[바이낸스 스마트 체인] 악의적인 스마트 컨트랙트를 판단하는 기본적인 방법

제목을 입력해주세요._001 (3).png

이번 글에서는 Binance Chain Blog에 올라온 'How to identify malicious contract on Binance Smart Chain'에 제가 파악한 몇 가지 정보를 곁들어 간략히 정리해보겠습니다.

원문 링크 : 클릭

최근 바이낸스 스마트 체인의 많은 디파이 프로젝트 참여자들이 악의적인 스마트 컨트랙트에 의해 희생당해 돈을 잃고 있습니다. 스마트 컨트랙트 프로젝트는 충분한 기술지식과 BNB만 소유하고 있다면 누구나 만들 수 있습니다. 최근 들어 이런 취약점을 이용해 많은 악의적인 스마트 컨트랙트가 만들어지고 희생자가 발생하는 빈도가 높아지고 있습니다. 다행히 BscScan는 이런 스캠프로젝트를 구별할 수 있는 뛰어난 도구입니다. 이 글에서는 좋은 컨트랙트와 악의적인 컨트랙트를 구분할 수 있는 예시를 제공할 것입니다.

좋은 컨트렉트의 예시

  • BscScan을 방문합니다.
  • 컨트랙트 주소를 검색창에 넣습니다. 컨트랙트 주소가 확실하지 않다면 코인마켓 캡을 이용해 확인합니다.
  • 토큰 페이지를 방문합니다. 믿을만한 컨트랙트는 공식 홈페이지 주소와 소셜 플랫폼을 포함한 모든 정보를 볼 수 있도록 정보가 포함되어 있습니다.
  • 컨트랙트 주소에 들어가 필요한 정보를 살펴봅니다.

토큰페이지.JPG

컨트랙.JPG

컨트랙트 페이지의 상세 정보

케밥 파이낸스의 토큰 주소와 케밥 토큰의 컨트랙트를 통해 16가지 계약정보를 살펴볼 수 있습니다.

악의적인 컨트렉트의 예시

악의적인 프로젝트들에서 볼 수 있는 공통적인 스캠 신호가 몇 가지 있습니다. 보통 아래에 나열될 내용들을 내포하고 있습니다. 위의 예시를 통해 컨트랙트에 접속하고 살펴보는 방법을 알게 되었으므로 어떤 내용이 잠재적으로 악의적인지 확인할 수 있습니다.

  • 증명이 없다 : 컨트랙트가 증명되지 않았다면 제3자 입장에서 이것이 안전한 컨트랙트 인지 판단할 방법이 없습니다. 작년에 대규모 스캠으로 화재가 되었던 와인 스왑의 경우, 컨트랙트가 애초에 증명되지 않았었습니다.
    와인.JPG

  • 딜리게이트콜 기능 허용 : 딜리게이트콜(Delegatecall) 기능은 다른 컨트랙트의 기능을 호출자(콜러)의 컨트렉트에 속하는 것처럼 호출합니다. 즉 피호출자(콜리)가 호출된 주소의 상태를 변경할 수 있게 만듭니다. 기술에 대한 세부적인 정보를 보려면 여기를 클릭하면 됩니다. 따라서 이 기능은 안전하지 않을 수 있습니다. 아래의 예시를 통해 2월에 화제가 되었던 멀티 파이낸스 사건이 딜리 게이터 콜 기능을 이용해 컨트랙트를 파괴한 것을 볼 수 있습니다.

딜리게이터 콜.JPG

  • 업그레이드 가능한 프록시 패턴 BEP20토큰 : 이미 배포된 컨트랙트는 새로 업그레이드 할 수 없으나 프록시 패턴 BEP20 토큰은 업그레이드를 가능하게 만듭니다. 토큰 운영자가 로직을 언제든 바꿀 수 있기 때문에 주의가 필요합니다. 기술적 정보는 여기를 클릭하시면 됩니다.

  • 몇몇 토큰은 추후 기능을 업그레이드하기 위해 운영자가 설계단계에서 프락시 패턴을 허용했다고 할 수 있으나 이런 경우에는 토큰 발행자가 신뢰할 만한 명성을 가지고 있는지 반드시 파악해야 합니다.

  • 믿을 수 없는 이율 : 당연하지만 스캠일 확률이 높습니다.

월스.JPG

  • 공용 기능을 악용하는 사례 : 마이그레이터 코드(Migrator)를 무제한적으로 허용하는 경우, 모든 펀드의 자금이 출금될 가능성이 있습니다. 이 주소의 컨트랙트 소스코드를 살펴보면 악용되는 사례를 살펴볼 수 있습니다.

마이그레이터.JPG

  • 토큰의 최대 공급량이 압도적으로 많거나 하나의 주소(홀더)에 공급량이 압도적으로 높을 경우

  • 소셜 미디어 운영이 너무 부실할 경우

전반적으로 초기 디파이 프로젝트에 투자하는 것은 하이리스크를 동반합니다. 하지만 스마트 컨트렉트가 기본적으로 어떻게 동작하는지 알고, 잠재적인 먹튀의 시그널을 파악하는 것은 이런 위험성을 줄이는데 도움을 줄 수 있습니다. 디파이뿐만이 아닌 블록체인상에서 거래를 할 때는 항상 위험을 동반하니 전체적으로 신뢰할 수 있는 채널을 파악하고 사용하는 것은 매우 중요합니다. 투자 전 스마트 컨트랙트에 대한 충분한 조사(DYOR)는 장기적으로 더 많은 손실을 막아 줄 것입니다.

거래소, 코인 관련

디파이 관련

읽을거리

Sort:  

@libera-tor transfered 5 KRWP to @krwp.burn. voting percent : 9.32%, voting power : 81.01%, steem power : 1719155.10, STU KRW : 1200.
@libera-tor staking status : 660.235 KRWP
@libera-tor limit for KRWP voting service : 1.98 KRWP (rate : 0.003)
What you sent : 5 KRWP
Refund balance : 3.02 KRWP [51659453 - c9cb9bc9a067c3c4c9d149efa06964ba5b265106]

역시나 어려운 디파이입니다.

Thank You for sharing Your insights...

어렵지만 따라가야 할 것 같습니다 ㅎㅎ NFT로의 전환을 도와주는 시스템이 디파이가 아닐까 생각해봅니다.