이 시리즈의 기사는 OKX Web3와 BlockSec이 공동 기획한 "Security Special Edition 05"에서 발췌한 것으로, DeFi 사용자와 DeFi 프로젝트 팀이 직면한 보안 문제를 다룹니다.
Q1 : DeFi 참여 시 사용자는 어떻게 모니터링 인식을 구축하는가
OKX Web3 지갑 보안팀 : 웨일 사용자를 예로 들면, 웨일은 주로 대규모 자금을 보유한 개인 투자자 또는 소규모 투자 기관 팀을 의미하지만, 일반적으로 강력한 보안 팀을 갖추지 못했으며 자체적으로 보안 도구를 개발할 능력도 없습니다. 따라서 지금까지 대부분의 웨일들은 실제로 충분한 위험 인식이 부족했으며, 그렇지 않았다면 그토록 큰 손실을 입지 않았을 것입니다.
막대한 손실의 위험으로 인해, 일부 웨일 사용자들은 의식적으로 여러 공개적으로 이용 가능한 보안 도구에 의존하여 위험을 모니터링하고 감지하게 되었습니다. 현재 모니터링 제품을 개발하는 팀이 많지만, 선택이 매우 중요합니다. 다음은 몇 가지 핵심 사항입니다:
첫째, 도구 사용 비용입니다. 많은 도구들이 매우 강력하지만 프로그래밍이 필요하며 사용 비용도 저렴하지 않습니다. 사용자가 컨트랙트 구조를 파악하거나 주소를 수집하는 것조차 쉽지 않습니다.
둘째, 정밀도입니다. 밤에 여러 번의 경보가 연속으로 울렸는데 오탐(false positive)으로 판명되는 상황을 원하는 사람은 없습니다. 따라서 정확도 역시 매우 중요합니다.
마지막으로, 보안성입니다. 특히 이 규모의 자금에서는 도구 개발 및 해당 팀의 다양한 보안 위험을 무시할 수 없습니다. 최근 Gala Game 공격 사건은 안전하지 않은 제3자 서비스 제공업체 도입으로 인한 것으로 알려져 있습니다. 따라서 신뢰할 수 있는 팀과 믿을 수 있는 제품이 필수적입니다.
지금까지 많은 웨일들이 우리를 찾아왔으며, 우리는 그들에게 전문적인 자산 관리 솔루션을 추천하여 웨일 사용자들이 자금의 안전을 보장하면서도 "채굴, 출금, 판매"와 같은 일상적인 자금 관리를 고려하고 위험을 감지하며, 긴급 상황에서 자금을 인출할 수 있도록 합니다.

Q2 : DeFi 참여 및 보안 위험 처리에 관한 보안 팁
BlockSec 보안팀 : 대규모 자금 참여자의 경우, DeFi 프로토콜에 참여할 때 가장 중요한 것은 원금의 안전을 보장하는 것이며, 잠재적인 보안 위험을 철저히 연구한 후에 투자해야 합니다. 자금의 안전을 보장하기 위해 고려해야 할 몇 가지 측면이 있습니다:
첫째, 프로젝트 측의 보안에 대한 강조와 투자에 대해 다각적인 판단을 해야 합니다. 여기에는 프로젝트가 철저한 보안 감사를 받았는지, 프로젝트 측이 프로젝트 보안 위험을 모니터링하고 자동으로 대응할 능력이 있는지, 그리고 좋은 커뮤니티 거버넌스 메커니즘이 있는지 여부가 포함됩니다. 이 모든 것들은 프로젝트 측이 사용자 자금의 안전을 중요한 위치에 두고 있는지, 그리고 사용자 자금의 안전에 대해 매우 책임감 있는 태도를 가지고 있는지를 반영할 수 있습니다.
