Back to Blog

BlockSec의 L2 블록체인 보안에 대한 관점과 솔루션

Code Auditing
February 1, 2024
4 min read

L2 솔루션은 블록체인의 확장성 문제를 해결하기 위해 최근 블록체인 분야에서 상당한 인기를 얻고 있습니다. L2 솔루션을 통해 애플리케이션은 고빈도 트랜잭션을 처리하기 위한 애플리케이션 체인이라는 자체 체인을 개발할 수도 있습니다. L2beat의 데이터에 따르면, 37개의 활성 프로젝트가 있으며, TVL(2024년 2월 1일 기준)은 207억 9천만 달러입니다.

그러나 L2 블록체인의 인기와 함께, 개인 키 보안 확보 방법, 크로스체인 및 상위 프로토콜 트랜잭션 보안 방법, 개발자를 위한 보안 개발 인프라 제공 방법 등 해결해야 할 몇 가지 보안 과제가 발견되었습니다.

이 블로그에서는 먼저 이러한 과제들을 체계적으로 검토한 후 솔루션을 제안합니다.

L2가 필요한 이유

왜 L2 블록체인이 필요할까요? 기술적 관점과 재정적 관점에서 각각 다른 이유가 있다고 생각합니다.

기술적 관점

L2 블록체인의 동기는 L1 블록체인의 확장성 문제를 해결하기 위한 것입니다. 기본 아이디어는 모든 트랜잭션을 L1 체인에 제출하는 대신(블록 크기 및 합의 메커니즘으로 인해 이미 혼잡한), 트랜잭션을 별도의 체인(L2 체인이라고 함)에서 실행하고 상태 변경 요약만 L1 체인에 제출하는 것입니다. 이는 Chainlink의 다음 그림에 나와 있습니다.

이미지 출처: ChainLink

재정적 관점

또 다른 동기는 재정적 관점, 즉 새로운 애플리케이션 체인에 에코시스템을 구축하는 것입니다. 이는 애플리케이션에 여러 가지 이점을 제공할 수 있습니다.

  • 첫째, 애플리케이션 체인은 더 빠른 트랜잭션 처리와 낮은 가스 소비를 통해 사용자 비용을 절감하고 사용성을 향상시킬 수 있습니다. 이는 애플리케이션 체인의 경제적 성장으로 이어질 수 있습니다.

  • 둘째, 체인은 개발자 및 비즈니스 파트너를 위한 맞춤형 인센티브 메커니즘을 제공할 수 있습니다. 예를 들어, 가스 수수료를 공유하거나 트랜잭션 경매와 같은 새로운 시장을 만들 수도 있습니다.

  • 셋째, 에코시스템을 구축함으로써 더 많은 비즈니스 파트너를 초대하여 L1 블록체인에서 충족할 수 없거나 비용이 너무 많이 드는 요구 사항을 충족시킬 수 있습니다.

물론, 지금까지 논의한 것은 이더리움 기반의 L2 체인에 관한 것입니다. BTC L2라고 불리는 일부 L2 솔루션도 있습니다. 자세히 설명하지는 않겠지만, 일부는 BTC 네트워크에서 제공하는 유동성(BTC 및 NFT, 인스크립션과 같은 기타 토큰 포함)을 활용하여 EVM 호환 체인으로 브리징하고 있습니다.

보안 요구 사항 및 과제

L2 블록체인 운영자가 고려해야 할 몇 가지 보안 과제가 있다고 생각합니다. L2 블록체인이 너무 빠르게 등장하여 기반 인프라, 운영 경험, L2 블록체인 운영에 대한 보안 지식이 뒤처지고 있기 때문에 이는 더욱 중요합니다. 이는 각 L2 체인의 전체 에코시스템에 피해를 줄 수 있습니다.

  • 첫째, L2 체인 자체는 체인 상위 프로토콜의 보안에 대한 충분한 인식을 갖춰야 하며, 특히 주요 TVL이 소수의 프로토콜에서 비롯되는 애플리케이션 체인의 경우 더욱 그렇습니다. 이는 의심스럽고 악의적인 스마트 컨트랙트 및 트랜잭션을 실시간으로 감지하고 즉각적인 조치를 취하는 능력이 필요합니다. 공격에 대응하기 위한 보안 사고 대응 절차가 마련되어야 합니다.

  • 둘째, L2 체인에 사용되는 개인 키를 보호하는 아키텍처를 사용해야 합니다. 예를 들어, OP 롤업 스택에서는 시퀀서가 L2의 블록 서명에 사용되고, 배처는 L1에서 트랜잭션을 게시하는 데 사용됩니다. 이러한 중요한 개인 키가 유출되면 L2 체인의 전체 보안이 위협받게 됩니다.

  • 셋째, 체인을 위한 보안 도구 또는 프레임워크를 개발해야 합니다. 예를 들어, 의심스러운 트랜잭션을 분석하고 보안 테스트를 수행하는 도구를 개발해야 합니다. 커뮤니티의 보안 연구자들은 이러한 도구를 활용하여 트랜잭션을 분석하고 보안 영향을 신속하게 파악할 수 있습니다.

