> 웹3.0 > Cobo 보안 팀: Bullish DeFi 대화형 가이드

Cobo 보안 팀: Bullish DeFi 대화형 가이드

WBOY
풀어 주다: 2024-02-28 16:10:07
앞으로
1192명이 탐색했습니다.

최근 몇 년간 DeFi(탈중앙화 금융) 분야가 많은 주목을 받고 있으며, 그 혁신성과 하이리스크 또한 화제가 되고 있습니다. 강세장에서는 DeFi 프로젝트가 호황을 누리며 많은 투자자들의 관심을 끌고 있습니다. 기회와 도전으로 가득 찬 이 분야에서 자산의 안전을 보장하는 방법은 투자자들의 공통된 관심사가 되었습니다. Cobo 보안팀은 투자자들이 DeFi 생태계의 위험과 기회를 더 잘 이해하고 파악하는 데 도움이 되는 귀중한 참고 자료와 지침을 제공하는 "강세장 DeFi 대화형 가이드"를 출시했습니다.

Cobo 安全团队:牛市 DeFi 交互指南

2019년 DeFi Summer가 출시된 이후 이더리움을 중심으로 점점 더 창의적인 분산형 금융 프로토콜(DeFi 프로토콜)이 등장했으며, 이로 인해 체인의 자산 가용성이 크게 향상되고 블록체인 사용자가 더 나은 온체인 자산을 활용하여 보다 다양한 금융 활동을 수행하고 실질적인 수익을 창출합니다. 그러나 점점 더 많은 DeFi 프로토콜이 등장하면서 보안 문제도 발생합니다. 불완전한 통계에 따르면 2023년에만 블록체인 공격으로 인한 자산 손실이 26억 1천만 달러에 달했습니다. DeFi 프로토콜에 참여하는 과정에서 해당 수익 기대치를 평가하는 것 외에도 프로토콜의 보안에 대한 평가도 무시할 수 없으며 그렇지 않으면 사용자에게 큰 손실을 가져올 수 있음을 알 수 있습니다.

일반적으로 현재 프로토콜 보안 평가의 주류 정의는 코드 보안 평가입니다. 이 정의의 차원은 상대적으로 단일합니다. 여기서 문제는 평가 자체가 정적 프로세스의 프로토콜 보안만 고려한다는 것입니다. DeFi 상호 작용 프로세스에서는 계정 관리, 프로토콜 상호 작용 전 준비, 상호 작용 완료 후 자산 관리, 데이터 모니터링, 극단적인 경우 자산 손실 후 자체 구조 등 보안이 동적인 경우가 많습니다.

DeFi 초보자 마을에 진입하려는 사용자로서 수입을 얻으면서 자금의 보안을 극대화할 수 있는 방법은 무엇입니까? Cobo 보안 팀은 강세장에서 모든 사람의 DeFi 보안 상호 작용에 영감을 주고 도움이 되기를 바라며 DeFi 상호 작용의 일반적인 보안 위험과 해당 보안 예방 조치를 정리했습니다.

DeFi 상호 작용의 일반적인 보안 위험 및 예방 조치

1. 계정 개인 키 유출

계정 개인 키 유출은 다양한 문제로 인해 초보 사용자가 겪을 가능성이 더 높은 문제 중 하나입니다. 많은 초보 사용자는 안전하지 않은 지갑을 다운로드하여 개인 키를 생성하는 데 사용하므로 개인 키가 공격자에게 악의적으로 다시 전송되어 개인 키가 유출됩니다. 많은 숙련된 사용자들은 특정 날짜에 모든 자산이 기본 계정에서 이체된 것을 발견했으며, 대부분의 하루 동안 분석한 결과 모든 동작이 정상인 것으로 나타났습니다. 이 경우 대부분의 경우 계정은 안전하지 않은 지갑을 사용하여 생성되었습니다. 개인 키가 오랫동안 유출되었습니다.

