Shenyu와의 대화: 12,000 ETH가 도난당한 나의 개인적 경험과 Web3에서 AI의 역할

吴说区块链｜2025-03-11 12:00

Shenyu는 작년에 12,000 ETH를 피싱당한 경험을 처음으로 공유하며 하드웨어 지갑을 이용한 블라인드 서명의 위험성을 강조하고, 업계에서 계층적이고 분산화된 제로 트러스트 아키텍처를 채택하고 보안 문화 구축을 강화할 것을 촉구했습니다.

이 토론은 Bybit에서 발생한 15억 달러 규모의 도난 사건으로 시작되었으며, 다중 서명 지갑(Safe 등)의 보안 취약성과 그 해결책에 초점을 맞추었습니다. 선위는 다중 서명 지갑이 의존하는 프런트엔드, 하드웨어, 브라우저 및 기타 인프라에 취약한 연결 고리가 있다고 지적했습니다. 특히 프런트엔드 변조 및 블라인드 서명 문제가 심각하며, 이로 인해 거래 의도와 실제 작업 간에 불일치가 발생하고 해커가 쉽게 악용할 수 있습니다. 이를 위해 그는 도메인 이름 허용 목록, 거래 분석 플러그인과 같은 임시 솔루션을 제안했으며, 보안을 강화하기 위해 AI와 제3자 검증을 결합한 종단 간 폐쇄 루프 위험 제어 시스템을 옹호했습니다. 또한, 션위는 작년에 12,000 ETH를 피싱당한 개인적 경험을 처음으로 공유하며, 하드웨어 지갑을 이용한 블라인드 서명의 위험성을 강조하고, 업계에서 계층적이고 분산화된 제로 트러스트 아키텍처를 채택하고 보안 문화 구축을 강화할 것을 촉구했습니다. 그는 또한 국가 차원의 해커 공격에 직면하여 업계는 기술적 반복과 보안 인식 제고를 통해 문제에 대응해야 한다고 언급했습니다. 마지막으로, Shenyu는 AI와 Crypto의 결합에 대한 전망을 기대하고 있으며, AI 에이전트가 미래에 블록체인 네트워크에서 중요한 역할을 수행하고 산업 혁신을 촉진할 수 있을 것이라고 믿습니다.

다중 서명 종속 인프라의 취약성을 반영하여 도메인 이름 허용 목록 및 거래 구문 분석 플러그인과 같은 임시 솔루션을 제안하고 종단 간 폐쇄 루프 위험 제어를 옹호했습니다.

콜린: Bybit 사건에 대한 당신의 견해를 공유해주세요. 그리고 이 사건에서 주목할 만한 점이 무엇이라고 생각하시는지 말씀해주세요.

선위: 사실 이건 매우 일반적인 상황이죠. 현재의 다중 서명 산업 솔루션은 여러 회사에서 개발한 많은 인프라와 중간 서비스에 의존해야 하기 때문입니다. 전통적인 의미에서 이는 더욱 분산화되고 분산화되어 문제가 발생할 가능성이 낮지만, 지금의 문제는 이러한 여러 회사에서 개발한 애플리케이션과 하드웨어 기술 간의 상호작용에 버그와 잠재적인 약점이 있다는 것입니다. 이로 인해 지난 기간 동안 일련의 대규모 보안 사고가 발생했으며, 우리는 국가 차원의 해커 세력에 직면해 왔습니다. 이 질문의 본질은 제가 작년 9월에 공격을 받은 이후로 곰곰이 생각해 온 것입니다. 11월경에 다양한 하드웨어 제조업체에 연락했습니다. 블라인드 서명이 매우 심각한 문제라는 것을 깨달았고, 프런트엔드에서 데스크톱 플러그인, 하드웨어로의 연결도 쉽게 변조될 수 있습니다. 이것이 가장 약한 지점이라는 것을 깨달았습니다. 그 당시 우리는 즉시 OneKey, Ledger 및 다른 회사에 연락하여 몇 가지 솔루션을 논의했습니다. 이 과정에서 몇 가지 문제점이 발견되었고, 다양한 회사에서는 해결책을 내놓았지만, 궁극적으로 해결책을 구현하고 공격에 저항하는 데 어려움을 겪었습니다. 누군가가 앞서 언급했듯이, 반복하는 데 반 년 이상 걸릴 수 있으며 Ledger는 실제로 체계적인 솔루션을 개발했습니다. 계약 때문에 수동적으로 업데이트해야 하며 이 주기도 매우 깁니다. 문제는 이 전체 링크가 교차 링크로 인해 발생하는 허점이나 버그를 어떻게 더 잘 막을 수 있느냐는 것입니다.

현재 시장에 부족한 것은 엔드투엔드 솔루션입니다. 현재 다양한 회사가 솔루션을 결합하고 있지만 결합 과정에서 예상치 못한 사건이 발생할 수 있으며, 해커가 이를 악용할 수 있는 기회가 생길 수 있습니다. 이 과정에서 저는 우리가 먼저 몇 가지 내부 가젯과 몇 가지 데모를 만들었다고 말씀드렸습니다. 첫째, 우리는 웹 페이지에서 열린 웹사이트가 정확하고 변조되지 않았는지 확인하기 위해 도메인 이름 액세스의 허용 목록을 만들었습니다. 이를 통해 일부 전형적인 피싱 공격, 특히 잘못된 URL 입력 및 무작위 웹 페이지 점프와 같은 공격을 방지할 수 있습니다. 두 번째로, 모바일 기기에서 실행할 수 있는 거래 파싱 플러그인을 만들었습니다. 일부 하드웨어 지갑은 QR 코드를 통해 플러그인이나 Safe와 통신하기도 합니다. QR 코드에서 전송된 정보가 변조되었는지 확인한 다음, 하드웨어 지갑에서 파싱된 내용을 확인합니다. 저는 몇 가지 작은 플러그인을 만들었지만, 그것들이 사용하기에는 너무 분산되어 있다고 느꼈습니다. 전체 엔드투엔드 프로세스가 완전히 연결되지 않았고, 사용하기에는 단계가 너무 많았습니다. 그러니 이 사건 이후에도 우리는 계속해서 이 사건에 대해 성찰할 것입니다.

