암호화폐 해킹과 회복의 어려움
암호화폐 해킹의 피해자들은 종종 부도덕한 회복 업체에 의해 다시 피해를 입게 된다고 Circuit의 CEO 해리 도넬리가 말합니다. 암호화폐 채택이 증가하고 있으며, 점점 더 많은 사람들이 이 시장에 참여하고 있습니다. 그러나 수년간의 혁신에도 불구하고 암호화폐는 여전히 가장 취약한 사용자들에게 실패하고 있습니다. 최근 사건에서 한 미국의 은퇴자는 자신의 콜드 월렛을 무의식적으로 손상시킨 후 XRP에서 300만 달러를 잃었습니다. 이 사건은 암호화폐에서 보안이 여전히 가장 중요한 문제임을 보여줍니다. 이러한 이유로 crypto.news는 암호화폐 보안 회사 Circuit의 CEO 해리 도넬리와 대화를 나누었습니다. 그는 올해만 해킹으로 30억 달러 이상이 손실된 이유와 회복이 보통 매우 어려운 이유를 설명했습니다.
해킹 사건과 회복의 어려움
crypto.news: 최근 지갑 소유자가 해킹으로 생애 저축을 잃은 사건을 보았습니다. 이것은 암호 자산 보안에 대해 무엇을 말해줍니까?
해리 도넬리: 이것은 XRP 지갑 사건입니다. 한 미국의 은퇴자가 약 300만 달러의 XRP, 즉 은퇴 저축을 잃었습니다. ZacXBT가 트위터에 게시했습니다. 피해자는 경찰에 신고하려고 했지만 법 집행 기관에 연락할 수 없었다고 말했습니다. 그 후 자금은 약 120건의 거래를 통해 세탁되었습니다. 우리는 피해자가 암호화폐에 대한 지식이 부족하기 때문에 정확한 경로에 대한 완전한 확인을 가지고 있지 않습니다. 그들의 노트북에 접근할 수 없기 때문에 단계를 추적하기가 어렵습니다. 그러나 이러한 경우는 종종 장치에서 시드 문구 및 기타 비밀을 스캔하는 악성 소프트웨어가 포함됩니다. 이 경우, 그 사람은 Ellipal에서 구입한 콜드 월렛이 있다고 생각했지만, 시드 문구를 노트북에 가져왔습니다. 이는 콜드 스토리지를 무력화합니다. 시드 문구가 인터넷에 연결된 기기에 존재하게 되면 하드웨어 지갑의 보호는 사실상 사라집니다.
회복 업체의 문제와 예방의 중요성
crypto.news: ZacXBT는 많은 회복 업체들이 의심스럽다고 말했습니다. 당신의 의견은 무엇입니까?
해리 도넬리: 전적으로 공정합니다. 사람들이 절박할 때, 나쁜 행위자들이 그들을 노립니다. 최악의 행위자들은 종종 SEO를 최적화하여 누군가가 “도난당한 암호화폐 회복”을 필사적으로 검색할 때 가장 먼저 나타나게 합니다. 합법적인 회복은 어렵습니다. 암호화폐는 소유 자산입니다. 키의 소유는 소유권을 의미합니다. 은행에 전화하여 온체인 전송을 되돌릴 수는 없습니다. 합법적인 회복 업체는 일반적으로 법 집행 기관과 협력하고, Chainalysis 또는 TRM Labs와 같은 블록체인 포렌식 도구를 사용하여 자금을 추적하고, 법적 통지로 거래소에 계좌 동결을 요청하는 법률 사무소입니다. 그러나 이는 자금이 협력할 의사가 있는 KYC 거래소에 도달해야만 가능하며, 관할권이 협조적이어야 합니다. 공격자들은 종종 자금을 비협조적인 거래소나 믹싱 서비스로 라우팅합니다. 작년에는 이러한 방법으로 5% 미만의 자산이 회복되었습니다. 포식적 업체들은 기본 스캔에 대해 10,000달러와 같은 큰 수수료를 부과하고 피해자에게 잘못된 정보를 제공하는 보고서를 작성합니다. 예를 들어, 그들은 그들에게 Tornado Cash에 이메일을 보내라고 말하는데, 이는 무의미합니다.
