OKX 보안 시스템을 샘플로 하여 Web3 보안 세계의 두 가지 주요 맥락을 정리하다

저자：0xFat

안전 문제는 그 반대말인 위험과 떼려야 뗄 수 없습니다.

최근 Mixin, CoinEx 해킹 사건 및 HTX 핫 월렛 공격 등 일련의 보안 사건이 발생하면서 투자자들은 다시 한 번 업계의 보안 문제에 주목하게 되었습니다.

파이쉴드 통계에 따르면, 9월 25일 기준으로 Mixin(손실 2억 달러), Euler Labs(손실 1.97억 달러, 해커가 반환함), Vyper/Curve(손실 7360만 달러, 해커가 5230만 달러 반환함), CoinEx(손실 7000만 달러), Atomic Wallet(손실 6500만 달러), Stake(손실 4100만 달러), CoinsPaid(손실 3770만 달러), Poly Network(손실 2600만 달러), low-carb-crusader(손실 2500만 달러), 대형 고래를 겨냥한 피싱(손실 2400만 달러) 등 상위 10대 해킹 사건에서 발생한 총 손실액은 6억 달러를 넘습니다.

암호화 세계라는 어두운 숲 속에서 해킹 공격, 피싱 사기 등 다양한 위험이 끊임없이 발생하고 있습니다.

이 글에서는 안전을 최우선으로 하는 제품 설계 원칙을 가진 OKX를 사례로 삼아, OKX Web3 지갑과 OKX CEX의 보안 시스템을 체계적으로 분석하고, 팀이 수행한 작업과 생각을 통해 Web3 보안 세계의 본질적인 문제를 파악하고자 합니다.

지갑 보안에 대해, 위험을 인식하고 표시하며 실시간으로 차단하는 것이 핵심입니다

CertiK가 발표한 2023년 2분기 Web3.0 산업 보안 보고서에 따르면, CertiK는 총 212건의 보안 사건을 발견했으며, 해커 등 악의적인 행위자들이 Web3.0 산업에서 3.1억 달러의 가치를 착취했습니다. 이는 체인 상 자산 보안 문제의 심각성을 보여줍니다.

사람들이 자주 사용하는 Ethereum의 EOA 계정을 예로 들면, 일반적으로 개인 키가 분실되거나, approve 함수를 통해 악의적인 계약을 승인하거나, permit 기능을 사용해 악의적인 송금 메시지에 서명하는 경우에만 자산이 이동할 수 있습니다.

개인 키 분실 문제에 있어, 한편으로는 경험 부족으로 인한 니모닉 분실이 있으며, 이러한 경우는 주로 막 시작한 초보자에게서 발생합니다. 다른 한편으로는 사용자가 에어드랍을 받을 때 피싱 사이트에 로그인하여 개인 키와 니모닉을 자발적으로 입력하는 경우입니다. 이러한 두 가지 경우는 매우 흔하며, 물론 악성 지갑을 다운로드하거나 지갑이 있는 컴퓨터/휴대폰에 트로이 목마가 심어져 해커에게 제어당하는 경우도 발생합니다. 하지만 현재의 휴대폰과 컴퓨터는 정식 웹사이트에서 소프트웨어를 다운로드하고 최신 버전으로 적시에 업그레이드하며 기본적인 네트워크 보안 상식을 갖추면 감염되기 어렵습니다.

경험 부족으로 인한 개인 키 분실 문제를 해결하기 위해, OKX Web3 지갑은 MPC 무 개인 키 지갑을 도입하여 사용자가 위험을 회피할 수 있도록 돕습니다.

MPC는 Multi-Party Computation(다자 계산)의 약자로, 간단히 말해 다중 서명 지갑으로 이해할 수 있습니다. OKX Web3 MPC 지갑은 MPC 기술을 활용하여 개인 키를 세 조각으로 나누어 각각 OKX 거래소, 사용자 장치, 클라우드 백업(iCloud/Google Drive)에 보관합니다. 사용자는 지갑을 생성할 때 OKX APP에 로그인하여 무 개인 키 지갑 방식으로 주소를 생성하고 클라우드 백업을 활성화하여 세 번째 조각을 백업하면 됩니다. 니모닉을 수동으로 보관할 필요가 없으며, 사용 시 2/3개의 조각이 필요하여 서명 권한을 완료할 수 있습니다. 모든 거래 과정에서 개인 키의 평문이 노출되지 않습니다. 이는 개인 키 유출로 인한 자산 보안 문제를 어느 정도 해결합니다. 또한, OKX는 MPC 지갑에 긴급 탈출 기능을 설정하여 사용자가 특별한 상황에 처했을 때 클라우드 백업 비밀번호를 입력하면 빠르게 개인 키를 얻고 자산을 이동할 수 있도록 안전하고 편리하게 돕습니다.

