c0mpos3r

결론부터 말하면, Web3 보안은 "코드를 감사하는 시대"에서 "시스템을 설계하는 시대"로 전환 중이다. 2025년 한 해 동안 Web3 생태계에서 도난된 자산은 33.75억 달러. 이 중 단 두 건의 사건(Bybit, Cetus Protocol)이 전체 피해의 72%를 차지했다. 이 수치가 말해주는 것은 단순하다. 공격자는 이미 구조적으로 사고하고 있는데, 방어자는 여전히 점진적으로 대응하고 있다는 것이다. 이 글은 현재 업계가 직면한 위협 구조를 분해하고, AI와 블록체인의 수렴이 만들어낼 새로운 공격면과 방어 기회를 분석하며, 향후 연구 방향에 대한 메타 분석적 전망을 제시한다. 일론 머스크의 제1원리 사고(First Principles Thinking)와 피터 틸의 반직관적 사고(Contraria..

주제 선정 이유Google의 Sycamore, IBM의 Osprey... 양자 컴퓨터가 이론적 가능성에서 실제 하드웨어로 빠르게 구현되고 있다. 2019년 Google이 "양자 우월성(Quantum Supremacy)"을 달성했다고 발표한 이후, 업계의 발전 속도는 가속화되고 있다. 문제는 충분히 강력한 양자 컴퓨터가 등장하면 현재 사용되는 암호 시스템의 대부분이 무용지물이 된다는 것이다. 블록체인의 보안 근간인 ECDSA(Elliptic Curve Digital Signature Algorithm) 같은 공개키 암호는 Shor's algorithm에 의해 다항 시간(polynomial time)에 깨진다. 더 심각한 건 블록체인의 불변성이다. 일반적인 중앙화 시스템은 양자 위협이 현실화되면 암호 시스템..

주제 선정 이유요즘 npm에서 패키지 하나 설치하면 수백 개의 의존성이 딸려온다. npm install express 하나만 쳐도 200개가 넘는 패키지가 깔린다. 그 중 하나라도 악성 코드가 숨어있다면? 2021년 ua-parser-js 사건처럼 정상 패키지가 갑자기 악성 버전으로 업데이트되면 그 패키지를 사용하는 수백만 프로젝트가 순식간에 감염된다. 문제는 우리가 이 패키지들을 맹목적으로 신뢰한다는 것이다. 수백만 다운로드, GitHub 스타 수천 개면 안전하다고 착각한다. 하지만 메인테이너 계정이 해킹되거나, 악의적인 기여자가 교묘하게 백도어를 심을 수 있다. 2018년 event-stream 사건은 공격자가 몇 달간 정상적으로 기여하면서 신뢰를 쌓은 후, 특정 암호화폐 지갑만 타겟으로 하는 코드를..

주제 선정 이유블록체인은 불변성이 특징인데, 역설적으로 이게 가장 큰 문제다. 한번 배포된 스마트 컨트랙트는 수정이 거의 불가능하고, 취약점이 발견되면 수억 원의 자산이 순식간에 사라진다. 2022년 Ronin Network 해킹에서 6억 달러 이상이 증발한 사건이나, 최근까지도 계속되는 DeFi 프로토콜 공격들을 보면 이건 단순한 기술적 문제가 아니라 실제 사람들의 돈과 직결된 문제다. 더 흥미로운 건 대부분의 취약점이 새로운 게 아니라는 점이다. Reentrancy, Integer Overflow 같은 알려진 패턴들이 계속 반복된다. 이건 자동화로 충분히 막을 수 있다는 뜻이고, 동시에 개발자들이 보안에 대한 체계적인 접근을 하지 못하고 있다는 의미이기도 하다. 전공 수업에서 소프트웨어 보안을 배울 ..

1. 문제 분석While this example may be simple, confusing tx.origin with msg.sender can lead to phishing-style attacks, such as this.An example of a possible attack is outlined below.Use tx.origin to determine whose tokens to transfer, e.g.function transfer(address _to, uint _value) { tokens[tx.origin] -= _value; tokens[_to] += _value; } Attacker gets victim to send funds to a malicious contract that ..

1. 문제 분석Generating random numbers in solidity can be tricky. There currently isn't a native way to generate them, and everything you use in smart contracts is publicly visible, including the local variables and state variables marked as private. Miners also have control over things like blockhashes, timestamps, and whether to include certain transactions - which allows them to bias these values ..

1. 문제 분석That was silly wasn't it? Real world contracts must be much more secure than this and so must it be much harder to hack them right? Well... Not quite.The story of Rubixi is a very well known case in the Ethereum ecosystem. The company changed its name from 'Dynamic Pyramid' to 'Rubixi' but somehow they didn't rename the constructor method of its contract:contract Rubixi { address private..

1. 문제 분석You know the basics of how ether goes in and out of contracts, including the usage of the fallback method.You've also learnt about OpenZeppelin's Ownable contract, and how it can be used to restrict the usage of some methods to a privileged address.Move on to the next level when you're ready! 당신은 폴백 방법의 사용을 포함하여 에테르가 계약에 들어오고 나가는 방법의 기본 사항을 알고 있습니다.또한 OpenZeppelin의 자체 계약과 일부 방법의 사용법을 권한있..