가장 중요한 점은 우리 산업이 현재 수조 달러에 달하는 매우 큰 규모로 성장했으며, 이로 인해 고위 해커 팀의 공격을 유발할 가능성이 높다는 것입니다. 이 과정에서는, 저희 팀원들도 언급했듯이, 수평적으로나 수직적으로 모두 실제로 매우 깊이 파고들어야 합니다. 하지만 업계가 매우 빠르게 발전하고 반복되기 때문에 사람들은 사업을 할 때 이러한 일련의 잠재적 위험을 무시하는 경우가 많습니다. 따라서 이 과정에서 우리의 현재 아이디어 또는 우리가 하고 있는 일은 다양한 개인 키(하드웨어 및 소프트웨어 체인의 개인 키)를 관리해 왔기 때문에 이 과정에서 일련의 위험 관리 역량을 축적하고 일부 위험 제어 엔진을 보유하기를 희망하는 것입니다. 따라서 Safe와 같은 전형적인 시나리오에서 우리가 보관자가 되고 개인 키를 가질 수 있기를 바랍니다. 개인 키를 사용하면 완전히 독립적인 소프트웨어 및 하드웨어 환경 세트와 분석을 위한 일련의 위험 제어 엔진을 갖게 되고, 동시에 이 프로세스에서 맞춤형 감사 솔루션 시리즈를 도입하고, 자동화된 AI 분석과 수동 검토를 도입하고, 몇 가지 블랙리스트와 화이트리스트를 추가하고, 심지어 일부 고급 계약 매개변수 제어 사항도 추가합니다.

실제로 이는 DeFi 프로세스에서 사용해 온 기술이지만 아직 완전히 통합하여 상용화하지는 못했습니다. 이러한 형태의 분산화를 통해 일부 개인 키는 전체 팀이 얻는 것이 아니라 외부 제3자가 독립적으로 얻게 되므로 문제가 종단 간 폐쇄 루프가 되고 제어가 가능해집니다. 이것이 우리의 현재 생각이며, 우리는 실제로 온체인 DeFi 운영 중에 이런 방식으로 운영하고 있습니다. EOA는 실제로 피싱에 특히 취약하고 멀티 시그니처로 마이그레이션하는 것은 Bybit과 유사한 문제에 직면하기 때문입니다. 우리는 특히 긴 링크와 다양한 위험을 가지고 있습니다. 현재 저희의 생각과 해결책은 독립적인 제3자를 도입하고, 그 독립적인 제3자가 완전히 독립적인 기술 스택과 통합된 하드웨어 및 소프트웨어 솔루션을 도입하는 것입니다. 여기에는 위험 제어 엔진이 포함되고, 거래 개시 및 분석, 위험 제어 검토에서 서명 프로세스와의 조정에 이르기까지 폐쇄 루프를 완성하기 위해 일부 AI 기능까지 추가한 다음, 국가 수준 해커의 매우 인내심 있고 장기적인 침투 공격을 피하려고 노력합니다.

Shenyu의 피싱 경험은 하드웨어 지갑을 사용한 블라인드 서명의 위험과 AI와 타사 검증을 결합해야 할 필요성을 강조합니다.

콜린: 방금 EOA 피싱 문제를 언급하셨죠. 또한 귀하의 자산 중 일부가 작년에 실수로 피싱을 당했을 수도 있다는 것을 알고 있습니다. 당시 무슨 일이 있었는지, 그리고 돈이 결국 북한의 소위 해커들에 의해 송금되었는지 기억하십니까?

Shenyu: 당시 제 배경은 어떤 프로젝트가 에어드랍을 진행 중이었습니다. 제 신체 상태가 그렇게 좋지 않았고, 약간 주의가 산만해져서 잘못된 링크를 클릭했습니다. 링크 중 하나에 문제가 있었습니다. 하지만 문제는 자금이 하드웨어 지갑 쪽에 도달했을 때, 우리는 실제로 도메인 이름과 DNS 확인을 위한 제3자 위험 제어 메커니즘을 가지고 있었다는 것입니다. 그 결과, 그 솔루션은 우회되었고, 우리의 위험 제어 시스템은 우연히 목표를 놓쳤습니다. 우회한 후에 조금 주의가 산만해져서 그렇게 주의 깊게 확인하지 않고 하드웨어 지갑 쪽으로 갔는데, 하드웨어 지갑 쪽은 블라인드 서명이기 때문입니다. 그 버튼을 누른 후, 뭔가 잘못된 것 같아서 바로 확인했더니 뭔가 잘못된 게 있었습니다. 나머지는 다 역사가 되었습니다. 그래서 이 일이 일어난 후, 우리는 하드웨어 지갑을 사용하여 블라인드 서명 문제를 해결하게 되었습니다. 이러한 과정에서 작년 국경절에 원키와 다른 당사자들과 회의를 가졌지만, 문제가 쉽게 해결되지 않는다는 것을 깨달았습니다. EOA는 피싱당하기 쉽기 때문에 특히 타겟팅되어 "공격"당하기가 쉽습니다. 그런 다음 우리는 다중 서명을 위해 Safe를 사용하기로 했습니다. 다중 서명 프로세스 중에 저는 이 문제가 어떻게든 더 심각하다는 것을 알게 되었습니다. 기본적으로 모든 거래가 블라인드 서명이었기 때문입니다. 그런 다음 우리는 이러한 문제를 해결하기 위해 많은 작은 도구를 만들어야 했습니다. 궁극적으로 우리는 여전히 폐쇄 루프 솔루션이 필요하며, 하드웨어 지갑은 하드웨어와 소프트웨어 통합이라는 목표를 달성해야 합니다. 하드웨어 UI는 실제로 마지막으로 확인해야 할 지점이기 때문입니다. 또한 이 프로세스 중에 사람들이 잘못된 상태에 있을 때 가로채기, 경보 및 처리를 방지할 수 있는 독립적인 제3자를 도입해야 합니다. 이것이 우리가 이 분야에서 반복을 시작하고 제품화하려고 시도한 이유입니다.