예방을 통한 손실 방지
crypto.news: 그래서 회복이 어려운 것 같습니다. 대안은 무엇입니까?
해리 도넬리: 회복 확률이 낮기 때문에 예방이 중요합니다. Circuit은 해킹 후 회복에 의존하기보다는 손실 예방에 집중합니다. 자금이 지갑을 떠나면 회복 가능성은 희박합니다. 도난이 발생하기 전에 이를 막는 것이 훨씬 더 높은 성공 확률을 가지고 있습니다. 손실 모드는 두 가지입니다: (1) 개인 키에 대한 접근을 잃는 경우(자금에 접근할 수 없음) 또는 (2) 다른 사람이 개인 키를 얻는 경우(자금이 도난당함). Circuit은 자산을 직접 보호하여 두 가지 모두를 해결합니다. 우리는 자동 자산 추출이라고 부르는 것을 구축합니다. 개인 키를 보호하는 것뿐만 아니라, 자금을 미리 정의된 백업 지갑으로 이동시키는 서명된 거래를 미리 생성합니다. 이러한 거래는 사전에 생성되고 암호화되어 저장되며, 정당한 사용자가 이를 트리거할 때까지 방송되지 않습니다.
사용자 제어와 백업 지갑 선택
crypto.news: 그럼 그 큰 빨간 버튼은 누가 제어합니까?
해리 도넬리: 사용자가 제어합니다. 그들은 우리의 웹 앱에 들어가 2FA를 사용하여 신원을 확인하고 버튼을 누릅니다. 그러면 거래가 해독되고 방송되어 자금이 백업 지갑으로 이동합니다. 우리는 미리 서명된 거래를 암호화하여 저장하지만, 사용자가 해독하고 트리거할 수 있는 유일한 사람입니다. 그들은 미리 목적지 주소를 정의하고, 우리는 그 주소를 변경할 수 없습니다. 일단 서명되면 잠겨 있습니다. 우리의 시스템은 단순히 이를 안전하게 보관하고 사용자가 필요할 때 이를 트리거할 수 있도록 합니다.
기관과 기업의 필요성
crypto.news: 현재 이 서비스를 사용하는 사람들은 누구입니까?
해리 도넬리: 현재는 모든 기관과 기업입니다. 우리는 아직 소매 사용자에게 서비스를 제공하지 않습니다. 우리의 파트너는 거래소, 자산 관리자, OTC 데스크입니다. 이들은 대규모 자금과 고객 자산을 관리하는 사람들입니다. 그들에게는 다운타임이나 접근 손실이 치명적일 수 있습니다. 한 예로 Shift Markets가 있습니다. 우리는 그들이 작업하는 150개의 거래소에 우리의 기술을 배포하고 있습니다. 이러한 거래소는 자금에 대한 접근을 잃을 여유가 없습니다. 몇 시간이라도 말입니다. 기관에게는 도난 방지뿐만 아니라, 때때로 누군가 서명 장치를 잘못 두거나 Fireblocks와 같은 서비스가 중단될 수 있습니다. 이는 모든 작업을 중단시킬 수 있습니다. 입금도, 출금도 없습니다. Circuit을 사용하면 그들은 며칠 동안 다운되는 대신 몇 분 안에 회복할 수 있습니다. 그리고 그들에게는 그것이 명성을 구하고 고객 유지를 위해 수백만 달러를 절약하는 것을 의미할 수 있습니다.
백업 지갑의 안전성
crypto.news: 사용자는 백업 지갑을 어떻게 선택합니까? 다른 하드웨어 지갑, 거래소 계좌 또는 수탁자가 되어야 합니까?
