Audit+ 소개
Audit+ 워킹 그룹은 보안 위협이 증가함에 따라 모든 사람에게 보다 안전한 사용자 및 개발자 경험을 보장하기 위해 출범되었습니다.
보안은 모든 디지털 애플리케이션에 중요하지만, EOS에서 비교적 간과되는 영역 중 하나입니다. Audit+ 워킹 그룹(WG)은 EOSIO 및 Solidity 스마트 컨트렉트 개발자를 위해 널리 사용되는 감사 회사인 Slowmist 및 Sentnl의 보안 전문가가 주도합니다. 이 워킹 그룹은 Consensys Diligence에서 영감을 얻었으며, 다른 블록체인 기술들에 비해 EOSIO 생태계에 보안에 중점을 둔 솔루션이 상대적으로 적기 때문에 구성되었습니다.
Audit+ 팀이 해결해야 할 주요 문제 중 하나는 개발자 커뮤니티 내의 자체 영구 지식으로, 오늘날 올바른 도구와 문서가 제공되어야만 내일의 개발자들이 이를 학습하고 해당 지식이 전달될 수 있습니다.
EOSIO 코어 시스템은 보안 지향적인 접근 방식을 위해 훌륭하게 설계되었습니다. 그러나 기본 사항을 먼저 다른 블록체인의 표준과 일치하도록 한 다음 강력한 권한 시스템과 같은 EOSIO의 고유한 요소를 활용하여 한 단계가 아닌 많은 단계를 추진할 수 있도록 해야 합니다.
네트워크를 있는 그대로 살펴보고 다른 커뮤니티에 대한 연구를 수행함으로써 Audit+ 작업 그룹은 향후 발표될 청서에서 자세히 설명할, 집중해야 할 여러 주요 영역을 식별했습니다. EOS가 앞으로 나아갈 수 있는 방법에 대한 로드맵. Audit+에서 다룰 예정인 주제는 다음과 같습니다 :
오픈 소스 보안 감사 API 및 플랫폼
현재로써는 커뮤니티 내에 스마트 컨트렉트 코드들이 감사되었고, 안전하다고 판단할 수 있는지를 확인할 수 있는 서비스가 존재하지 않습니다. 또한 EOS는 감사인이 조사 결과 및 기타 정보를 배포할 수 있는 중앙화된 장소가 부족합니다. 이로 인해 시스템 내에 상당한 취약성이 발생할 가능성이 있으며, 개발자들이 작업 중인 스마트 컨트렉트가 완전히 안전하다고 확신 하기에는 제한적인 사항들이 존재합니다.
커뮤니티가 상호 작용하는 스마트 컨트렉트의 보안을 보다 쉽게 검증할 수 있도록 소스 코드 검증 및 감사 정보 공개 플랫폼을 구축하는 것.
이는 온체인 해시가 최신 감사가 수행된 해시와 일치하는지 확인함으로써 거래소가 각 스마트컨트렉트의 보안성을 검증할 수 있도록 한다는 점에서 EOS에 여러 가지 이점을 가져올 것입니다. 지갑은 명확한 표준을 사용하여 API와 통합될 수 있고 상호 작용 시 사용되는 스마트 컨트렉트에 대한 승인을 제공할 수 있게 될 것입니다. 사용자들은 지갑이나 프론트엔드를 통해 애플리케이션들의 보안 관련 사항들을 확인할 수 있게 될 것입니다.
컨트렉트 업그레이드 승인
일반 EOS 계정에 EOS 컨트렉트를 배치할 수 있고, 소유자가 원하는 대로 컨트렉트을 변경할 수 있는 권한이 있는 세계는 신뢰 문제를 야기합니다. 사용자들은 소유주가 갑자기 감사되지 않은 버전으로 컨트렉트을 변경하거나 심지어 컨트렉트에 잠겨있는 모든 자금을 가져가지 않을 것이라고 확신할 방법이 없습니다. Audit+는 개발자가 컨트렉트를 업그레이드할 수 있도록 보장하면서 이를 신뢰할 수 없게 만드는 방법을 모색하고 있습니다.
안전한 스마트 컨트렉트 개발을 위한 소프트웨어 라이브러리
디파이 프로토콜의 숫자와 가치가 커지면서 공격 위험이 높아지고 있습니다. 감사와 관련한 개발과 보다 안전한 운영은 네트워크 보안의 출발점을 제공할 수 있지만, 보안 통합 측면에는 여전히 격차가 존재합니다. Audit+ 워킹 그룹은 OpenZeppelin이 Solidity 개발자에게 제공하는 것과 유사하게 비용 절감 및 보안을 보장할 수 있는 토대를 확대하기 위해 범용 스마트 컨트렉트 템플릿을 개발, 감사 및 오픈 소스 형태로 제공할 수 있는 로드맵을 마련할 계획입니다.
이를 통해 경험이 부족한 개발자도 이러한 형태로 지원된 템플릿 및 표준을 통해, 안전한 스마트 컨트렉트를 생성할 수 있게 되어 전체 네트워크를 폭넓게 보호할 수 있습니다.
