인간을위한 암호화 : Bybit Hack의 교훈

이 익스플로잇은 기술적 인 결함이 아닌 인간의 실패가 그러한 사건에서 가장 중요한 요소라고 밝혔다.

2025 년 3 월 18 일, 오후 10:09 UTC2025 년 3 월 18 일, 오후 10:04 UTC

그만큼 최근 약 15 억 달러의 보안 위반 거래량으로 세계에서 두 번째로 큰 암호 화폐 교환 인 Bybit에서는 디지털 자산 커뮤니티를 통해 잔물결을 보냈습니다. 고객 자산이 200 억 달러에 달하면서 Bybit은 공격자가 오프라인 “콜드”지갑에서 일일 거래에 사용되는 “따뜻한”지갑으로 일상적인 양도 중에 보안 통제를 이용했을 때 큰 도전에 직면했습니다.

초기 보고서에 따르면 gnosis Safe를 사용한 집에서 재배 한 Web3 구현과 관련된 취약점은 오프 체인 스케일링 기술을 사용하고 중앙 집중식 업그레이드 아키텍처 및 서명을위한 사용자 인터페이스를 포함하는 다중 서명 지갑입니다. 업그레이드 가능한 아키텍처를 사용하여 배포 된 악성 코드는 일상적인 전송처럼 실제로 변경된 계약으로 보였습니다. 이 사건은 사용자가 자금을 확보하기 위해 서두르면서 약 350,000 개의 인출 요청이 발생했습니다.

절대적인 용어는 상당히 상당하지만,이 위반은 총 암호 화폐 시가 총액의 0.01% 미만으로 추정됩니다. 한때 실존 위기가 어떻게 관리 가능한 운영 사건이되었는지를 보여줍니다. Bybit의 모든 정비되지 않은 자금이 준비금을 통해 보장 될 것이라는 신속한 보증 또는 파트너 대출은 성숙을 추가로 보여줍니다.

cryptocurrencies가 시작된 이래로, 블록 체인 프로토콜의 기술적 결함이 아닌 인적 오류는 지속적으로 주요 취약점이었습니다. 우리의 연구 검사 10 년 동안 주요 암호 화폐 위반에 따르면 인적 요인이 항상 지배적이라는 것이 밝혀졌습니다. 2024 년에만 약 22 억 달러가 도난당했습니다.

놀라운 점은 이러한 위반이 비슷한 이유로 계속 발생한다는 것입니다. 조직은 시스템에 대한 책임을 명시 적으로 인정하지 않거나 요구 사항이 확립 된 보안 프레임 워크와 독특하게 다르다는 환상을 보존하는 맞춤형 솔루션에 의존하지 않기 때문에 시스템을 확보하지 못합니다. 입증 된 방법론에 적응하기보다는 보안 접근을 재창조하는 패턴은 취약점을 영속시킵니다.

블록 체인과 암호화 기술은 암호화 적으로 강력한 것으로 입증되었지만 보안에서 가장 약한 연결은 기술이 아니라 인적 요소가 인터페이스하는 것입니다. 이 패턴은 Cryptocurrency의 초기 시절부터 오늘날의 정교한 기관 환경에 이르기까지 매우 일관성을 유지했습니다. 사이버 보안 문제를 반향합니다 – 더 전통적인 – 도메인.

이러한 인간 오류에는 개인 키의 잘못된 관리가 포함됩니다 지는불화를 일으키거나 개인 키를 노출 시키면 보안이 손상됩니다. 해커가 피해자를 조작하여 피싱, 사칭 및 속임수를 통해 민감한 데이터를 공개하기 위해 사회 공학 공격이 주요 위협으로 남아 있습니다.

인간 중심 보안 솔루션

순전히 기술 솔루션은 근본적으로 인간 문제를 해결할 수 없습니다. 업계는 기술 보안 조치에 수십억 달러를 투자했지만, 지속적으로 위반을 가능하게하는 인적 요소를 다루는 데 상대적으로 거의 투자되지 않았습니다.

효과적인 보안에 대한 장벽은 취약한 시스템에 대한 소유권과 책임을 인정하는 것을 꺼려하는 것입니다. 자신이 통제하는 것을 명확하게 설명하지 못하거나 자신의 환경을 고집한다고 주장하는 조직은 확립 된 보안 원칙을 적용하기에는 너무 고유하다.

이것은 보안 전문가 Bruce Schneier가 보안 법칙이라고 불리는 것을 반영합니다. 고유성을 확신하는 팀에 의해 고립되어 설계된 시스템은 거의 변하지 않는 보안 관행이 해결 될 중요한 취약점을 포함합니다.. cryptocurrency 부문은이 함정에 반복적으로 떨어졌으며, 종종 전통적인 금융 및 정보 보안에서 입증 된 접근 방식을 조정하기보다는 보안 프레임 워크를 처음부터 재건했습니다.

인적 중심 보안 설계로의 패러다임 전환이 필수적입니다. 아이러니하게도, 전통적인 금융은 단일 요소 (비밀번호)에서 MFA (Multi-Factor Authentication)로 발전했지만, 초기 cryptocurrency는 암호화만으로 보안의 베일 아래 개인 키나 시드 문구를 통해 단일 요소 인증으로 보안을 단순화했습니다. 이 과도 단순화는 위험했으며, 다양한 취약점과 악용의 업계의 속도를 높였습니다. 수십억 달러의 손실 후, 우리는 전통적인 금융이 해결 한보다 정교한 보안 접근법에 도달합니다.