“모방 시즌”이 나타나지 않은 이유: 추진력 부족, 국가비축량 결정이 시장 발전을 촉진할 것이라는 기대

콜린: 게다가 작년에 당신은 "알트코인"이 없다는 문제를 제기한 첫 번째 사람이었고, 모두가 그것에 대해 많은 논쟁을 벌였습니다. 많은 유명인을 포함한 일부 사람들은 "알트코인"이 있어야 한다고 비판했고, 일부 사람들은 그것에 동의했습니다. 그리고 작년 12월에는 "알트코인" 트렌드가 실제로 매우 짧았습니다. 그때쯤이면 '알트코인' 시장이 도래했다고 느낄 수도 있고, '알트코인' 시장이 이미 시작되었다고 말할 수도 있습니다. 그 결과, 얼마 지나지 않아 이 사이클에서는 "알트코인"이 거의 존재하지 않는 것처럼 보였습니다. 처음에 말씀하신 대로요. 물론, 우리는 예측을 하는 것이 아닙니다. 단기 예측에 관해서는, 누가 전에 예측을 했는지는 모릅니다. 오직 신만이 아십니다. 하지만 이제 새로운 생각이 생겼나요? "알트코인"이 이 사이클에 등장하는 것은 거의 불가능하다고 생각하시나요? 주로 비트코인 시장 사이클에 있을 수 있기 때문입니다. 또한, 소위 말하는 강세장이 끝났다고 생각하지 않으십니까? 아니면 약세장으로 바뀌고 있다고 생각하지 않으십니까?

Shenyu: 제가 지금 느끼는 건 지난 2~3년 동안 감정적으로 핫스팟이 조금 있었던 걸 제외하면, 전체 산업이 2020년과 2021년처럼 명확한 적용과 실제 수요 시나리오가 여전히 부족하다는 겁니다. 제 생각에 근본적인 문제는 여기에 있습니다. 내생적 추진력이 없기 때문에 진정으로 가치 있는 새로운 애플리케이션 자산이 축적되지 않습니다. 반면, 이 사이클에서 많은 플레이어가 실제로 전통적인 미국 주식 시장에 머물렀습니다. 그들은 ETF를 구성하고 Robinhood와 같은 플랫폼을 통해 거래했습니다. 그들은 실제로 암호화폐 자산을 소유하지 않았기 때문에 많은 돈이 실제로 시장에 유지되지 않았고, 모든 사람이 특히 기대했던 소위 스필오버 효과는 나타나지 않았습니다. 비트코인과 이더리움에서 다른 통화로 퍼지지 않았습니다. 이 두 가지 요인이 합쳐지면, 어떻게든 "알트코인" 시장은 단기 감정에 의해 주도될 수 있고, 몇 주 동안만 그럴 뿐이고, 광범위한 발병은 없습니다. 저는 여전히 이전 판단을 거의 고수합니다.

그러면 올해 제 견해, 또는 시장에 대한 제 기대는 올해 하반기, 아마도 6월에서 10월 사이에 시장이 더 나아질 수 있다고 생각합니다. 그런 다음 미국 국립 비축금 수준의 상황이 더 명확해지고 통과되면 더 많은 새로운 자금이 전체 산업이나 시장으로 유입될 수 있습니다. 하지만 지금 이 단계나 단기에서 중기적으로는 단기에서 중기적으로 애플리케이션 수준의 문제를 해결하지 못할 수도 있습니다. 사이트 내외부적으로 엄청난 자금 유입이 있는 것 같지는 않습니다. 그래서 저는 하반기를 기대하고 있습니다.

저는 오늘 이 문제를 판단하지 않을 것입니다. 궁극적으로는 미국의 국가 비축금 관련 문제가 올해 어떤 결과를 낼 수 있을지에 달려 있을 수 있습니다. 결과가 없다면 시장은 끝났을 수 있습니다. 지금으로선 합격 가능성이 아직 비교적 높다고 느껴지지만, 단언하기는 어려우므로 하반기에 더 기대를 걸고 있습니다. (이 공간은 2월 25일에 게시되었고, 트럼프는 3월에 비트코인 국가 비축에 관한 행정 명령에 서명했습니다)

역사적 도난 사례 요약: 국가 수준의 해커에 대처하려면 계층적 분산화, 제로 트러스트 아키텍처, 보안 문화 침투가 필요합니다.

콜린: 사실, 선위, 당신도 암호화폐계의 베테랑이에요. 꽤 오랜 세월이 흘렀죠. 저는 2017년에 합류했어요. 암호화폐계 역사상 너무나 많은 도난 사건이 있었고, 그 모든 사건이 스릴 넘쳤어요. 물론, 이번에 Bybit에서 도난당한 금액은 역사적 기록을 세웠지만, 충분히 수익성이 있으므로 전액 보상할 수 있습니다. 여러분의 역사적 기억, 특히 초기 시절을 포함하여 기억 속에 가장 큰 충격을 준 도난 경험 중 어떤 것을 공유할 가치가 있습니까?