버그 바운티
버그 바운티는 네트워크를 보호하기 위한 커뮤니티의 열정과 재능을 이용할 수 있는 방법입니다. 이러한 혜택은 해커 커뮤니티가 EOS 코드 베이스를 분석하고 취약점을 식별하며 플래그를 지정하는 데 시간을 투자하도록 장려할 수 있습니다. 이미 대부분의 주요 블록체인에서 이러한 프로그램이 운영되고 있지만, 현재 EOS 자체에는 잘 정의된 바운티 프로그램이 존재하지 않습니다. 잘 관리되고 충분한 보상이 이루어지는 버그 바운티 프로그램을 마련함으로써, EOS가 화이트 해커와 보안 커뮤니티의 최고급 인재들을 끌어들여 심각한 취약점들이 공개되기 전에 이들을 미리 식별하고 플래그를 달 수 있을 것이라 사료됩니다.
자동화된 오픈 소스 보안 감사 도구 및 API 구축
보다 자동화되고 자유롭게 사용할 수 있는 도구를 만들면 개별 개발자가 컨트렉트의 보안을 더 쉽게 확인할 수 있습니다. 현재 일부 도구들이 존재하지만 오픈소스도 아닐 뿐더러 무료로 제공되지도 않습니다. 잘 유지되고 자유롭게 사용할 수 있는 오픈 소스 도구 제작을 통해, 사용자들은 현재 알려진 취약점에 대해 컨트렉트가 어떻게 작동하는지 확인할 수 있습니다. 강력한 보안 플랫폼은 사실상 어느 블록체인도 충분히 달성하지 못한 것으로, EOSIO를 블록체인 보안의 선두에 올려놓음으로써, 사용자가 EOSIO 디앱과 상호작용을 할 시 그들에게 안도감을 줄 수 있습니다.
EOSIO 스마트 컨트렉트 작성 시 일반적인 보안 위험에 대한 지식 저장소
스마트 컨트렉트를 작성할 때 가장 일반적인 보안 문제 중 일부는 상대적으로 피하기 쉬우나 개발자가 원하는 것이 무엇인지 알고 있는 경우에만 가능합니다. 경험이 적은 개발자들은 단순한 실수를 저지르기 쉽고, 이는 악의적인 행위자들의 타겟이 될 수 있습니다. 현재는 EOSIO 스마트 컨트랙트 개발자들을 위해 적극적으로 관리되는 보편적인 실수 목록 및 이를 피하는 방법에 대한 자료들이 존재하지 않습니다. 이와 같은 기능을 사용할 수 있게 되면 개발자는 참조할 수 있는 검증된 정보의 저장소를 얻게 되며, 처음부터 나타나는 가장 일반적이고 기본적인 취약점 중 많은 부분들을 방지할 수 있게 됩니다. 이러한 이니셔티브 중 일부는 다른 이니셔티브보다 시작하기가 더 쉬울 것입니다. 여기에는 시간 및 상당한 투자가 필요한 부분도 있을 것이고, 일반적인 실수 목록을 작성하는 등 즉시 시작할 수 있는 부분도 존재할 것입니다.
다음은 무엇일까요?
Audit+ 청서는 다음 주에 발간될 예정이며, 이는 즉시 EOS 네트워크를 더 좋게 바꿀 수 있다고 여겨지는 모든 권고사항과 이니셔티브를 개략적으로 설명할 것입니다. 이러한 각각의 이니셔티브는 현재와 미래의 공격으로부터 생태계를 보호할 때 EOS를 다시 전면에 내세울 수 있도록 할 것입니다. Audit+ 워킹그룹이 내놓는 결과 및 권고 사항들은 개발자들을 안심시키고, 디앱을 구축하거나 비즈니스를 행할 때, EOS 네트워크가 안전하다는 평판을 구축할 것입니다.
EOS 네트워크
EOS 네트워크는EOS VM을 기반으로 하는 3세대 블록체인 플랫폼으로 저지연, 고성능, 확장성이 뛰어난 Web Assembly 엔진으로, 최적의 Web3 사용자 및 개발자 경험을 제공하며, 결정적으로 저렴한 수수료를 통해 이용할 수 있도록 특별히 설계되었습니다. EOS는 EOS 네트워크 재단(ENF)을 통해 도구 및 인프라에 대한 멀티 체인 협업 및 공공재 펀딩의 원동력 역할을 하는 EOSIO 프로토콜의 대표 블록체인 및 금융 센터입니다.
EOS Network Foundation
EOS Network Foundation(ENF)은 EOS 네트워크의 성장과 발전을 장려하기 위해 재정 및 비재정적인 지원을 구성합니다. 저희는 긍정적인 글로벌 변화를 위한 힘으로서 EOS 네트워크의 조직화된 미래를 계획하기 위해 탈중앙화의 힘을 활용하고 있습니다.