경험 부족으로 인한 니모닉 관련 보안 문제는 주로 입문자에게 발생하며, 상호작용 경험이 있는 사용자에게는 approve 승인 및 permit 서명 단계에서 위험이 발생합니다. 예를 들어, 앞서 언급한 피싱 위험 등이 있습니다.

approve 함수는 체인 상 상호작용의 중요한 부분으로, 계약이 transferFrom 함수를 호출할 수 있도록 하여 계약 코드에 정의된 규칙에 따라 주소의 자산을 이동시킵니다. 악의적인 계약에 approve 승인이 이루어지면 자산 도난의 큰 위험에 직면하게 됩니다.

서명 위험은 주로 erc20 프로토콜의 permit 확장 기능에서 발생합니다. 이 기능은 사용자가 서명 메시지를 통해 승인 작업을 완료하고 서명 결과를 다른 지갑에 전송하여 자산 이동 작업을 완료할 수 있도록 합니다. 사용자가 DEX의 주문 기능을 사용할 때 흔히 발생하며, 1inch의 Fusion 기능을 예로 들 수 있습니다. 이 기능은 사용자가 주문 메시지에 서명할 수 있게 하며, 서명 후 사용자는 가스를 지불하지 않고도 자산을 1inch에 위임할 수 있습니다. 이후 1inch는 사용자가 구매하고자 하는 코인을 제공합니다. 이 과정에서 어떤 웹사이트가 악의적인 메시지를 위조하여 사용자가 서명하게 만들면, 그 결과는 대개 안타까운 상황이 될 것입니다.

따라서 위험 모니터링이 특히 중요합니다.

OKX Web3 팀은 권한 관리 페이지를 정리하여 사용자가 해당 페이지에서 프로토콜 및 통화에 대한 권한 상황을 직접 확인할 수 있도록 하였으며, 해당 페이지에서 직접 권한을 취소하여 불필요한 위험을 회피할 수 있습니다. 악의적인 위험 계약에 대해서는 OKX Web3 지갑이 KYT 천안 시스템을 접목하여 사용자가 위험을 감지할 수 있도록 돕습니다. 현재 이 시스템은 3억 개 이상의 암호화폐 주소를 수록하고 있으며, 사용자가 악의적인 주소나 의심스러운 거래(피우피우 판/피싱 등)에 연루될 경우 효과적인 위험 감지 및 자동 경고를 제공합니다.

OKX Web3 팀의 보안 아키텍처 책임자인 Neil은 OKX가 앞으로 주소 태그를 계층적으로 처리할 것이라고 밝혔습니다. 화이트리스트 주소는 일반적인 알림으로 처리되고, 그레이리스트 주소는 일반적인 위험 알림으로 처리되며, 블랙리스트 주소는 직접 차단됩니다. 향후 팀은 위험 예방, 위험 정리, 위험 보완 및 사용자 교육 등 여러 분야에서 지속적으로 구축하여 보안 방어 시스템을 강화하고 사용자 안전을 확고히 할 것입니다.

사실, 상호작용 환경에 숨겨진 위험 외에도 지갑 자체의 보안도 매우 중요합니다. 현재 OKX Web3 지갑은 다중 체인 서명 SDK를 전면 오픈 소스화하였고, MPC 무 개인 키 지갑의 핵심 알고리즘을 오픈 소스화하였으며, AA 지갑과 BRC20-S도 오픈 소스화하였습니다. 코드 오픈 소스화의 의미는 제품의 투명성과 신뢰성을 실현하고 동료의 "평가"를 받으며 개발자 간의 소통과 오픈 협업을 촉진하여 Web3 기술의 발전을 이끄는 것입니다.

물론, 체인 상의 다양한 위험 외에도 FTX와 같은 중앙화 플랫폼의 붕괴로 인한 시스템적 위험은 더욱 우려됩니다.

CEX 보안에 대해, 자율 규제 및 강력한 리스크 관리 시스템 구축이 핵심입니다

Fcoin의 도주에서 FTX의 폭발까지, 지난 몇 년 동안 많은 CEX 플랫폼이 몰락의 저주를 피하지 못했습니다. 그 원인은 주로 빠른 성장과 기업 책임 의식의 불일치로 인한 내부 관리 부실 때문이며, 더 근본적인 원인은 인간성에 있습니다.

따라서 자율 규제와 자가 규제가 CEX가 반드시 해야 할 일입니다.

작년 말부터 업계의 주요 기업들은 자율 규제 모델을 시작하며 POR 등의 메커니즘을 통해 자금 투명성을 높이고 사용자 자금 상황을 체인에 기록하여 공개하고 있습니다.