선위: 공격과 수비는 끊임없이 업그레이드되어 왔지만, 최초의 공격 수단은 매우 원시적이었습니다. 우리 실무자들은 우리가 국가 수준의 세력에 직면해 있다는 것을 깨달아야 합니다. 이들은 평범한 해커가 아닙니다. 이들은 조직되어 있으며 10대 때부터 집중적인 훈련을 받아 왔습니다. 이들은 핵심 시설을 공격하는 것과 유사한 다양한 방법과 접근 방식을 사용하여 우리 회사에 내부적으로 침투하고 인간 수준에서 우리에게 도전합니다. 우리 모두는 우리가 그러한 상대에 직면해 있다는 것을 분명히 알고 있어야 합니다. 이 과정에서 사람들은 느슨해지며 인간 본성에 몇 가지 문제가 발생하게 됩니다. 궁극적으로 우리는 시험을 견딜 수 있는 수단과 방법을 채택해야 합니다.

인터넷 역사상, 코보는 보안 방법론인 제로 트러스트 모델을 채택한 최초의 중국 기업일 수도 있습니다. 우리가 이러한 방법론을 채택한 이유는 이러한 방법론만이 국가 수준 세력의 침투를 견뎌낼 수 있다고 증명되었기 때문입니다. 따라서 우리는 2018년과 2019년 초부터 내부적으로 제로 트러스트 전환을 구현하기 시작했고, 모든 내부 서비스와 모든 직원의 컴퓨터, 휴대폰에 다양한 것을 설치했습니다. 그래서 우리가 이 사실을 깨닫고 나서는 이러한 해결책을 채택하고 다양한 시스템을 최소한의 신뢰 상태로 만들어야 했습니다.

동시에 우리에게 가장 핵심적인 자산은 개인키이고, 우리는 계층화, 탈중앙화, 분산화의 사고방식을 도입해야 합니다. 계층화란 무엇을 의미하나요? 우리는 지갑을 더 작은 조각으로 나누어야 합니다. 저는 개인적으로 이전에 제가 4가지 지갑 이론을 가지고 있다고 공유한 적이 있는데, 그것은 개인적인 차원입니다. 하지만 기관 수준에서는 핫, 웜, 콜드라는 3단계 지갑 아키텍처가 최소한 있어야 하며, 아키텍처의 각 계층은 고유한 특성을 가질 수 있습니다. 그런 다음 블랙리스트와 화이트리스트가 있을 수 있으며 시간 지연을 포함한 일련의 프로세스가 있을 수 있습니다. 많은 경우, 우리는 효율성을 위해 종종 타협하고 보안을 희생합니다. 특히 빠르게 발전하는 산업에서 더욱 그렇습니다. 그러나 의무적인 시간 지연은 종종 보안 위험 노출을 매우 낮은 수준으로 줄입니다. 특히 콜드 월렛과 웜 월렛 수준에서 계층화를 수행하고 각 계층에 대해 다른 보안 위험을 설정하고 이러한 체계적 위험을 피하기 위한 일련의 감사 시스템과 프로세스를 수립해야 합니다. 콜드 월렛은 절대적인 보안을 보장하므로 물리적으로 보관하는 것이 가장 좋습니다.

두 번째는 권력을 분산시키는 것입니다. 이 산업은 오랜 세월 발전해 왔고 참여자가 점점 더 많아지고 있기 때문에 처음에는 해결책이 없을 수도 있고, 우리 팀이 내부적으로 뭔가를 할 수 있을 것이라고 믿을 수밖에 없습니다. 특히 원격근무가 보편화된 지금, 내부 직원이 북한에 의해 침투당하는 사례도 발생했고, 심지어 조직 내에서 고위직 직원이 영입되는 사례도 있어, 이러한 내부 프로세스를 전적으로 신뢰할 수는 없습니다. 따라서 이 수준에서는 분산화가 필요합니다. 우리는 일부 개인 키를 제어하고 검증을 수행하기 위해 외부의 독립적인 제3자를 도입해야 합니다. 이것 역시 매우 중요합니다. 지금은 개인 키를 다양한 레벨에서 보관할 수 있는 많은 보관 회사, 보안 회사, 보험 회사가 있는데, 일부는 핫 월렛용 개인 키이고, 일부는 웜 월렛용 개인 키이고, 일부는 콜드 월렛용 개인 키입니다. 외부의 독립적인 제3자로서, 그들은 자체 보안 솔루션을 가지고 있고, 그런 다음 일부 위험 관리 및 제어를 수행합니다. 일련의 조치를 통해 공격 비용과 한계가 기하급수적으로 증가할 것입니다.

그리고 마지막으로, 그것은 실제로 분산화에 관한 것입니다. 우리는 모든 사람이 기본적으로 비교적 분산화된 상태에 있기 때문에 소프트웨어와 하드웨어를 전 세계에 배포하는 데 더 나을 수 있습니다. 이러한 관점에서, 우선 최소 신뢰 시스템을 사용하고, 제로 트러스트 위험 설계 개념을 활용하여 전체 내부 시스템과 아키텍처를 설계해야 하며, 이후 계층화, 분산화, 분산된 핵심 자산 관리 방식을 채택하고, 일련의 소프트웨어와 하드웨어 보안 모듈을 갖추고 엄격한 내부 접근 제어 프로세스를 구축하여 안전한 라이프사이클 폐쇄 루프 관리를 구축해야 합니다. 또한, 고위험 불확실한 공격 사고에서도 더 오랫동안 생존할 수 있도록 사건 중 및 사건 이후에도 몇 가지 비상 대응 및 해결책을 갖고 있을 수도 있습니다.

규정 준수 거래소는 보안에 더 많이 투자하는 반면 해외 거래소는 엄청난 성장 압박을 받고 보안 조치가 부족합니다.