동시에 블록체인 에어드랍으로 인한 부 효과로 인해 많은 초보 사용자는 소위 에어드롭 웹사이트를 무작정 클릭할 것입니다. 청구되지 않은 토큰. 이익을 추구하는 많은 초보 사용자는 웹 페이지를 통해 자신의 계정 개인 키를 입력하도록 유도되어 개인 키가 유출될 수 있습니다.

개인키 유출을 방지하기 위해 사용자는 다음 사항을 준수해야 합니다.

잘 알려진 블록체인 지갑을 선택하고 공식 웹사이트에서 다운로드하는 것을 권장합니다. 자격을 갖춘 사용자의 경우 자산 보안을 강화하기 위해 하드웨어 지갑을 사용하는 것이 좋습니다.

개인 키를 일반 텍스트로 인터넷에 노출하지 말고 개인 키를 웹페이지에 임의로 입력하지 마세요.

2. 시그니처 피싱 위험

시그니처 피싱 위험은 개인키 유출과 동일하며, 초보 사용자들이 가장 많이 피해를 입는 영역이기도 합니다. 이러한 유형의 피싱 공격은 사용자에게 개인 키를 입력하도록 직접 요구하는 것과 달리 사용자가 사용자 관련 자산에 대한 승인을 얻기 위해 거래나 서명을 시작하도록 유도합니다. 이는 고도로 은폐되어 분석하기 어렵고 탐지하기 어렵습니다.

일반적으로 공격자는 먼저 사용자를 피싱 웹페이지로 유도한 후 에어드롭 수신, 로그인 확인 등의 명목으로 사용자에게 서명을 시작하도록 요청합니다. 이때 사용자의 브라우저 지갑은 사용자에게 서명을 완료하라는 메시지를 표시합니다. 서명.

피싱 거래에는 다양한 유형이 있을 수 있습니다.

직접 이체 유형. ETH를 직접 전송하거나 ERC20 전송 호출을 통해 지갑 자산을 공격자의 주소로 전송하세요.

유형을 승인합니다. 공격자의 지갑을 인증하기 위해 ERC20 Approve 메소드를 호출하세요. 사용자가 서명할 때 자산 이전이 발생하지 않습니다. 그러나 공격자의 지갑은 transferFrom을 호출하여 사용자 자산을 전송할 수 있습니다.

EIP712 메시지 서명. ERC20 허가 방법, NFT 보류 중인 주문 서명 등 이러한 서명은 일반적으로 Json 데이터 또는 올바른 형식의 트리 데이터로 지갑에 표시됩니다. 사용자가 서명하면 거래가 시작되지 않으며 가스 소비도 없습니다. 그러나 서명 결과는 피싱 웹사이트에 기록되며, 공격자는 서명 결과를 이용해 피해자의 ERC20 또는 NFT 자산을 전송할 수 있습니다.

원본 해시 서명. 서명 데이터는 16진수 해시 데이터로, 서명 데이터 자체에서는 구체적인 서명 내용을 유추할 수 없습니다. 해시 뒤에는 위의 1~3가지 유형의 데이터가 있을 수 있습니다. 서명으로 인해 자산 손실이 발생할 수 있습니다. 그러나 현재 주류 지갑은 일반적으로 이 서명 방법을 금지하거나 명백한 위험 경고를 제공합니다.

최근 사례에서 일부 피싱 웹사이트에서는 사용자에게 여러 개의 연속 서명을 요구하며 처음 몇 개의 서명은 무해하고 정상적인 서명인 것으로 밝혀졌습니다. 그런 다음 악성 서명을 혼합합니다. 사용자의 조작 관성을 사용하여 사용자가 서명 작업을 완료하도록 유도합니다.

피싱으로 인한 금전적 손실을 방지하기 위해서는 블라인드 서명을 거부하는 것이 핵심입니다. 각 서명을 주의 깊게 검토하고 내용이 불확실한 거래에 서명하는 것을 거부하세요. 특히 서명 과정에서 다음 사항에 주의할 수 있습니다.

대화형 웹사이트가 DeFi 프로젝트의 공식 웹사이트인지 확인하고 전체 도메인 이름을 확인하세요.

