코인투자 디파이 하다보면 항상 따라오는게
리스크는 항상 있으니깐
너가 직접 공부하고 투자해라 (DYOR) 임
그 중에 제일 어이없게 사기당하는게
원래부터 러그풀이나 해킹을 염두한 사이트에 돈을 넣는거라 생각하는데
그래서 직접 안전한지 아닌지
전문가들이 걸러놓은 안전한 디파이 선택하는 법 정리함
*원글은 https://bowtiedisland.com/the-best-smart-contract-auditors-ranked/ 참조*
우선 "스마트컨트랙 audit이 정확히 뭐해주는 건가?"
- 프로그래밍 버그 있는지 찾아주고
- 운영팀이 해킹 안되게 힘쓰고 있는지 확인해 줌
근데 모든 audit해주는 주체가 다 똑같은 퀄리티를 가진게 아님
그래서 좋은 이력이 있는지, 안전한 커뮤니티와 함께하는지 확인해야함
또 간과하면 안되는게, 모든 audit이 완벽할 순 없음
코딩이나 프로그래밍이라는게 버그가 생길 위험은 항상 있기 때문
최상급티어 audit 회사들은 모니터링하는 추가기능이나 사고발생시 도와주는 서비스도 함.
안좋은 audit 회사들은 경험 없고 경쟁력 없거나, 꼼꼼히 안봐주는 특징이 있음. 그래서 audit을 해준 디파이 사이트인데도 해킹 당하는 사고들이 존재하는거.
그래서 audit 회사가 좋은지 아닌지 보는게 디파이 사이트 안전한지 보는 중요한 부분 중 하나.
Audit 회사 랭킹낸 요소들은 아래와 같음
- 회사가 audit 해준 디파이 사이트가 여럿 해킹 당하지는 않았나?
- 큰 돈이 몰리는 거대한 프로젝트 audit도 해주는가?
- 해킹 사고가 나면 공개적으로 분석해주거나 대응을 해주는가?
- 보안관련 오픈소스나 public library도 만들고, 교육도 진행하는가?
- 경험이 있는 노련한 회사인가 새로운 회사인가?
A급
1. Trail of Bits
연파이낸스(이더리움 위에 만들어진 초창기 디파이로 전세계적으로 엄청난 금액이 거래되고 있음) 가 믿는 audit인 만큼 업계에서 신뢰하는 회사임. 리포트에 나오는 프로젝트들도 거물급들이 등장함. 오픈소스도 굉장히 많이 제공함. 최근에는 enryption libraries 에서 취약점을 발견하고, 스마트컨트랙 보안 분석 툴로 Slither랑 Echidna를 제공하기도 했음.
2. OpenZeppelin
오픈재플린에서 제공하는 오픈소스는 크립토업계에서 기준으로 쓰이고 있음. 보안 팀이 강력한 이력을 갖고 있고, 컴파운드(디파이 선구자 역할하고 있는 프로토콜로 멀티체인 위에서 구동가능하고 역시나 엄청난 금액이 거래중) 하고 최근 계약을 따낼만큼 경쟁자들을 밀어내고 있는데, 특히나 오픈재플린은 이더리움 재단에서 요청하는대로 매우 복잡한 솔리디티 컴파일러 audit까지 수행한다는 특징이 있음.
3. ConsenSys Diligence
메타마스크(암호화폐 지갑), Infura(이더리움 API), Truffle(이더리움 개발 프레임워크) 같은 굵직한 블록체인 인프라 기업들을 가진 ConsenSys 회사의 보안팀에 해당함. ConsenSys에서는 audit 서비스 뿐만 아니라 다양한 오픈소스와 클로즈소스 보안 서비스도 만들어내는데, MythX가 그 중 하나임. 8년의 업력 동안 Fei, Aave, Balancer, Bancor, ENS, PoolTogether, 1inch 등등 이미 잘 알려진 프로토콜을 가지고 있는데, 다만 Growth Defi 에서 $1.3M을 해킹당한 한 가지 흠집은 있음.
4. Runtime Verification
런타임은 정형 검증(formal verification)이라는 것에 집중하는 보안 회사임. 정형 검증(formal verification)은 코드 한줄 한줄이 정확한 기준에 맞는지 수학적으로 검증하는 매우 시간이 오래걸리는 신중한 작업임. 물론 기본적인 audit도 제공함. 파트너쉽 맺은 회사가 굉장히 많은데, ETH 2.0 Beacon Chain, Tezos, OlympusDAO, Algorand, Maker, Gnosis 등등이 있음. 뿐만 아니라 회사 자체적으로 리서치 보고서를 발간함.
5. Certora
Certora는 정형 검증(formal verfication)만 제공하는 보안 회사임. 이 회사에서 제공하는 Certora Prover tool은 정형 검증을 하는데 가장 효과적인 도구임. Auditor를 길러내는 Secureum 부트캠프를 진행하는 등 커뮤니티 교육 행사도 후원하고 있음. 작업한 서비스로는 Sushiswap과 Aave를 포함해서 굵직한 프로토콜들이 많이 있음. Certora는 해킹 사건이 발생하면 바로 달려가서 해결하고 추가 보안 체크까지 진행해줌.
이런걸 읽는 분이 있으면 다음편에 이어서...