해리 도넬리: 좋은 질문입니다. 우리는 백업 지갑이 기본 지갑만큼 안전해야 한다고 권장합니다. 즉, 서로 다른 지갑 제공자를 사용하고, 키를 서로 다른 위치에 저장하며, 인프라가 함께 위치하지 않도록 해야 합니다. 두 세트의 키를 동일한 금고나 서버에 두고 싶지 않습니다. 또한, 우리는 쿼럼 승인을 시행합니다. 4-eyes 또는 6-eyes 정책을 통해 단일 실패 지점을 피해야 합니다. 대부분의 대규모 기관은 이미 이러한 방식으로 운영하고 있습니다. 일부는 기본 및 백업 지갑에 대해 서로 다른 MPC 또는 멀티시그 설정을 사용합니다. 다른 일부는 서로 다른 안전 시설이나 심지어 서로 다른 관할권을 사용합니다. 아이디어는 만약 재난이 한 시스템을 강타하면, 다른 시스템은 영향을 받지 않는 것입니다. 우리는 또한 주요 보험 회사와 협력하고 있으며, 그들은 이를 위험 감소로 인식합니다. 많은 암호화폐 보험 청구는 접근 손실 또는 도난당한 자금에 대한 것입니다. Circuit의 기술을 추가함으로써, 기업들은 더 낮은 위험이 됩니다. 그래서 보험 제공자들은 우리를 사용하는 고객에게 할인 혜택을 제공합니다. 이는 보험을 더 접근 가능하게 만들고, 결과적으로 더 많은 기관 자본을 암호화폐로 유입시킵니다.
실제 사례와 기관의 실패 시나리오
crypto.news: 실제로 누군가 빨간 버튼을 사용해야 했던 사례가 있습니까?
해리 도넬리: 네, 우리는 실제 사례와 통제된 테스트 모두에서 빨간 버튼을 사용했습니다. 우리는 심지어 공격자에게 자금을 훔치려고 시도하도록 화이트햇 또는 시뮬레이션 환경에서 의도적으로 접근을 제공했습니다. 매번, 그것은 잘 작동했습니다. 우리의 엔지니어링 팀은 우리가 엣지 케이스와 실제 세계의 위협을 모두 다루도록 열심히 노력했습니다. 우리는 독립적으로 테스트한 이 분야의 가장 큰 플레이어들과 협력하고 있습니다. 우리는 그 검증 중 일부를 보여주는 공개 발표를 다음 한두 달 안에 할 예정입니다.
crypto.news: 기관의 일반적인 실패 시나리오는 무엇입니까?
해리 도넬리: 그것은 그들의 지갑 설정에 따라 다릅니다. Fireblocks와 같은 비수탁 서비스를 사용하는 경우, 기관은 일부 책임을 져야 합니다. Fireblocks가 중단되거나 사용할 수 없더라도 그들은 지갑에 접근할 수 있어야 합니다. Coinbase나 Anchorage와 같은 완전 수탁 솔루션을 사용하는 경우, 해당 제공자가 모든 것을 끝에서 끝까지 관리합니다. 그러나 Fireblocks를 사용하는 경우, 여전히 키 조각이나 서명 장치에 대한 안전한 접근이 필요합니다. 따라서 Fireblocks에 의존하는 거래소가 장치를 잃어버린다고 상상해 보십시오. 아마도 누군가의 전화기나 YubiKey일 것입니다. 이는 그들을 일시적으로 잠글 수 있으며, 출금 및 입금을 중단시킬 수 있습니다.
정교해지는 공격자와 보안의 변화
crypto.news: 당신은 공격자들이 점점 더 정교해지고 있다고 언급했습니다. 암호화폐 산업이 이에 어떻게 적응하고 있는지에 대한 당신의 관점은 무엇입니까? 보안에서 어떤 변화가 있습니까?
해리 도넬리: 이는 Web2 사이버 보안과 유사합니다. 이는 고양이와 쥐의 게임입니다. 새로운 공격이 발생하면 우리는 방어를 구축하고, 공격자는 다시 진화하고, 그 다음에 다시 방어를 구축하는 식입니다. 초기에는 다중 서명(multisig)이 큰 돌파구였으며, 이는 거래를 승인하기 위해 여러 키가 필요합니다. 그 다음에는 다중 당사자 계산(MPC) 지갑이 등장하여 다중 서명보다 개선되었습니다. 다중 서명 설정에서는 세 개의 키 중 두 개를 손상시키면 세 번째에 대한 부분 정보를 얻을 수 있습니다. 그러나 MPC에서는 각 조각이 전체에 대한 정보를 제공하지 않기 때문에 더 탄력적입니다. Fireblocks와 같은 회사는 MPC로 많은 성공을 거두었습니다. 그 위에 정책 엔진이 등장했습니다. 특정 조건에서 거래를 차단하는 규칙입니다. 예를 들어: “100만 달러 이상의 모든 전송 차단” 또는 “비 화이트리스트 주소로의 전송 허용하지 않기”와 같은 것입니다. 그 다음에는 체인 활동을 모니터링하고 의심스러운 행동을 표시하는 서비스인 탐지 도구가 등장했습니다. 그러나 오늘날 대부분은 여전히 경고에 대해 사람이 행동해야 합니다. 일부 설정에서는 미국, 유럽 및 아시아의 사람들로부터 승인을 받아야 할 수도 있으며, 이는 몇 시간이 걸릴 수 있습니다. 그 사이에 공격은 몇 분 또는 몇 초 안에 발생합니다. 우리는 SwissBorg/Kiln 해킹에서 이를 보았습니다. 4100만 달러가 3분 만에 사라졌습니다. 인간은 그리 빠르게 반응하지 않습니다.