이전 및 승인 방법을 중심으로 계약에서 호출하는 방법을 확인하세요.

거래에 첨부된 ETH 전송을 확인하세요. 일부 피싱 웹사이트는 안전해 보이는 방법(예: 청구)을 구성하려고 시도하지만 호출 시 실제로는 ETH 전송을 포함하므로 ETH와 같은 체인 기반 토큰이 손실됩니다.

원래 해시 콘텐츠에 서명하지 마세요.

3. 전송 주소 중독

전송 주소 중독은 최근에 등장한 비교적 새로운 공격 방법입니다. 공격 방법은 사용자가 전송을 시작할 때 수신 주소와 유사한 수신 주소를 사용하는 것입니다(ERC20, 네이티브 토큰 등). .) 주소, 동일한 금액의 거래를 사용자에게 보내거나, 동일한 금액의 거래를 보내지만 해당 토큰은 가짜 토큰입니다.

예:

Alice는 매월 고정 금액 1 ETH를 Bob에게 급여로 이체합니다. Charlie는 이 거래를 모니터링하고 Bob과 유사한 주소(주소의 처음 8자리와 마지막 8자리가 동일함)를 사용하여 Alice에게 0.001 ETH를 보냈습니다. 이 작업 후, 다음에 Alice가 Bob에게 돈을 이체할 때 Charlie의 주소를 거래 수신 주소로 사용할 수 있습니다. 이런 일이 발생하는 이유는 블록체인 주소가 길고 불규칙하기 때문에 사용자가 기억하기 어렵기 때문에 사용자가 편의를 위해 마지막 거래 기록에서 직접 주소를 복사하는 경우가 많기 때문입니다. Charlie와 Bob의 주소는 매우 유사하기 때문에 Alice가 구별하기가 어렵고 결국 자산 손실로 이어집니다.

이체 주소가 오염되는 것을 방지하기 위해 사용자는 다음과 같은 조치를 취할 수 있습니다.

각 거래의 이체 주소를 확인하고 앞뒤 바이트를 비교하는 대신 전체 내용을 확인하세요.

자주 사용하는 주소를 주소 화이트리스트(주소록)에 설정하고, 별칭을 설정해 주소록에 있는 주소만 전송해 보세요.

온체인 채널(블록체인 브라우저, 지갑 거래 기록 등)의 주소를 전송 대상으로 복사하지 마세요.

4. 토큰 과잉 승인

토큰 승인은 DeFi 상호 작용의 거의 첫 번째 단계입니다. DeFi 작업을 수행할 때 거래 데이터는 사용자의 구조가 아닌 프로젝트의 웹 페이지를 통해 구성되므로 일반적인 상황에서는 반복적인 승인 없이 사용자의 다중 상호 작용을 용이하게 하기 위해 프로젝트의 웹 페이지에서는 일반적으로 사용자에 대한 무제한 승인 트랜잭션을 구성합니다. 징후. 출발점은 사용자를 위해 가스를 절약하는 것이지만 이는 또한 후속 자금 보안에 숨겨진 위험을 초래합니다. 승인되지 않은 인터페이스나 임의 호출 취약점 등 후속 프로젝트 코드에서 문제가 발생할 경우 사용자의 계약에 대한 무제한 권한이 공격자에게 악용되어 사용자 자산이 이전될 수 있습니다. 이 공격 시나리오는 크로스체인 브리지와 DEX 프로토콜에서 더 일반적입니다.

후속 프로젝트에서 업그레이드 중 위험한 코드가 도입되거나 프로젝트 코드 자체에서 발견되지 않은 취약점이 발생하는 것을 방지하기 위해 사용자는 최소 승인 원칙을 채택하고 이 거래에 사용된 금액만 승인하여 후속 프로젝트 위험이 영향을 미치지 않도록 해야 합니다. 자신의 자산 손실.

5. 안전하지 않은 DeFi 운영

상호작용 전 준비 외에도 상호작용 과정에서 무시하기 쉬운 위험도 많이 있습니다. 이러한 위험은 일반적으로 사용자가 프로젝트 자체에 대한 이해 부족으로 인해 발생합니다. 구체적인 예는 다음과 같습니다.