콜린: 저는 개인적으로 코인베이스나 다른 규정을 준수하는 거래소에 대해 알고 싶습니다. 솔직히 말해서, 해외 거래소와 달리 도난이 실제로 적은 것 같습니다. 해외 거래소는 거의 모두 도난당하고 많은 거래소가 여러 번 도난당하기도 했습니다. 그 이유는 무엇일까요? 사실, 잘 이해가 안 갑니다. 이론상, 그들이 사용할 수 있는 아키텍처를 해외 거래소에서도 사용할 수 있을까요? 해외 거래소는 자본금이 더 많거나 운영 방식이 약간 다르기 때문입니다. 보안 분야의 어떤 게스트가 제 질문에 대답해 줄 수 있을지 궁금합니다. 또한, 선위 씨는 북한 해커의 이런 공격에 직면하게 되면 이 산업에서 사업을 시작하는 것이 매우 어려워지고, 일반 사업가의 보안 비용이나 필요한 투자 금액이 매우 높아져 이 산업의 발전에 큰 방해가 될 것이라고 생각하십니까? 이제는 모든 사람이 업계가 북한 해커의 공격을 견뎌낼 수 있을지 회의적인 듯합니다.

선위: 직관적으로 보면 규정을 준수하는 거래소는 효율성보다 보안에 더 많은 관심을 기울일 수 있다고 생각합니다. 예를 들어 어떤 면에서는 더 엄격하기 때문에 보안에 대한 투자도 매우 많습니다.

이론상, 해외 거래소는 자금이 많으므로 보안에 더 많이 투자할 수 있습니다. 초창기 바이낸스나 이번 상황을 포함한 다른 거래소에서도 도난 사건이 꽤 빈번하게 발생하는 듯합니다.

해외 거래소에 대한 성장 압력이 너무 크고, 항상 높은 빈도로 반복 작업을 해야 하며, 고객 불만도 많기 때문일 수 있습니다. 하지만 호환 거래소에서는 일반 사용자의 기대치가 그렇게 높지 않고, 그렇게 빠른 출금을 요구하지도 않습니다. 어떤 거래소는 큰 출금에 T+1이나 T+2를 요구하기도 합니다. 저는 T+7을 본 적도 있는데, 고객 기반이 다르기 때문에 사용자들이 이를 받아들일 수 있습니다. 호환 거래소의 고객 기반은 주로 기관입니다. 이 두 거래소는 오랜 역사를 가지고 있을 수 있습니다. 그들이 도난을 경험한 적이 있는지는 모르겠습니다. 그들은 내부적으로 보안 문제를 처리하는 데 많은 경험이 있어야 합니다. 보안 문제는 기본적으로 회사의 "성인식" 통과 의례로 간주될 수 있습니다.

이 산업에 충분한 이익 마진이 있는 한, 일부 SaaS 제품에 투자하면 이 산업의 고통점과 필요를 충족할 수 있을 것이라고 생각합니다. 사람들의 보안 인식이나 지불 의지가 지금은 그렇게 강하지 않을 뿐입니다. 우리는 매우 우수한 보안 제품을 많이 보았지만, 모든 사람이 열심히 일하여 돈을 벌었고, 비용도 균형을 맞추기 어렵기 때문에 다른 측면에서 보조금에 의존할 필요가 있습니다.

이 수준은 실제로 문제지만, 공격과 방어의 업그레이드로 사람들이 보안이 매우 중요한 문제라는 것을 점차 깨닫고 보안에 대한 투자가 늘어날 것이라고 생각합니다. 이는 또한 보안 SaaS에 집중하는 회사와 같은 회사에 일정량의 개발 공간과 자금을 제공합니다. 보안 및 아키텍처 관점에서 효과적이고 검증 가능한 솔루션이 있습니다. 그러나 Safe의 경우 상류 및 하류 참여자가 약 4~5명입니다. 거래를 완료하려면 각 참여자 간의 조정 및 협업이 매우 느리고 하드웨어 반복이 특히 느리기 때문에 결국 해커에게는 시간 창이 있습니다.

블록체인 산업의 문제가 완전히 드러나고 논의되면, 1~2회의 반복 과정을 통해 해결이 가능할 것입니다. 또한 Web2도 비슷한 문제에 직면하고 있으나, Web2에서 보안 문제에 투자한 자원은 블록체인 산업에 투자한 자원만큼 크지 않습니다. 비밀번호 보안을 위해 설계된 Passkey는 수년간 홍보되어 왔으며, 특히 일부 민감한 금융 분야에서 지난 1~2년 사이에 대규모로 사용되기 시작했습니다. 따라서 보안 수준에서 빠르게 발전하고 있는 Apple 기기를 포함하여 기본 기술을 재사용하고 개발할 수 있습니다. 결국 해결책이 있습니다. 시간과 재정 투자가 필요할 수 있습니다. 이 과정에서 위험 감각이 약하고 더 공격적으로 행동하는 일부 개발자는 비용을 부담할 수 있지만 문제는 해결할 수 있습니다.

기업가를 위한 보안 조언: 제로 트러스트 모델, 다중 감사 교차 검증 및 정기적인 보안 훈련 연습

콜린: 기업가의 경우, 최근 한 스타트업 프로젝트가 5,000만 달러의 도난을 당했지만 지역 사회의 많은 사람들이 그들을 지원하고 있습니다. 창업 프로젝트의 보안과 관련하여, 수년간의 경험을 가지고 많은 것을 겪어 온 사람으로서, 창업가들이 보안 인식을 더욱 개선하기 위해 어떤 제안을 하시겠습니까?

선위: 저는 창업 과정에서 제로 트러스트 모델을 실행하는 것이 매우 중요하다고 생각합니다. 오직 현재 환경에서만 이러한 방법론과 개념만이 모든 사람을 보호할 수 있습니다. 동시에, 우리는 단일 실패 지점과 일방적 계약 감사에 의존할 수 없습니다. 기본 요구 사항은 감사를 수행하기 위해 최소 두세 명의 당사자가 있어야 하며, 프로세스에서 일부 문제를 노출할 수 있도록 일부 교차 검증이 필요하다는 것입니다. 또한, 자금의 양을 너무 빨리 늘리지 마십시오. 초기 단계에서는 내부 및 공개 테스트를 통해 자금의 양을 천천히 늘리고 자금을 고립시켜 위험을 비교적 잘 관리할 수 있습니다.