현대의 솔루션과 규제 기술은 인적 오류가 피할 수 없으며 보안 프로토콜을 완벽하게 준수하는 것이 아니라 이러한 오류에도 불구하고 안전한 상태로 유지되는 설계 시스템임을 인정해야합니다. 중요하게도,이 기술은 근본적인 인센티브를 변화시키지 않습니다. 이를 구현하려면 직접 비용이 발생하며 IT를 피하면 평판이 손상됩니다.

보안 메커니즘은 단순히 기술 시스템을 보호하는 것 이상으로 인간의 실수를 예상하고 일반적인 함정에 대한 탄력성을 발전시켜야합니다. 암호 및 인증 토큰과 같은 정적 자격 증명은 예측 가능한 인간 행동을 이용하는 공격자에 대해 불충분합니다. 보안 시스템은 행동 이상 탐지를 통합하여 의심스러운 활동을 깃발해야합니다.

쉽게 접근 할 수있는 단일 위치에 저장된 개인 키는 주요 보안 위험이 있습니다. 오프라인과 온라인 환경 사이의 키 스토리지를 분할하면 전원이 손상됩니다. 예를 들어, 하드웨어 보안 모듈에 키의 일부를 저장하면서 다른 부품 오프라인을 유지하면 전체 액세스를위한 여러 검증을 요구하여 보안을 향상시켜 다중 인증 인증 원리를 암호 화폐 보안에 다시 소개합니다.

인간 중심 보안 접근법을위한 실행 가능한 단계

포괄적 인 휴먼 중심 보안 프레임 워크는 고립 된 솔루션이 아닌 생태계 전체에 걸쳐 조정 된 접근 방식을 통해 여러 수준의 암호 화폐 취약점을 다루어야합니다.

개별 사용자의 경우 하드웨어 지갑 솔루션이 최상의 표준으로 남아 있습니다. 그러나 많은 사용자가 보안 책임보다 편의를 선호합니다두 번째로 높은 것은 거래소가 전통적인 금융에서 관행을 구현하는 것입니다. 대규모 전송에 대한 기본 (그러나 조정 가능한) 대기 기간, 승인 수준이 다른 계층 계정 시스템 및 중요한 의사 결정 지점에서 활성화하는 상황에 민감한 보안 교육이 있습니다.

교환 및 기관은 완벽한 사용자 규정 준수에서 인적 오류를 예상하는 시스템 설계로 전환해야합니다. 이는 그들이 통제하는 구성 요소와 프로세스를 명시 적으로 인정하고 따라서 보안을 담당합니다.

책임 경계에 대한 거부 또는 모호성은 보안 노력을 직접 훼손합니다. 이러한 책임이 확립되면 조직은 행동 분석을 구현하여 변칙적 패턴을 감지하고 고 부가가치 전송에 대한 다당 승인이 필요하며 손상된 경우 잠재적 손상을 제한하는 자동 “회로 차단기”를 배치해야합니다.

또한 Web3 도구의 복잡성은 큰 공격 표면을 만듭니다. 확립 된 보안 패턴을 단순화하고 채택하면 기능을 희생하지 않고 취약점이 줄어 듭니다.

업계 수준에서 규제 기관과 리더는 보안 인증에서 표준화 된 인적 요소 요구 사항을 설정할 수 있지만 트레이드 오프가 있습니다. 혁신과 안전 사이. Bybit 사건은 cryptocurrency 생태계가 깨지기 쉬운 초기부터보다 탄력적 인 금융 인프라로 진화 한 방법을 보여줍니다. 보안 위반은 계속되고 항상있을 가능성이 있지만, 성격은 지속적인 엔지니어링 솔루션이 필요한 운영 문제에 대한 개념으로서 cryptocurrency에 대한 신뢰를 파괴 할 수있는 실존 위협에서 바뀌 었습니다.

cryptosecurity의 미래는 모든 인적 오류를 제거하는 불가능한 목표가 아니라 피할 수없는 인간의 실수에도 불구하고 안전한 시스템을 설계하는 데 있습니다. 이를 위해서는 먼저 시스템의 측면이 보안 격차로 이어지는 모호성을 유지하기보다는 조직의 책임에 속하는 것을 인정해야합니다.

Cryptocurrency 생태계는 인간의 한계와 구축 시스템을 인정함으로써 보안 프로토콜을 완벽하게 준수하지 않고 투기 호기심에서 강력한 금융 인프라로 계속 발전 할 수 있습니다.

이 성숙 시장에서 효과적인 암호화 보안의 열쇠는 더 복잡한 기술 솔루션이 아니라 더 사려 깊은 인간 중심의 디자인에 있습니다. 행동 현실과 인간의 한계를 설명하는 보안 아키텍처의 우선 순위를 정함으로써, 인간 오류가 발생하지 않을 때 안전하게 기능하는보다 탄력적 인 디지털 금융 생태계를 구축 할 수 있습니다.