온체인 교환 프로토콜을 통해 토큰을 교환할 때 슬리피지 설정이 너무 크거나 스왑을 수행하기 위한 스크립트를 작성할 때 최소 수신 수량(작성 편의상 0으로 설정)이 설정되지 않아 거래가 발생하는 경우 MEV 로봇에 의해 "중단"됩니다.

온체인 대출 프로토콜을 통해 대출 업무를 수행할 때 포지션 건전성이 적시에 관리되지 않아 큰 시장 변동 시 포지션이 청산되는 일이 발생했습니다.

일부 프로젝트와 상호 작용할 때 Uniswap V3의 NFT 자격 증명을 OpenSea에서 판매되는 일반 NFT로 취급하는 등 프로젝트 당사자의 자격 증명이 잘 보관되지 않았습니다.

이러한 위험을 방지하기 위해 사용자는 프로젝트와 상호 작용할 때 해당 프로젝트 조사를 수행하고 프로젝트 메커니즘과 관련 특성을 명확히 하며 자산 손실을 방지해야 합니다.

안전한 거래를 위한 DeFi의 새로운 패러다임 - Cobo Argus

위에서는 블록체인에서 DeFi 활동의 일반적인 상호 작용 위험을 소개합니다. 사용자가 실수로 이러한 함정 중 하나에 빠지면 수년간의 노력이 손실될 수 있으며, 조금만 부주의해도 복구할 수 없는 피해를 입을 수 있습니다. 그렇다면 안전하고 효과적이며 관리하기 쉬운 위험 통제 계획이 있을까요? 새로운 옵션은 Cobo Argus입니다.

Cobo Argus는 Cobo 팀이 개발하고 Gnosis Safe를 기반으로 구축된 온체인 위험 제어 제품입니다. 주요 기능은 다양한 ACL 전략을 구성하여 사용자 거래를 분석하고 위험 통제 규칙을 준수하지 않는 거래를 차단하여 사용자 자금의 안전을 보장하는 것입니다.

Cobo Argus는 DeFi 환경의 보안 위험에 어떻게 대처하나요?

1. 하위 수준 다중 서명 지갑, 상위 수준 단일 서명 인증: 개인 키 유출의 단일 지점 위험을 방지하고 피싱 위험을 완화하며 운영 효율성을 보장합니다

Cobo Argus는 Safe {Wallet} 기반의 다중 서명 지갑 본 제품의 기반이자 핵심은 다중 서명 계약 지갑입니다. 따라서 Cobo Argus는 Safe {Wallet} 다중 서명 지갑의 보안을 자연스럽게 상속받습니다.

자금 관리를 단일 개인 키에서 여러 개인 키의 공동 유지 관리로 변경하면 단일 개인 키 유출로 인한 자산 손실/잠금 위험을 제거할 수 있습니다. 다중 서명 지갑 자체는 거래 실행을 시작하기 위해 여러 서명이 필요하며 단일 주소의 개인 키가 유출되더라도 전반적인 자금 보안에는 영향을 미치지 않습니다. 또한 다중 서명 지갑의 보안을 보장하기 위해 분실되거나 위험한 단일 서명 주소를 대체하기 위해 다중 서명 거래를 시작할 수 있습니다.

또한, 단일 서명 주소에서 다중 서명 주소로 전환하려면 거래에 서명할 때 각 사용자가 거래에 서명해야 하기 때문에 거래 내용을 교차 감사하는 것이 도움이 되어 위조 가능성을 크게 줄일 수 있습니다. 피싱.

다중 서명을 위해서는 여러 사람이 검토해야 하며 이는 운영 효율성에 일정한 영향을 미칩니다. Cobo Argus를 사용하면 사용자는 유연한 인증 규칙을 구성하여 위험도가 낮은 특정 고주파 작업(예: 농업 중 정기적인 소득 청구)을 특정 EOA 주소에 인증할 수 있습니다. 이 주소는 다중 서명 지갑 대신 작업을 시작하여 작업 효율성을 향상시킬 수 있습니다. 동시에 주소 권한이 엄격하게 제한되므로 지갑의 전반적인 보안에는 큰 영향을 미치지 않습니다.