공식 정보에 따르면, OKX는 11개월 연속으로 준비금 증명을 발표하였으며, 22개 공시 통화의 준비금 비율이 모두 100%를 초과합니다. 이 중 BTC, ETH, USDT의 준비금 비율은 각각 102%, 103%, 102%로, 세 가지 총 가치는 112억 달러에 달하며, 월별로 준비금 증명을 발표하는 주요 암호화 거래소 중 하나입니다. 관련자는 OKX가 POR의 투명성을 전통 금융 감사 기준으로 높이기 위해 노력하고 있으며, 업계를 지속적으로 안전하고 투명하게 이끌고 있다고 밝혔습니다. 현재 zk-STARK 등의 혁신 기술을 통해 POR 시스템을 업그레이드하였으며, 사용자는 언제든지 OKX의 지급 능력을 독립적으로 검증할 수 있습니다. 현재 수십만 사용자가 POR 페이지에 접속하여 스스로 검증을 완료하였습니다.

CEX의 안전성에 대해 이야기할 때 인간의 약점을 피할 수는 없습니다. 그러나 이는 단기간에 극복할 수 있는 문제가 아닙니다. 일반 사용자에게는 극단적인 사건이 발생했을 때 자산 안전을 보장하는 방법에 더 주목해야 합니다. 플랫폼 측에서는 사용자가 위기 속에서 "자기 보호"를 할 수 있도록 돕는 것이 가장 핵심적인 경쟁력임을 명확히 인식해야 합니다.

루나 붕괴 사건에서 OKX 리스크 관리 시스템은 즉시 자동 환매 메커니즘을 가동하여 UST 투자에 참여한 사용자가 무사히 위기를 피할 수 있도록 도왔습니다. 3Commas API 데이터 유출 사건에서 OKX는 협력한 여러 거래소 중 유일하게 사용자 0 손실 및 가장 완벽한 보안 성능을 가진 플랫폼이었습니다. 다양한 시험에 직면한 OKX는 항상 뛰어난 "자질"을 보여주었습니다.

여러 차례 풍파를 넘길 수 있었던 핵심은 OKX 팀이 항상 잠재적으로 발생할 수 있는 위험을 사전에 시뮬레이션하고, 리스크 관리 시스템의 구축 및 반복에 많은 시간과 노력을 투자한다는 점입니다. 리스크 관리 시스템 관련 책임자는 "OKX의 API 시스템은 강력한 Fast API 기능, IP 화이트리스트, 사기 방지 리스크 관리 및 제3자 화이트리스트 기능을 갖추고 있습니다. 이는 OKX API 리스크 관리 시스템의 핵심 기능으로, 해커가 API 키를 침해하더라도 쉽게 키를 사용할 수 없습니다. 사용자는 평소 이러한 조치의 존재를 인식하지 못할 수 있지만, 이들은 항상 중요한 순간에 조용히 작용합니다."라고 말했습니다.

정말 그렇습니다. 안전은 매력적인 이야기로 필요하지 않으며, 본질은 플랫폼이 항상 책임 의식을 가지고 있는지에 달려 있습니다. 이는 지렛대가 필요하다는 것을 의미합니다. 해당 리스크 관리 책임자는 OKX의 책임 의식의 지렛대가 "기술이 선을 향하도록" Web3에서 뿌리내리기를 희망한다고 털어놓았습니다.

안전 문제의 본질로 돌아가기

산업 발전에 따라 안전 문제의 유형은 점점 더 많아질 것이며, 특히 현재 시장 환경에서 많은 해커들이 암호화 세계를 겨냥하고 있습니다. 안전 수호자에게는 점점 더 많은 도전이 있을 것입니다. 아마도 이러한 신념만이 OKX가 지속적으로 나아갈 수 있도록 지탱해 줄 것입니다.

OKX의 보안 시스템을 분석함으로써 Web3 보안 문제에 대한 그들의 접근 방식과 마음가짐을 명확히 알 수 있으며, 그들은 Web3 보안 세계 발전의 두 가지 주요 맥락을 정리하였고, 이 두 가지 맥락을 따라 강력한 방어선을 구축하였습니다. 우리는 OKX가 미래에 Web3 세계의 안전 수호자 역할을 잘 수행할 수 있을 것이라고 믿을 이유가 있습니다.

안전 문제는 결국 인간의 선함과 악함에 대한 문제로 돌아가지만, 일반 사용자로서는 이를 분별하기가 매우 어렵습니다. 우리는 최대한 안전 예방 의식을 높이고, 영향력이 큰 플랫폼을 선택하려고 노력해야 합니다. 영향력이 클수록 스스로의 명성을 아끼고, 자연스럽게 올바른 마음가짐을 유지할 수 있습니다.