중앙 집중식 거래소와 DeFi의 신뢰 문제
crypto.news: 중앙 집중식 거래소가 도난당한 자금을 동결할 때, 사람들은 보통 이해합니다. 그러나 DeFi 프로토콜이 지갑을 동결하거나 스마트 계약을 일시 중지할 때, 중앙 집중화에 대한 비판이 종종 있습니다. 이에 대한 당신의 의견은 무엇입니까?
해리 도넬리: 결국, 나는 수천만 또는 수억 달러가 도난당하는 것을 방지할 수 있다면, 그리고 그것을 위해 몇 시간 동안 스마트 계약을 중단해야 한다면, 그렇게 해야 한다고 생각합니다. 나는 탈중앙화의 큰 지지자들이 있다는 것을 알고 있지만, 사람들이 이를 채택하지 않으면 탈중앙화는 자리 잡지 않을 것입니다. 그리고 사람들이 모든 자금을 잃을 것이라면 이를 채택하지 않을 것입니다. 결국, 나는 그것이 그렇게 간단하다고 생각합니다. 만약 당신이 진정으로 이것을 믿고 주류에 의해 채택되기를 원한다면 — 실제 기업, 실제 기관에 의해 — 그들은 그것에 대한 신뢰를 가져야 합니다. 그리고 “그냥 해킹당하게 두라”거나 “코드는 법이다”라고 말하는 모든 지지자들에게, 나는 문제가 그것이 우리가 원하는 만큼 이 공간의 성장을 근본적으로 멈추게 할 것이라고 생각합니다. 그리고 나는 당신이 두 가지 영역을 보게 될 것이라고 생각합니다. 당신은 그냥 모든 것을 그대로 두고 계속 운영하는 풀과 프로토콜이 있을 것입니다. 그리고 당신은 더 많은 기관 중심 및 기업 중심 인프라가 있을 것입니다. 그곳에는 안전 장치가 있고, 실패 방지 장치가 있으며, 풀에 보험이 내장되어 있습니다. 이는 이미 일어나고 있습니다. 그리고 그 풀에서 더 많은 유동성이 예치될 것입니다. 왜냐하면 그곳이 진정한 자본 — 기관들이 — 자금을 넣는 것에 대해 자신감을 느끼는 곳이기 때문입니다. 그리고 DeFi에서 가장 큰 네트워크 효과가 무엇인지 생각해보면, 많은 부분이 유동성에 달려 있습니다. 따라서 시간이 지남에 따라 많은 유동성이 어디로 갈 것인지 살펴보면, 실패 방지 장치와 점검이 있는 곳으로 이동해야 합니다. 왜냐하면 그것이 사람들에게 더 많은 신뢰를 주기 때문입니다.
스마트 계약의 제어와 신뢰
crypto.news: 그러나 누군가는 프로토콜이 지갑을 동결하거나 스마트 계약을 일시 중지할 수 있는 능력이 있다면, 그들은 또한 풀을 비울 수 있는 능력이 있다고 말할 수 있습니다. 당신의 생각은 무엇입니까?