둘째, 대규모 자금 참여자들은 자체적인 보안 모니터링 및 자동 대응 시스템을 구축해야 합니다. 투자된 프로토콜에서 보안 사고가 발생할 경우, 대규모 자금 투자자들은 첫 번째 순간에 이를 인지하고 자금을 인출하여 가능한 한 손실을 최소화할 수 있어야 하며, 모든 희망을 프로젝트 측에 맡겨서는 안 됩니다. 2023년 Curve, KyberSwap, Euler Finance와 같은 프로젝트에 대한 주목할 만한 공격을 살펴보면, 대규모 투자자들이 종종 적시 경보를 놓치고 자체적인 보안 모니터링 및 긴급 출금 시스템이 없다는 것이 분명합니다.
또한, 투자자들은 투자된 프로젝트 대상의 보안에 지속적으로 주의를 기울이기 위해 좋은 보안 파트너를 선택해야 합니다. 프로젝트 측의 코드 업그레이드, 중요한 매개변수 변경 등은 적시에 인지하고 위험을 평가해야 합니다. 이러한 작업은 전문 보안 팀과 도구의 참여 없이는 달성하기 어렵습니다.
마지막으로, 개인 키의 보안을 보호하는 것이 필요합니다. 빈번한 거래가 필요한 계정의 경우, 온라인 다중 서명과 오프라인 개인 키 보안 솔루션을 결합하여 단일 주소와 단일 개인 키 손실 후 단일 지점 위험을 제거하는 것이 가장 좋습니다.
투자된 프로젝트가 보안 위험에 직면하면 어떻게 해야 할까요?
웨일 및 투자자 누구에게나, 보안 사고 발생 시 첫 번째 반응은 반드시 원금을 보호하는 것이며, 가능한 한 빨리 자금을 인출하는 것이 최우선 과제라고 생각됩니다. 그러나 공격자들은 보통 매우 빠르며, 수동 작업은 종종 너무 늦기 때문에 위험에 따라 자동으로 자금을 인출하는 것이 가장 좋습니다. 현재 우리의 공격 모니터링 및 차단 플랫폼인 Phalcon은 공격 트랜잭션을 탐지한 후 자동으로 자금을 인출하여 사용자가 먼저 대피할 수 있도록 돕습니다.
둘째, 손실이 발생한 경우, 교훈을 얻는 것 외에도 프로젝트 측이 보안 회사의 도움을 받아 손상된 자금을 추적하고 모니터링하도록 적극적으로 촉진해야 합니다. 전체 암호화폐 업계의 보안에 대한 관심이 높아지면서 회수되는 자금의 비율이 점차 증가하고 있습니다.
마지막으로, 상당한 규모의 보유자의 경우, 보안 회사에 의뢰하여 전체 투자 포트폴리오의 유사한 취약점을 감사하는 것을 고려하십시오. 많은 공격이 공통적인 근본 원인에서 비롯되는데, Compound V2 사건에서 볼 수 있듯이 다른 프로젝트에도 유사한 점이 있었습니다. 보안 회사는 투자 전반에 걸친 위험을 식별하여 프로젝트 팀과 신속하게 소통하거나 필요한 경우 전략적 철수를 할 수 있도록 합니다.
OKX Web3 지갑 보안팀 : DeFi 프로젝트에 참여할 때, 사용자들은 다양한 조치를 취하여 DeFi 프로젝트에 더 안전하게 참여하고, 자금 손실 위험을 줄이며, 탈중앙화 금융이 가져다주는 이점을 누릴 수 있습니다. 사용자 수준과 OKX Web3 지갑 수준 두 가지 측면에서 설명하겠습니다.
첫째, 사용자를 위해:
- 1)감사를 받은 프로젝트 선택: ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK와 같은 잘 알려진 제3자 감사 회사에 의해 감사된 프로젝트를 우선시하고, 공개 감사 보고서를 검토하며, 잠재적 위험과 취약점 수정 사항을 이해하십시오.
- 2)프로젝트 배경 및 팀 이해: 프로젝트의 백서, 공식 웹사이트, 개발팀의 배경을 연구하여 프로젝트의 투명성과 신뢰성을 확인하십시오. 소셜 미디어와 개발 커뮤니티에서 팀의 활동에 주의를 기울여 기술적 역량과 커뮤니티 지원을 이해하십시오.
