2024-03-28 18:35 (목)
이더리움, 해커톤 통해 다수의 보안 취약점 발견돼
상태바
이더리움, 해커톤 통해 다수의 보안 취약점 발견돼
  • hsk 기자
  • 승인 2017.09.25 17:16
이 기사를 공유합니다

ethereum-1-1.jpg
이더리움(Ethereum)이 후원하는 해커톤 콘테스트에서 자금을 전송하고 조작하는데 사용하는, 네트워크에 무해한 코드로 위장하는 멀웨어에 대한 몇가지 새로운 트릭(digital smart contracts: 계약에서 동의한 조건을 자동으로 시행 할 수 있는 소프트웨어 프로토콜)이 공개됐다.

이더리움은 2015년에 도입되었고, 이더리움에 대한 보안 위험들은 블록체인 커뮤니티에서 오픈되어 있었다. 그러나 2016년 5천만달러 해킹이 발생한 후 커뮤니티는 이 사건을 기준으로 해킹 전과 후 두개 버전의 이더리움을 만들었다. 7월에 또다시 3천만달러가 도난당했다.

목요일에 이더리움 재단이 지원하는 그룹이 Solidity라는 표준 프로그래밍 언어로 악의적인 smart contracts를 만들어내는 해킹대회 3명의 우승자를 공표했다. 이는 이더리움 커뮤니티가 플랫폼 보안의 여러 측면을 지속적으로 주시하고 있음을 보여주는 것이다.

우승자인 보안 컨설턴트 Martin Swende는 해커가 자금을 훔칠 수 있는 특수한 형식의 트랜잭션 Solidity 코드를 작성했다. 그의 익스플로잇은 이더리움 가상머신에서 돌아가는 샌드박스 환경의 smart contracts에서 실행되는 방식으로 이루어졌다. 그러나 실행시 버퍼 오버플로우가 발생했다. Swende는 11월 이더리움 개발자 컨퍼런스인 DevCon3에서 이에 대해 발표할 예정이다.

다른 두 승자는 코드를 실행할 필요가 없는 계약에 돈을 보내기 위해 조금 알려진 기술을 사용했다. 일반적으로 사용자는 지불 가능한 프로그래밍 함수를 코딩하지만 이더리움 가상 머신은 코드 없이 계약의 잔액을 계산할 수 있는 ‘자동 파괴’ 기능이 있어, 잔액과 지불 기능이 말하는 금액이 매치될 경우 계약을 뒤집는다.

일리노이 대학에서 블록체인 보안을 연구하는 Andrew Miller는 이에 대해 이더리움에서 발생할 수 있는 미묘한 프로그래밍 에러가 초래할 수 있는 잠재적 위협에 대한 훌륭한 시연이라고 언급했다. 그는 또한 이더리움 커뮤니티가 버그 바운티 제공을 통해 smart contract 확인 방법을 연구하고 대회를 여는 등 사전 대응적인 보안 조치를 잘 취하고 있다고 덧붙였다.

블록체인 회사 Synechron의 마케팅 책임자는 Diana Kearns는 블록체인 플랫폼이 성숙기에 있고 이제는 가장 생산 준비가 잘된 제품 중 하나라고 말했다. 이를 테스트할 수 있는 해커톤을 통해서만 보안을 지속적으로 확인하고 개선할 수 있을 것이다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★