오래된 스마트 계약은 프로토콜이 발전한 후에도 오랫동안 위험할 수 있습니다.
에이 SlowMist 분석 Aztec Connect에서 219만 달러를 도난당한 사건으로 인해 이 문제가 다시 주목을 받게 되었습니다. 영향을 받은 계약은 활성 Aztec 네트워크가 아닌 더 이상 사용되지 않는 레거시 시스템의 일부였지만 이 사건은 여전히 DeFi 사용자와 개발자에게 중요한 경고입니다.
TL;DR
- SlowMist는 Aztec Connect의 더 이상 사용되지 않는 레거시 인프라에 영향을 미치는 219만 달러 규모의 익스플로잇을 분석했습니다.
- 활성 Aztec 네트워크는 1차 분석에서 손상된 것으로 설명되지 않았습니다.
- 이 문제는 제품이 종료된 후에도 체인에 남아 있는 불변 계약의 위험을 강조합니다.
- 사용자가 얻을 수 있는 교훈은 간단합니다. 오래된 프로토콜 인터페이스와 폐기된 계약은 여전히 재정적 위험을 안고 있을 수 있다는 것입니다.
더 이상 사용되지 않는다고 해서 항상 무해하다는 의미는 아닙니다.
기존 소프트웨어에서는 단종된 제품에 패치를 적용하거나 종료하거나 사용자가 접근할 수 없도록 완전히 제거하는 경우가 많습니다. 온체인 시스템은 다릅니다. 스마트 계약이 불변이고 여전히 자산이나 권한을 보유하고 있다면 실시간 공격 표면으로 계속 존재할 수 있습니다.
이것이 SlowMist가 분석한 Aztec Connect 익스플로잇의 불편한 교훈입니다. 계약은 이미 더 이상 사용되지 않는 레거시 시스템의 일부였지만 공격자는 여전히 이를 표적으로 삼을 수 있었습니다. 사건에 대한 보고서는 추가적인 레거시 계약 문제도 지적했지만 가장 깨끗한 기본 소스는 219만 달러 규모의 Aztec Connect 사례를 지원합니다.
그 구별이 중요합니다. 이것은 현재 아즈텍 네트워크가 손상되었다는 이야기가 아닙니다. 이는 제품이 더 이상 홍보되지 않는다는 이유만으로 사용자가 위험이 사라졌다고 생각할 수 있는 오래된 스마트 계약의 롱테일에 대한 이야기입니다.
불변성 트레이드오프
암호화폐는 불변성을 특징으로 취급하는 경우가 많으며 여러 면에서 그렇습니다. 사용자는 시장 상황이 불편해질 때마다 프로토콜 운영자가 규칙을 다시 작성하는 것을 원하지 않습니다. 그러나 불변성은 두 번째 측면도 있습니다. 결함이 있거나 노출된 계약을 일시 중지하거나 업그레이드할 수 없는 경우 문제가 발생했을 때 개발자가 개입할 여지가 거의 없을 수 있습니다.
아즈텍의 레거시 문제는 이러한 더 광범위한 균형에 적합합니다. 더 이상 사용되지 않는 인프라는 팀이 최신 시스템으로 이동한 경우에도 체인에 남아 있을 수 있습니다. 사용자가 자금을 남겨두거나 이전 계약과 계속 상호작용하는 경우 프로토콜의 현재 개발 로드맵이 이를 보호하지 못할 수 있습니다.
이는 DeFi에 지저분한 보안 문제를 야기합니다. 개발자는 경고를 게시하고, 인터페이스를 완화하고, 마이그레이션을 권장할 수 있지만 이전 계약을 모두 지울 수는 없습니다. 한편 공격자는 자산, 엣지 케이스, 잊어버린 권한을 계속해서 검색할 수 있습니다.
트레이더와 사용자가 시청해야 할 사항
일상적인 사용자들에게 있어서 실용적인 교훈은 오래된 계약을 주의 깊게 다루라는 것입니다. 친숙한 프로토콜 이름이 자동으로 이전 인터페이스나 브리지가 안전하다는 의미는 아닙니다. 레거시 계약과 상호 작용하기 전에 사용자는 프로토콜이 여전히 이를 지원하는지, 자금이 여전히 모니터링되고 있는지, 공식 마이그레이션 경로가 존재하는지 확인해야 합니다.
개발자에게 이 사건은 일몰 계획이 프로토콜 설계의 일부가 되어야 함을 상기시켜줍니다. 시스템을 폐기하는 것은 위험을 제거하는 것과는 다릅니다. 명확한 경고, 철회 기간, 모니터링 및 비상 절차는 모두 중요하며, 특히 관리 제어가 의도적으로 제한되는 경우 더욱 그렇습니다.
핵심은 불변 코드가 나쁘다는 것이 아닙니다. 핵심은 불변성이 운영 규율을 더욱 중요하게 만든다는 것입니다. 코드가 활성화되고 변경할 수 없게 되면 버려진 인프라는 수년간 보안 경계의 일부가 될 수 있습니다.
이 기사는 뉴스데스크에서 작성하고 편집했습니다. 사무엘 레이.