사실, 업계에는 보안 모니터링 및 위험 관리 시스템과 같이 모든 사람이 활용해야 할 저렴한 보안 솔루션이 많이 있습니다. 이러한 솔루션은 생존 가능성을 크게 높일 수 있기 때문입니다.

창업 과정에서 한편으로는 비즈니스 모델은 사용자 측면을 고려해야 합니다. 특히 기술적 배경이 없는 창업가의 경우 보안과 내부 제로 트러스트 아키텍처에 많은 주의를 기울여야 하며, 최소 20~30%의 주의를 여기에 집중해야 합니다. 회사가 이러한 내부 보안 문화와 시스템을 강조하지 않고, 정기적인 보안 피싱 테스트 및 공격 및 방어 훈련을 내부적으로 실시하지 않는다면, 직원 수준에서나 인간적 수준에서 모두가 게으르게 될 것입니다. 해커가 언제든지 당신을 감시하고 있을 수도 있다는 사실을 알아두세요. 따라서 보안에 계속해서 자원과 관심을 집중해야 합니다.

콜린: 네, 이 산업이 성장함에 따라 개인 사장이든 회사든 도난을 경험하지 않는 회사는 거의 없을 거라고 생각합니다. 다행히도 이번에 우리가 패배하지 않는 한 개인과 산업 전체가 어느 정도 진전을 이룰 수 있을 것입니다.

이번 Memecoin 라운드에 참여해보는 건 어떨까요: 몸이 안 좋으면 AI에 집중하세요

Web3 Jiaozi: Shenyu, 당신은 오랫동안 암호화폐 업계에 종사해 왔고 이 업계에서도 잘 알려진 인물입니다. 가장 일찍 Cobo 지갑이 모든 사람을 함께 채굴하도록 이끌었고, 저는 가장 초기 참여자 중 한 명이었습니다. 올해의 시장 상황에서는 선위가 업계 관련 문제에 대해 거의 언급하지 않는 것을 발견했습니다. 오늘 게시된 링크를 포함해서 PVP에 대한 언급은 간략하게만 이루어졌습니다. 제가 더 우려하는 것은, 업계에 있어서, 마지막 시장 상황의 물결 이후, 업계가 병목 현상에 도달한 것 같다는 것입니다. 저는 Shenyu에게 다음 아울렛이 어디인지 물어보고 싶습니다.

콜린: 네, 선위, 당신은 항상 온갖 새로운 것을 시도하는 것을 좋아했지만, 이번 Meme 라운드가 인기가 많은 것 같은데, 당신이 특별한 방식으로 참여하는 것을 본 적이 없어요. 이유가 뭐예요?

선위: 제가 밈을 하지 않는 가장 큰 이유는 제 몸이 그것을 감당할 수 없고, 2000년대에 태어난 사람들과 비교할 수 없기 때문입니다. 또 다른 요인은 최근 AI에 관심이 집중되었다는 것입니다. AI가 미래에 암호화폐와 파괴적인 결합을 이룰 수 있을 것 같고, 이는 새로운 성장을 가져올 수 있습니다. 저희는 1년 전 오프라인 행사에서 암호화폐의 궁극적인 사용자는 인간이 아닌 AI 에이전트나 AI 로봇이 될 것이라고 제안했기 때문에 AI의 사용법을 배우는 데 많은 노력을 기울였습니다. 저는 더 이상 PVP를 할 수 없습니다. 저는 보통 모든 사람에게 돈을 주기 위해 참여하고, 긍정적인 피드백도 많지 않아서 제 주요 초점은 AI에 맞춰져 있습니다.

AI와 Crypto의 결합 가능성을 기대하면서 AI Agent가 미래에 블록체인 네트워크에서 중요한 역할을 할 수 있을 것으로 믿어집니다.

콜린: 지금 AI에 대해 어떻게 생각하세요? 이전에 소위 AI 에이전트 붐이 있었고, 특히 급격히 떨어졌습니다. 제 친구들 중 많은 사람들이 AI에 투자한 탓에 파산했습니다. 이전 AI 에이전트가 매력적인 작품을 만들어냈다고 생각하시나요? 미래에 AI와 암호화폐가 더 발전할 것으로 생각되는 응용 분야는 무엇인가요?

Shenyu: 가장 기본적인 수준에서 핵심은 AI 자체 역량이 아직 그 단계에 도달하지 않았다는 것입니다. 지금은 여전히 개념 검증 단계에 있습니다. 그러면 AI의 개발 속도가 매우 빠르다는 것을 알 수 있고, 기반 컴퓨팅 파워 모델은 끊임없이 반복되고 있습니다. 우리는 AI가 미래에 어떤 상태에 도달할 것으로 예상합니다. 즉, 일반적인 AGI(인공지능)를 갖는 것입니다.

암호화폐에 관해서는 두 가지 요점이 있습니다. 한편으로는 데이터가 개방적이고 투명하기 때문에 완전히 디지털화된 것에 매우 친화적입니다. 따라서 한편으로는 AI가 상호작용 방식을 바꿀 수 있습니다. 이러한 복잡한 스마트 계약과 반인간 보안 작업의 경우, 우리는 신뢰할 수 있고 지능적인 AI 에이전트에 의존하여 보조적인 결정을 내릴 수 있어야 합니다. 저는 지금 분산형 금융을 운영하고 있으며 이를 감독할 몇몇 AI 에이전트를 원격으로 배치해야 한다고 농담을 하곤 합니다. 미래에는 인공지능 엔지니어와 1~2명의 AI 에이전트가 화면을 지켜보는 이런 상황이 실제로 일어날 수도 있습니다. 더 멀리 내다보면 AI가 정말로 블록체인 네트워크에 연결될 수도 있습니다.