해리 도넬리: 네, 그리고 나는 그것이 공정한 지적이라고 생각합니다. 누군가가 이를 일시 중지하고 안전 장치를 마련할 수 있는 능력이 있다면, 그것이 자금에 대해 원하는 모든 것을 할 수 있다는 것을 의미합니까? 나는 스마트 계약의 아름다움 — 만약 당신이 올바르게 한다면 — 그것들이 불변하고 투명하다는 것이라고 생각합니다. 당신은 미리 엄격한 매개변수를 정의할 수 있습니다. 당신은 규칙을 하드코딩할 수 있습니다: 언제 이것이 일시 중지되는지, 왜 일시 중지되는지, 자금은 어떻게 되는지? 자금이 이동합니까? 그렇다면 어디로? 특정 위치로만 이동할 수 있습니까? 일시 중지 후에 반환됩니까? 모든 것이 인코딩될 수 있습니다. 그것은 재량적일 필요는 없습니다. 따라서 예, 만약 당신이 사람들에게 원하는 모든 것을 할 수 있는 완전한 제어권을 준다면, 그것은 좋지 않습니다. 사람들은 그러한 프로토콜에 자금을 예치하고 싶지 않을 것입니다. 그러나 만약 가능한 것에 대해 엄격하게 정의된 매개변수가 있다면 — 그리고 그 중 일부는 비상 시 동결하거나 일시 중지하는 것을 포함한다면 — 그러면 그것은 실제로 사람들에게 더 많은 신뢰를 줍니다. 왜냐하면 가장 큰 프로토콜조차도 — 큰 TVL을 가진 Euler와 같은 — 해킹당했기 때문입니다. 그들은 여러 차례의 감사, 코드 검토 등을 거쳤습니다. 그러나 여전히 누군가가 악용할 수 있는 작은 취약점이 있었습니다. 우리는 이러한 것들을 감지하는 데 더 나아지고 있지만, 새로운 문제는 항상 발생할 것입니다. 그리고 당신이 말했듯이, 이는 고양이와 쥐의 게임입니다. 당신은 방어를 구축하고, 누군가가 새로운 공격을 발견합니다. 그런 다음 새로운 방어를 구축하고, 계속해서 그렇게 됩니다.
암호화폐 보험의 필요성
crypto.news: 최근에 산업이 간과하고 있다고 생각하는 것이 있습니까?
해리 도넬리: 우리가 내부적으로 많은 시간을 할애하는 것 중 하나는 암호화폐 보험을 실제로 접근 가능하게 만드는 것입니다. 왜냐하면 우리가 지금까지 이야기해온 것처럼, 새로운 공격이 항상 발생할 것이고, 사람들이 새로운 방어를 구축할 것입니다. 그러나 그 사이에 그 격차를 메우는 무언가가 필요합니다. 나는 DeFi 보험 — Nexus Mutual이 시도했던 것과 같은 — 사람들이 희망했던 만큼 확장되지 않았다고 생각합니다. 그리고 그 큰 부분은 의미 있는 보험을 제공하기 위해서는 그 뒤에 막대한 자본 풀을 필요로 하기 때문입니다. 그것이 보험의 작동 방식입니다. 전통적인 보험 세계는 이미 수십억 달러의 준비금을 보유하고 있습니다. 그들은 위험을 언더라이팅하는 방법을 알고 있습니다. 만약 우리가 그 플레이어들을 암호화폐 공간으로 끌어들일 수 있다면 — 그리고 위험이 어떻게 완화되고 있는지에 대한 신뢰를 줄 수 있다면 — 우리는 정말 큰 것을 열 수 있습니다. 왜냐하면 진실은, 만약 우리가 대형 은행이나 진지한 금융 기관이 DeFi와 온체인 금융에 참여하기를 원한다면, 그들은 보험이 필요할 것입니다. 그게 전부입니다. 따라서 우리가 이를 가능하게 할 수 있다면 — 전통적인 보험 제공자에게 위험을 가격 책정하고 실제로 보장을 제공하는 데 필요한 도구와 데이터를 제공할 수 있다면 — 그러면 갑자기 더 많은 자본이 이 공간에 들어오는 것이 편안해집니다. 그리고 그런 일이 발생하면 모든 것이 성장합니다. 프로토콜이 성장하고, 인프라가 성숙해지고, 사용자가 혜택을 봅니다. 그래서 네, 나는 진정한 암호화폐 보험을 여는 것이 우리가 지금 할 수 있는 가장 중요한 일 중 하나라고 생각합니다.