2. 맞춤형 로봇: 7*24시간 자동 위험 모니터링 및 대응

Cobo Argus 모니터링 로봇을 구성하면 모니터링해야 하는 조건과 조건이 발생할 때 수행해야 하는 작업을 맞춤 설정할 수 있습니다.

대출 프로젝트의 레버리지 관리를 예로 들 수 있습니다. 사용자는 포지션이 청산에 가까워지면 Argus 로봇을 구성하여 레버리지를 줄이기 위해 담보 보충, 상환 등의 작업을 수행할 수 있습니다. .

3. 맞춤형 ACL 정책

특정 개발 능력을 갖춘 사용자는 모니터링 로봇을 맞춤화하는 것 외에도 맞춤형 ACL(액세스 제어 목록) 계약을 개발하여 보다 유연한 권한 관리를 달성할 수도 있습니다. 이는 Cobo Argus의 핵심 기능 중 하나입니다. 이 기능의 매력을 느낄 수 있는 몇 가지 예는 다음과 같습니다.

주소 중독 공격의 경우 ACL 계약을 작성할 수 있습니다. 사용자는 ACL 계약에서 일반적으로 사용되는 주소를 화이트리스트로 지정할 수 있습니다. 거래 과정에서 ACL 계약이 분석됩니다. 수신 주소(ERC20/네이티브 토큰)를 사용자가 설정한 화이트리스트 주소와 비교하여 수신 주소가 해당 주소 내에 없으면 거래가 성공적으로 완료될 수 없습니다.

과잉 승인 문제를 해결하기 위해 사용자는 ACL 정책 계약을 작성하여 승인 트랜잭션의 승인 금액을 구문 분석하고 토큰의 승인 승인 금액을 사용자가 미리 설정한 값을 초과하지 않도록 제한할 수 있습니다. 또는 1, 관련 토큰의 인증을 정기적으로 삭제하도록 맞춤형 로봇을 구성할 수 있습니다.

슬리피지 검사가 없는 스왑 거래와 같은 안전하지 않은 DeFi 작업의 경우 Argus ACL 전략 계약을 작성하여 교환 거래에 허용되는 최소 슬리피지를 설정할 수 있습니다. 설정이 완료된 후 설정에 따라 ACL 전략 계약을 설정할 수 있습니다. 다양한 스왑 거래에 대해 슬리피지를 분석하여 교환 슬리피지가 충족되지 않으면 해당 거래를 차단할 수 있습니다.

요약

DeFi 상호 작용에는 예방하기 어려운 위험이 많이 있습니다. 기사에 언급된 내용에는 여러 가지 일반적인 시나리오가 포함되어 있지만 모든 위험 지점을 완전히 다룰 수는 없습니다. 사용자는 모든 거래를 신중하게 처리해야 합니다.

Cobo Argus는 사용자에게 일반적인 보안 위험을 방지할 수 있는 안정적이고 구성하기 쉬운 수단을 제공할 수 있습니다. ACL을 통해 유연하고 안전한 인증 관리를 완료하여 운영 효율성을 향상시키는 동시에 보안을 보장하면서 맞춤형 로봇으로 수동 작업을 줄이고 실시간 모니터링 기능을 통해 7*24시간 사용자 자금의 보안을 보장할 수 있습니다.

DeFi는 확실히 사용자에게 상당한 이점을 제공할 수 있지만 꾸준한 자산 성장의 핵심은 자금 보안입니다. Cobo Argus는 모든 DeFi 농부를 보호하고 모든 사람이 강세장에서 더 많은 가치를 창출하도록 돕습니다.

위 내용은 Cobo 보안 팀: Bullish DeFi 대화형 가이드의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:chaincatcher.com
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
최신 이슈
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