우리는 AI 에이전트가 서로 상호작용하고 가치와 데이터를 교환하는 시나리오를 상상해 봅니다. 여기에는 계약 수준의 일이 포함될 수도 있고, 심지어 느슨하게 형성된 회사나 DAO를 형성할 수도 있습니다. 스마트 계약과 같은 플랫폼을 사용하여 일부 가치 수준의 거래를 수행할 수 있습니다. 저는 앞으로 3~5년 내에 블록체인을 기반으로 웹 소셜 네트워크나 가치 소셜 네트워크와 비슷한 것이 형성될 수 있을 것이라 생각하는데, 궁극적으로는 이를 AI 에이전트 그룹이 활용하게 될 것입니다. 이런 것이 등장하면 그것이 가져오는 가치와 영향력은 매우 클 수 있다. 우리는 항상 Web3의 네트워크 효과에 대해 이야기해 왔습니다. 이것이 가져온 자산 규모나 가치는 지금 우리가 보는 전통적인 인터넷 회사보다 훨씬 더 클 수 있으므로, 현재의 1조 규모보다 더 높은 무언가일 수 있습니다. 저는 이것이 무엇인지, 그리고 우리가 이것으로 무엇을 할 수 있는지 생각해 왔습니다. 저는 매우 낙관적입니다. 지난 2~3년 동안 업계에서 좋은 응용 방향이 나오지 않았지만, 앞으로는 나올 것이라고 생각합니다. 우리가 해결할 수 있는 장애물도 몇 가지 있으므로 그날이 기대됩니다.

안전한 지갑 블라인드 서명 솔루션: 엔터프라이즈 서명 도구 + AI 위험 관리 + 블랙리스트 및 화이트리스트 관리

TheCheerSong: 저는 온체인 자동 거래를 하는 트레이더입니다. 이 사건 이후, 우리는 사업을 중단할 수 없지만 보안 대책도 업그레이드하고 있습니다. 가장 문제가 되는 부분은 Safe wallet의 블라인드 서명 부분이라고 생각합니다. 지금 우리가 할 수 있는 일은 오픈소스 권한 제어 모듈을 가지고 그것을 Safe 지갑에 적용하는 것입니다. 이러한 사용 과정에서 대부분의 거래 요청은 자동화되므로 Safe Wallet은 기본적으로 일부 토큰의 수동 전송 작업에만 사용됩니다. 선생님들께, 비교적 간단한 요청에 대해, 서명 내용을 검증할 수 있는 도구가 있는지 묻고 싶습니다.

Shenyu: 사실, 방금 누군가가 다음 주에 출시한다고 언급했습니다. 우리는 이 내부 도구 세트를 상품화하고 이 안전한 엔터프라이즈 서명 도구 세트를 출시했습니다. 본질은 안전한 개인 키를 얻은 다음, 위험 관리 템플릿을 포함하여 기계를 통해 일부 블랙리스트와 화이트리스트를 추가하는 것입니다. 토큰 양, 거래 속도 제한, 블랙리스트 및 화이트리스트 설정과 같은 일반적인 위험 관리 조치를 사용자 정의할 수 있습니다. 또한 AI Agent의 일부 기능과 대규모 손실 상황을 고려하여 이러한 프로세스 집합을 정리하고 동시에 위험을 관리할 수 있습니다.

이 솔루션은 Cobo의 이전 액세스 제어 목록 기반 계약 및 Argus 체인의 매개변수 수준 제어와 결합됩니다. 지금은 이렇게 해야만 내가 가진 큰 자금이 체인상에서 거래될 때 마음이 편해질 수 있다고 생각합니다. 우리는 안전한 관행을 사용하고 있습니다.

Bybit 도난 사건의 지갑 보안 문제에 대한 보안 전문가의 의견

이 자리에서 BlockSec의 CEO인 저우 야진(Zhou Yajin) 교수, OneKey의 최고 성장 책임자인 니그(Nig)와 Cobo의 최고 보안 책임자인 문(Moon)도 자신의 의견을 피력했습니다.

Bybit 사건의 거래소 보안 문제에 대해 주야진 교수는 이 사건이 Safe contract wallet을 사용하여 자금을 관리하는 작업과 실제 거래 간의 불일치로 인해 발생했으며, 이로 인해 지갑이 악의적으로 업그레이드되고 자금이 도난당했다고 말했습니다. 이유는 아직 공개되지 않았습니다. 많은 프로젝트 소유자는 지갑을 관리하기 위해 Safe multi-signature를 사용하는 것이 안전하다고 믿지만 실제로는 보안이 운영, 비기술적, 기술적 수준을 포괄하는 시스템 구축이라는 사실을 무시합니다. 개인 키의 관리와 거래 해석에는 보관, 서명 및 거래 분석과 해석이 부족하고, 개인 키의 물리적 보안을 보장할 때 사용자 친화성으로 인한 보안 측면의 처리가 부족한 등 허점이 있습니다. 대량의 자금을 다중 서명으로 이체하는 신뢰 체인은 길지만 거래 해석 및 운영 인터페이스 정보에 대한 제3자 이중 검증이 부족합니다. 따라서 계약 지갑을 사용하여 대량의 자금을 관리하려면 제3자 검증 및 인증을 도입해야 하며, 계약 지갑에 대한 유연한 전략 제어를 구현하기 위해 화이트리스트 또는 분산화를 설정해야 합니다.

