EOSCommunity.org Forums

SX Vault 사건 후 EOS 커뮤니티에 남겨진 숙제

EOS KOREOS
#1

[개요]
sx vault의 코드 결함을 이용한 플래시 론 공격으로 해킹 사건이 발생

EOS 네이션은 flash.sx 스마트 컨트랙트에서 재진입 공격 익스플로잇을 식별한 해커에게 바운티(10만 USDT)를 제안. (제안 내용 : 해커가 1,180,142.5653 EOS 및 461,796.8968 USDT를 flash.sx 계정으로 반환하면 해커가 선택한 계정으로 바운티가 전송)

해당 제안은 무시되었고 해커는 해킹 자금 믹싱을 위해 다수의 계정으로 이체하기 시작.

댄은 버그 없는 코드와 소프트웨어는 존재하지 않기에 블록체인에서 구동되는 스마트 컨트랙트에도 버그가 있을 수 밖에 없기에 댄은 코드가 법(The code is law)이 아니라, 코드의 의도가 법(The intent of code is law)임을 주장
(댄 : EOS의 의도는 코드의 의도가 법(the intent of code is law)이라는 것이었습니다. 저는 이더리움이 DAO 헤킹사건 때 의도를 적용한 것과 동일한 방식으로 EOS 역시 의도 계약(intent contracts)에 대한 명확한 합의를 시행하려는 노력을 전적으로 지지합니다.

BP들이 긴급 회의를 진행하였고 15/21 BP 동의로 해커의 계정 동결(키 권한 변경) 후 해킹 자금 반환 결정.

[SX Vault 사건 관련 EOS 커뮤니티에 남겨진 숙제.]
다만 SX Vault 해킹 사건을 계기로 EOS 커뮤니티가 고민해야 할 사항들이 숙제로 남겨진 것 같습니다.

1.BP들의 이해관계에 의한 대응
이번 사건은 BP들의 발빠른 대응으로 해커 계정이 동결되며 해결되었습니다.

하지만 이전까지 개인 계정 해킹 사건이나 이번 해킹 사건 보다 더 큰 사건 때도 BP들은 계정 동결을 진행하진 않았습니다. SX Vault는 EOS 네이션이 운영 중인 DeFi 서비스이며 해당 BP의 이해관계와 맞물려있어 빠르게 해결 된 것 같습니다.

2.거래소 BP들의 무응답
BP들이 긴급한 회의를 진행하였고 15 / 21 BP 이상의 동의로 해결 되었지만 일부 거래소 BP는 회의에 참여하지 않았습니다. (너무 긴급한 회의라 참여가 불가능 했을 수 있지만 우연인지 참여 못한 BP들 대부분 거래소 BP였습니다.)

블록원이 제안한 스테이크 기반 투표 및 보상 시스템이 적용되어 BP 시스템이 개선되어야합니다.

3.해킹 사전 대비 및 사후 조치 방안 필요
DeFi 해킹 사건은 EOS 디앱 뿐만 아니라 이더리움, 바이낸스 스마트 체인 등 다양한 블록체인에서 발생하고 있습니다. 멀티시그와 보안 감사를 진행한다 하더라도 코드는 100% 완벽 할 수 없습니다. 때문에 사전 대비 방안과 사후 조치 방안이 필요합니다.

사전 대비 방안 : ProFi는 KYC 사용자만 이용 할 수 있으므로 해킹 사건이 발생 한다 하더라도 해커를 쉽게 색출 가능합니다.

사후 조치 방안 : DeFi를 위한 보험 서비스 등 일관된 메뉴얼에 의한 사후 조치 방안이 필요합니다.

4.해킹 발생 시 다른 블록체인의 대응 사례
-비트코인 : 바이낸스 해킹 사태 때 바이낸스 CEO CZ는 비트코인 *리오그를 하지 않고(할 수도 없었겠지만) 자체 안전자산펀드인 SAFU 기금을 사용해 해킹 피해를 보상했습니다. 이는 비트코인 네트워크 전체 이익을 위한 결정이었습니다.
*리오그(블록 재조정, Block Reorganization) : 특정 지점에서 새로운 거래 내역을 덧붙여 이전 블록체인 내역을 무효로 하는 작업

-이더리움 : 이더리움 DAO 해킹 사태 때 이더리움은 해킹 피해를 무효화하기 위해 블록체인 하드포크를 진행했습니다. 이로 인해 이더리움 커뮤니티는 분열되었고 아직까지 비트코인 맥시멀리스트들에게 비판을 받는 이유 중 하나입니다.

5.결론
EOS 초기에 댄은 코드는 법이 아닌 코드의 의도가 법임을 강조했습니다. (코드의 의도가 법이라면 그 의도가 일관되게 적용되었으면 합니다.) 이번 해킹 사례는 EOS가 하드포크 없이 문제를 해결 할 수 있음을 증명하는 동시에 위에서 언급한 문제들로 EOS 커뮤니티 내/외부로 부터 비판을 받게 될 수 있습니다.
+
객관적인 입장에서 글을 써보려고 노력했습니다. 이 사건을 덮어두고 같은 문제를 계속 반복하는 것보단 앞서 말한 문제들이 개선되고 EOS 커뮤니티가 분열되지 않고 더욱 견고한 커뮤니티가 되었으면 합니다.

SX Vault 사건과 관련된 다양한 의견을 EOS 커뮤니티와 나눠보고싶습니다.

8 Likes
#2

좋은글 감사드립니다.

BP부분에서 BP들의 불성실에대한 정보 제공이 약하다고 생각합니다.

이번 사안에서 찬성 혹은 반대 의견을 던지는 적극적인 커뮤니티 참여 행태가 없다면 공개된 페이지를 통해 BP들의 만행에 대한 기록 공개를 하여

일종의 낙천 낙선 운동을 진행해야 한다고 생각합니다.

예를들어 이번 투표 및 회의에 참여하지 않은

  1. 바이낸스
  2. 바이낸스에 투표하고 있는 bp
  3. 바이낸스에 투표하고있는 프록시
  4. 바이낸스에 투표중인 고래 등의 명단 공개와

위임 및 투표철회 운동 및 설득이 필요하리라 생각합니다.

6 Likes