- 3)투자 다각화: 모든 자금을 단일 DeFi 프로젝트나 자산에 투자하지 마십시오; 다각화는 위험을 줄일 수 있습니다. 대출, DEX, 파밍 등과 같은 여러 다양한 유형의 DeFi 프로젝트를 선택하여 위험 노출을 분산하십시오.
- 4)소액으로 테스트: 대규모 거래를 하기 전에 먼저 소액 테스트 거래를 통해 운영 및 플랫폼의 안전성을 확인하십시오.
- 5)정기적인 계정 모니터링 및 긴급 처리: DeFi 계정과 자산을 정기적으로 확인하여 비정상적인 거래나 활동을 적시에 감지하십시오. Etherscan과 같은 도구를 사용하여 온체인 거래 기록을 모니터링하고 자산 안전을 보장하십시오. 이상 현상을 감지한 후에는 계정의 모든 권한 취소, 지갑 보안팀에 지원 요청 등과 같은 긴급 조치를 적시에 취하십시오.
- 6)새 프로젝트에 주의: 방금 출시되었거나 검증되지 않은 프로젝트에 대해 신중한 태도를 유지하십시오. 먼저 소액의 자금을 투자하여 테스트하고, 운영 및 보안을 관찰하십시오.
- 7)주류 Web3 지갑 사용: DeFi 프로젝트와 상호작용할 때는 주류 Web3 지갑만 사용하십시오. 이는 더 나은 보안 보호를 제공합니다.
- 8)피싱 공격 주의: 낯선 링크와 출처를 알 수 없는 이메일을 클릭할 때 주의하고, 신뢰할 수 없는 웹사이트에 개인 키나 니모닉을 입력하지 말며, 방문하는 링크가 공식 웹사이트인지 확인하십시오. 지갑과 애플리케이션을 다운로드할 때는 공식 채널을 이용하여 소프트웨어의 진위성을 보장하십시오.
둘째, OKX Web3 지갑의 관점에서:
우리는 사용자 자금의 안전을 보호하기 위해 많은 보안 메커니즘을 제공합니다:
-
1)위험 도메인 탐지: 사용자가 DAPP에 접근할 때, OKX Web3 지갑은 도메인 수준에서 탐지 및 분석을 수행합니다. 사용자가 악성 DAPP에 접근할 경우, 사용자가 속지 않도록 차단하거나 경고합니다.
-
2)허니팟 토큰 탐지: OKX Web3 지갑은 허니팟 토큰에 대한 포괄적인 탐지를 지원하며, 지갑 내에서 이러한 토큰을 사전에 차단하여 사용자가 이와 상호작용하는 것을 방지합니다.
-
3)주소 태그 라이브러리: OKX Web3 지갑은 풍부하고 포괄적인 주소 태그 라이브러리를 제공하며, 사용자가 의심스러운 주소와 상호작용할 때 적시에 경고를 제공합니다.
-
4)트랜잭션 사전 실행: 트랜잭션이 제출되기 전에 OKX Web3 지갑은 트랜잭션 실행을 시뮬레이션하고 사용자 참고를 위해 자산 및 권한 변경 사항을 표시합니다. 사용자는 결과가 예상에 부합하는지 판단하고 이를 바탕으로 트랜잭션을 계속할지 여부를 결정할 수 있습니다.
-
5)DeFi 애플리케이션 통합: OKX Web3 지갑은 다양한 주류 DeFi 프로젝트의 서비스를 통합하여 사용자가 통합된 DeFi 프로젝트와 자신 있게 상호작용할 수 있도록 합니다. 또한, OKX Web3 지갑은 DEX, 크로스체인 브릿지 및 기타 DeFi 서비스에 대한 경로 추천을 제공하여 사용자에게 최상의 DeFi 서비스와 최적의 가스 솔루션을 제공합니다.
-
6)추가 보안 서비스: OKX Web3 지갑은 더 많은 보안 기능을 점진적으로 추가하고 고급 보안 보호 서비스를 개발하여 OKX 지갑 사용자의 안전을 더 잘, 더 효율적으로 보장합니다.