Safe 지갑 프런트 엔드의 잦은 변조와 주류 다중 서명 솔루션 Safe의 보안성과 관련하여, 문은 Safe 솔루션과 계약 자체는 비교적 안전하지만, 적용 시 신뢰 체인이 길어 예상치 못한 상황이 발생하기 쉽다고 생각합니다. 이번에 Bybit에 가해진 공격은 계약 문제라기보다는 아웃소싱 문제일 가능성이 높으며, 이는 일상적으로 보안 인식을 개선하는 것이 얼마나 중요한지를 보여줍니다. Safe 지갑을 안전하게 사용하려면 수직 및 수평 모두 고려해야 합니다. 수직 방향의 각 링크에는 독립적인 장비와 같은 제어 가능한 기술 솔루션이 있어야 합니다. 수평 다중 서명은 서명자의 독립적인 검증이 필요하고 긴 신뢰 체인은 해커가 검증을 우회하는 데 사용할 수 있는 교차 링크로 쉽게 이어질 수 있습니다. 따라서 수평 확장은 서명자 수를 늘리는 것뿐만 아니라 서명자의 계획과 환경이 독립적이고 별도로 검증되어 Safe의 역할을 충분히 발휘할 수 있도록 해야 합니다. 또한, 거래소와 고액 자산가들은 계약 지갑을 사용하는 것 외에도 수동 조정 및 이상 현상 모니터링과 같은 엄격한 메커니즘을 구축하고, 감사를 위한 자동화 프로그램을 사용하고, Web2 공격을 피하기 위해 보안 인식을 강화해야 합니다. 또한, Cobo는 Safe의 다중 서명 기능을 사용하여 여러 서명자가 독립적이고 완전한 종단 간 서명 링크를 가질 수 있도록 하는 MPC plus Safe 관리 솔루션도 출시할 예정입니다.

Bybit 사건에서 하드웨어 지갑 관련 문제에 대해 Nig는 Bybit이 NPC를 사용하여 EOA 지갑을 제어한다고 말했고(서명이 구문 분석하기 쉽기 때문), Safe 스마트 계약 지갑 서명은 복잡하고 구문 분석하기 어려우며, 보안팀이 이를 제때 알아차리지 못했을 수도 있다고 말했습니다. 기존 하드웨어 지갑(예: Ledger)은 성능이 제한적이며 복잡한 스마트 계약 파싱 및 블라인드 서명을 처리하기 어렵습니다. 조치를 일찍 취했다면 이 공격을 피할 수 있었을 것입니다. Shenyu 팀과 OneKey는 관련 파싱 도구를 개발했습니다. Ledger의 Clear Signing은 느리게 진행되고 있으며, 네트워크 장치에서 전송될 때 서명 데이터가 쉽게 오염됩니다. 의도의 일관성을 보장하기 위해 하드웨어 지갑 파싱에만 의존하는 것은 충분하지 않습니다. 이번에는 Bybit에서 조기 경고를 제대로 받지 못했습니다. 첫 번째 서명자가 해킹당했고 다른 서명자들은 장비 문제로 인해 아무 생각 없이 서명을 했습니다. 고액 자산을 보유한 개인과 기관은 자금 거래와 관련된 인터넷 기기를 사무실 장비와 독립적이고 격리하여 침입 위험을 줄이는 것이 좋습니다. 이전에 Radium은 환경이 격리되지 않았기 때문에 해킹당했습니다.

안전 보안, 제3자 모니터링 기능 및 블록체인 보안에 대한 AI 적용과 관련하여, 저우 야진 교수는 안전 계약은 과거에 매우 안전했으며 여러 당사자에 의해 검토되었지만 긴 사용 과정에 위험이 따른다고 생각합니다. 해당 팀에서 개발한 Falcon Safe 보안 시스템은 제3자의 관점에서 사용자 거래를 조사하고, 거래 내용을 분석하며, 이체 및 계약 상호작용과 같은 주요 거래 정보에 대한 알림을 제공함으로써 사용자의 인지적 임계값을 낮추고 보안 문제를 방지할 수 있습니다. AI 애플리케이션 측면에서 한편으로는 AI가 악행을 저지르는 비용을 줄이고 피싱 도구의 일괄 생성을 용이하게 합니다. 다른 한편으로는 업계에서 AI와 감사 및 자동화 감사 코드의 조합을 모색하고 있습니다. 이상적인 상태와는 거리가 멀지만 AI는 암호화폐 사용자가 제품을 사용하는 데 필요한 임계값을 낮추고 복잡한 사용자 운영 문제를 해결하는 데 도움이 될 수 있습니다.

하드웨어 지갑과 관련된 문제에 대해 Nig는 거래소가 도난당한 후 일부 경쟁사처럼 매출이 크게 증가하도록 홍보하기 위해 전투 보고서를 발행하지 않을 것이라고 답했습니다. 매출 증가는 좋지만 많은 사람들이 개인 키의 보안에 주의를 기울이기 시작했다는 것을 반영하기도 합니다. 하드웨어 지갑이 이 보안 사고의 원인입니다. Ledger와 Safe의 성능은 기대에 미치지 못했습니다. Safe는 프런트엔드와 네이티브 지원을 중단했습니다. 이전 세대의 하드웨어 지갑은 보안 고려 사항으로 인해 파싱 기능이 제한되었습니다. Ultra 및 Pro와 같은 새로운 세대의 제품은 로컬 복합 계약 파싱을 강화하고 핵심 거래 요소의 분석을 지원합니다. Classic도 표시할 핵심 부분을 선택합니다. APP는 주류 EVM 거래 분석을 구현하고 하드웨어 측면은 나중에 보안 테스트로 인해 구현됩니다. 안전과 관련하여서는 관련 공격에 대한 방어 방안을 시연하고, 조만간 사용자 안전 교육을 실시할 예정입니다. 미래에는 OKX의 하드웨어 지갑 접근에 대한 열의 부족과 기관의 NPC 지갑 홍보와 같은 기술의 다양성에도 불구하고, 서명 프로세스는 온라인 환경에서 니모닉 노출의 위험을 초래하므로 하드웨어 지갑은 항상 물리적 격리의 핵심을 중심으로 돌아갑니다. 니모닉 표준 업그레이드와 같은 변경 사항이 있더라도 핵심 보안 방어는 변경되지 않습니다.