의 비트코인 레이어 2 솔루션이 되었습니다. 스택은 비트코인에 직접 연결되어 스마트 계약, dApp 및 NFT가 비트코인을 기반으로 구축될 수 있도록 하여 비트코인의 기능을 단순한 가치 저장소 이상으로 크게 확장합니다. 비트코인 자체를 수정하지 않고 보안을 비트코인에 직접 연결하는 고유한 전송 증명(PoX) 합의 메커니즘을 사용합니다.
이미지 출처: https://docs.stacks.co/stacks-101/proof-of-transfer
바빌론의 비전은 비트코인의 보안을 확장하여 분산된 세계를 보호하는 것입니다. 비트코인의 세 가지 측면(타임스탬프 서비스, 블록 공간 및 자산 가치)을 활용함으로써 바빌론은 비트코인의 보안을 수많은 지분 증명(PoS) 체인에 제공하여 보다 강력하고 통합된 생태계를 만들 수 있습니다.
이러한 기술은 비트코인 생태계에 더 많은 가능성을 제공하지만 라이트닝 네트워크의 "교체 주기 공격", UTXO 계산 오류 및 PoW 롤백 메커니즘 위험과 같은 문제에도 직면하고 있습니다.
비트코인 생태계에 대한 자세한 내용을 보려면 전체 보고서를 읽어보세요.
코스모스 애플리케이션 체인 생태계
Tendermint 합의, Cosmos SDK 및 IBC 크로스체인 통신을 핵심으로 하여 블록체인 인터넷의 설계 아이디어에 많은 기술 혁신을 가지고 있습니다.
코스모스의 아키텍처는 허브(Hub) 및 존(Zone) 모델을 채택합니다. 허브(중앙)는 크로스체인의 핵심 노드 역할을 하며 여러 존(독립 블록체인)을 연결하고 조정합니다. 이 아키텍처의 혁신은 다음과 같습니다.
분산형 관리: 각 영역은 독립적이고 자율적인 블록체인이며 단일 중앙 집중식 관리 노드에 의존할 필요가 없습니다.
효율적인 크로스체인 연결: 허브를 통해 크로스체인 통신과 자산 흐름이 영역 간에 원활하게 수행되어 진정한 상호 연결을 달성할 수 있습니다.
이 보고서는 다중 모듈 호출 순서부터 크로스체인 메시징까지 코스모스 애플리케이션 체인의 잠재적 보안 위험에 대한 심층 분석을 제공합니다. 또한 LSM(Liquidity Stake Module)의 보안 분쟁 및 거버넌스 프로세스 문제를 결합하여 제공합니다. 더 많은 애플리케이션 체인 프로젝트에 대한 경고와 영감을 제공합니다.
Cosmos 애플리케이션 체인 생태계에 대한 자세한 내용을 보려면 보고서 전문을 읽어보세요.
수년간의 취약점 연구 결과
이 보고서는 블록체인 업계의 9가지 일반적인 보안 취약성에 대해 자세히 설명합니다. 이러한 취약성은 다양한 기술 수준을 거칠 뿐만 아니라 크로스체인 통신에서 경제에 이르기까지 모든 측면을 포괄하는 블록체인 생태계의 여러 핵심 구성 요소와 관련됩니다. 모델 디자인.
1. L2/L1 크로스체인 통신 취약점: 크로스체인 통신은 블록체인 생태계의 상호 운용성을 향상시키는 중요한 수단이지만 구현 과정에는 많은 보안 위험이 있습니다. 예를 들어 L2는 L1의 블록 롤백, 온체인 이벤트 위조 등을 고려하지 않았으며 L1에 전송된 트랜잭션의 성공 여부 등을 감지하지 못했습니다.
2. 코스모스 애플리케이션 체인 취약성: 코스모스는 블록체인 상호 운용성을 중심으로 한 생태계로서 IBC(Inter-Chain Communication Protocol)를 통해 서로 다른 블록체인을 연결할 수 있습니다. 그러나 Cosmos 애플리케이션 체인의 구현 과정에는 BeginBlocker 및 EndBlocker 충돌 취약점, 잘못된 현지 시간 사용, 잘못된 난수 사용 및 기타 11가지 취약점 및 보안 위험과 같은 일부 취약점 및 보안 위험이 있을 수도 있습니다.
3. 비트코인 확장 생태학적 허점: 비트코인 스크립트 구성 허점, 파생 자산을 고려하지 않아 발생하는 허점, UTXO 금액 계산 오류 등을 포함합니다.
4. 프로그래밍 언어의 일반적인 허점 (예: 무한 루프, 무한 재귀, 정수 오버플로, 경쟁 조건 등)
5. P2P 네트워크 취약성: P2P(point-to-point) 네트워크는 블록체인 시스템의 분산 노드 간 직접 연결 및 통신에 사용됩니다. P2P 네트워크는 분산형 시스템을 위한 네트워크 기반을 제공하지만 외계인 공격 취약성, 신뢰 모델 메커니즘 부족, 노드 수 제한 메커니즘 부족과 같은 일련의 일반적인 취약성 유형에도 직면해 있습니다.
6. DoS 공격 : 메모리 고갈 공격, 하드 디스크 고갈 공격, 커널 핸들 고갈 공격, 지속적인 메모리 누수 등을 포함합니다.
7. 암호화 취약점: 암호화 취약점은 데이터의 기밀성과 무결성을 파괴하고 시스템에 잠재적인 보안 위협을 가져옵니다. 암호화 취약점의 주요 유형에는 안전하지 않은 것으로 입증된 해시 알고리즘 사용, 안전하지 않은 사용자 지정 해시 알고리즘 사용, 안전하지 않은 사용으로 인한 해시 충돌 등이 포함됩니다.
8. 원장 보안 취약점: (예: 트랜잭션 메모리 풀 취약점, 블록 해시 충돌 취약점, 고아 블록 처리 로직 취약점, 메르켈 트리 해시 충돌 취약점 등)
9. 경제 모델 허점: 경제 모델은 블록체인 및 분산 시스템에서 중요한 역할을 하며, 인센티브 메커니즘, 거버넌스 구조 및 네트워크의 전반적인 지속 가능성에 영향을 미칩니다. 보고서에 나열된 경제 모델에는 특별한 주의가 필요합니다.
보안 취약점 유형에 대해 자세히 알아보려면 전체 보고서를 읽어보세요.
일반적인 공격 표면 목록
보고서에는 또한 13가지 일반적인 공격 표면이 나열되어 있습니다. 각 링크는 해커 공격의 돌파구가 될 수 있으며 개발자와 프로젝트 당사자의 두 배의 관심을 받을 가치가 있습니다.
1. 가상머신
2. P2P 노드 검색 및 데이터 동기화 모듈
3. 블록 분석 모듈
4. 거래 분석 모듈
5. 합의 프로토콜 모듈
…
보안 개발 모범 사례
풍부한 사례 검토와 공격 및 방어 사례를 통해 체계적인 보안 대응 아이디어를 추출합니다.
보안 보호 측면에서 이 보고서는 블록 및 트랜잭션 처리, 스마트 계약 가상 머신, 로그 시스템 및 RPC 인터페이스, DoS 공격을 방지하기 위한 P2P 프로토콜 설계 및 전송 계층 암호화를 다루는 체인 개발 모범 사례에 대한 자세한 제안을 구체적으로 제공합니다. 인증, 퍼징 및 정적 코드 분석, 제3자 보안 감사 프로세스 및 기타 측면을 통해 우리는 블록체인 프로젝트의 전체 라이프사이클에 대해 명확하고 실행 가능한 보안 지침을 제공하기 위해 노력합니다.