  • 마지막으로, L2 체인의 기반 클라우드 인프라 보안을 고려해야 합니다. 예를 들어, L2 노드가 DDoS 공격을 받거나, 클라우드 인프라의 액세스 토큰이 소셜 엔지니어링 공격 등 다양한 방법으로 유출될 수 있습니다. 사전에 완화 조치 및 보안 정책을 준비해야 합니다.

솔루션

풀스택 보안 제공업체로서, BlockSec은 심층 보안 파트너가 되어 서비스와 도구를 통해 L2 블록체인 보안을 지원할 수 있습니다.

  • 고품질 보안 코드 감사. BlockSec은 DeFi 프로토콜에 철저한 코드 감사 서비스를 제공합니다. 학술 연구를 기반으로 한 정적 분석 도구, 동적 퍼징, 차등 테스트 프레임워크를 활용하여 프로토콜과 기반 EVM 실행 엔진을 포함한 코드 감사를 수행합니다. 블록체인 실행 엔진(EVM 및 RBPF)에서 여러 취약점을 발견하여 100만 달러 이상의 보상을 받았습니다.

  • 공격 트랜잭션 모니터링 및 차단. 검증된 기술을 통해 BlockSec Phalcon은 L2로의 직접 트랜잭션과 L1에서의 크로스체인 트랜잭션을 포함한 공격 트랜잭션 모니터링을 지원할 수 있습니다. 또한 LayerZero 또는 Celer와 같은 토큰 브리지를 통해 다른 L1/L2 체인에서 브리지된 자산을 보호하는 데도 도움을 드릴 수 있습니다. 또한 공격 트랜잭션을 차단하는 보다 능동적인 솔루션을 L2 체인에 깊이 통합할 수 있습니다(자세한 내용은 문의해 주세요).

  • 개인 키 보호를 위한 하드웨어 기반 솔루션. 보안 하드웨어 내에서 개인 키를 생성 및 관리하고 트랜잭션에 서명하는 서비스를 제공합니다. 핫 월렛의 모든 장점과 콜드 월렛의 보안성을 갖추고 있습니다. 필요에 따라 더 많은 알고리즘을 지원할 수 있는 확장성을 갖추고 트랜잭션을 안전하게 서명할 수 있습니다. MPC 및 HSM과 같은 다른 솔루션보다 더 유연하고 효율적이며 실용적입니다.

  • 보안 개발 도구 및 플랫폼. Phalcon Explorer는 보안 커뮤니티가 공격 트랜잭션을 분석하여 근본 원인을 파악하는 데 사용하는 사실상의 분석 도구입니다. 커뮤니티에서 수백 건의 보안 사고 분석에 활용되었습니다. Phalcon Fork는 미러링된 상태의 포크 네트워크에서 보안 테스트를 수행하는 데 사용할 수 있는 플랫폼입니다. 당사 도구로 L2 체인을 지원받으시려면 주저하지 말고 문의해 주세요.

  • 보안 사고 대응. BlockSec은 DeFi 해킹에서 공격 근본 원인과 취약점을 가장 빠르게(혹은 최초로) 파악하는 보안 업체입니다. 프로토콜의 보안 패치 검토(Telcoin), 화이트 펀드 구출[예: AnySwap, TransitSwap, Paraspace, Loot], 해커 자금 흐름 추적, Hopeland 공격자 신원 파악을 지원할 수 있습니다.

요약

L2 블록체인의 적절한 활용은 기회를 창출하지만 심각한 보안 과제도 직면합니다. 당사의 보안 솔루션은 L2 블록체인의 코드 감사, 해킹 감지 및 차단, 개인 키 보호, 보안 개발 도구 제공, 보안 사고 해결을 지원할 수 있습니다.

지금 바로 문의([email protected])하여 L2 체인을 보호하고 사용자의 신뢰를 얻으세요!

Sign up for the latest updates
~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리
Security Insights

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리

이 주간 블록체인 보안 보고서는 2026년 6월 15일~21일을 다루며, 이더리움과 BNB 체인에서 3건의 주요 사고가 발생해 약 $18.3M의 손실이 발생했습니다. jaredFromSubway 사건은 MEV 봇이 차익거래를 위해 신뢰할 수 없는 제3자 컨트랙트에 자산을 승인한 역방향 승인 공격으로, 가짜 래퍼 토큰과 스왑 풀을 이용해 약 $15M 손실이 발생했습니다. Aztec은 이스케이프 해치 ZK 회로의 제약 누락으로 공격자가 가짜 머클 트리로 온체인 검증을 통과했습니다.

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

BlockSec가 Web3 Companion을 오픈소스로 공개했습니다. 이 보안 중심의 에이전트 지갑은 자체 AI 에이전트를 신뢰하지 않는 방식으로 설계되었으며, 키 격리, 강력한 정책, Passkey를 활용해 온체인 자산을 보호합니다.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit