슬로우 포그와 대화하기: 웹3.0 스타트업 팀을 위한 함정 피하기 가이드

이번 호에서는 세계적으로 유명한 블록체인 보안 기업인 Slow Mist의 운영 책임자 Lisa를 초대하게 되어 영광입니다.

Lisa는 웹3.0 보안에 깊은 관심을 가지고 있는 실용적인 전문가로서 온체인 추적 분석, 보안 사고 긴급 대응 등을 주도했으며, '블록체인 암호화 자산 추적 핸드북'을 저술하고 웹3.0 공격 전술과 스타트업 팀 보안 보호에 대한 깊은 통찰력을 가지고 있습니다. 오늘은 "웹3 보안에 집중하기: 공격 방법, 취약점 회피 가이드라인 및 업계 기회"를 주제로 리사와 함께 빈번하게 발생하는 보안 위험을 분석하고 스타트업 프로젝트를 위한 '보안 방어'를 구축하는 방법에 대해 이야기해 보겠습니다.

(오디오 녹취록은 인공지능으로 처리되었으며 누락 및 오류가 있을 수 있습니다.)

슬로우미스트의 보안 운영 책임자인 리사는 다년간 웹3 보안에 종사해 왔으며 슬로우미스트의 대내외 조율과 보안 성과를 책임지고 있습니다: 내부적으로는 제품, 비즈니스, 추적 팀이 연계된 보안 사고 긴급 대응을 조율하고 외부적으로는 보안 결과의 전파 및 브랜딩을 주도하며 체인 및 추적 분석에도 깊이 관여하며 중국에서 가장 인기 있고 대중적인 블록체인 책 『블록체인』의 저자이기도 합니다. 동시에 온체인 추적 및 분석에 깊이 관여하고 있으며, '블록체인 암호화 자산 추적 핸드북'을 저술했고, 여러 주요 글로벌 Web3 보안 사고(예: 자산 추적, 손실을 막기 위한 플랫폼 간 협업)에 대한 긴급 대응에 참여했습니다.

2018년에 설립된 블록체인 보안 기업 슬로우미스트는 '블록체인이라는 어두운 숲 속 안전지대'로 자리매김하며 '사전 보안 감사, 사전 실시간 모니터링, 사후 보안'을 아우르는 전 과정 보안 시스템을 구축했다. 사전 보안 감사, 진행 중 실시간 모니터링, 긴급 대응'을 아우르는 전 과정 보안 서비스 체계를 구축했으며, 화이트햇 커뮤니티 '슬로우 포그 존'은 20만 명 이상의 규모를 보유해 업계에서 영향력 있는 보안 서비스 조직으로 자리매김하고 있습니다.

Q1: 글로벌 블록체인 보안 기업으로서 슬로우 미스트가 주력하고 있는 주요 사업 방향은 무엇인가요?

왕 레이: 슬로우미스트는 웹3.0 보안 분야에서 큰 영향력을 가지고 있는데, 현재 슬로우미스트는 어떤 방향으로 나아가고 있는지 소개해 주시겠어요?

Lisa: 슬로우 미스트는 2018년 설립 이후 웹3 보안 분야에 집중해왔으며, '위협 발견 - 위협 방어'를 핵심으로 서비스를 제공하는 전 과정이 단일 서비스 포인트. "슬로우 미스트" "슬로우 미스트"라는 이름은 "삼체"의 "슬로우 미스트 영역"에서 유래한 것으로, 블록체인 산업은 "어두운 숲"과 같아서 공격이 빈번하고 ", 공격이 빈번하고, 슬로우 미스트는 업계의 "안전지대"가 되고자 하며, 화이트햇 커뮤니티 "슬로우 미스트 존"(20만 명 이상)도 구축했으며, 통합을 위해 "삼체" 개념도 구축했습니다.

구체적인 사업은 세 가지로 나뉩니다.

• 사전 위협 발견 : 보안 감사 서비스(스마트 컨트랙트, 프로젝트 아키텍처 감사), 보안 교육(팀 대상 보안 인식 및 운영 교육), 레드팀 테스트(해킹 공격 모의 침투 테스트) 등 위험을 사전에 방지하는 것이 핵심입니다.

• 실시간 모니터링:

  중간 실시간 모니터링:

• 긴급 대응:긴급 대응의 핵심은 손절매와 자산 복구입니다. 도난당한 자산의 흐름을 신속하게 추적하고 거래소/지갑과 협력하여 자금을 동결하며 프로젝트 당사자의 현장 포렌식 및 사건 검토를 지원하는 등 손절매와 자산 회수가 핵심이며, 동시에 업계의 보안 인식을 제고하기 위해 '다크포레스트 자정 핸드북', '암호화폐 자산 추적 핸드북' 등의 연구 결과를 발표하고 있습니다.

우리의 서비스 스타일은 템플릿 서비스가 아닌 프로젝트 특성을 먼저 평가한 후 맞춤형 솔루션을 제공하는 "맞춤형"입니다. -- 프로젝트의 '방어'를 도울 뿐만 아니라 위험 발생 시 '불을 끄고', 궁극적으로 업계의 전반적인 보안 인식을 제고하는 것이 핵심입니다.

Q2: 최근 몇 년간 웹3.0 보안 사고가 빈번하게 발생하고 있는데, 일반적인 공격 기법은 무엇인가요? 핵심 위험 포인트는 무엇인가요?

왕 레이: 웹3.0 산업은 빠르게 변화하고 있지만 보안은 항상 화두가 되고 있습니다. 최근 몇 년 동안 관찰한 일반적인 공격 기법은 무엇인가요? 핵심적인 위험 포인트는 무엇인가요?

Lisa: 최근 다양한 공격 기법과 빠른 반복이 있었지만, 빈번하게 발생하는 대표적인 기법은 4가지 유형이 있으며, 핵심 위험 포인트는 기술적 허점과 보안 인식 부족을 모두 포함합니다.

• 계약 허점 공격: 온라인상의 스마트 컨트랙트는 변조되지 않고 오픈 소스가 많으며 해커는 종종 대규모 공장이나 크로스 체인 브리지(손실 규모가 수억에 달하는 경우가 많음)에 집중합니다. "플래시 대출 공격"(플래시 대출 메커니즘을 사용하여 취약점의 영향을 증폭), "과도한 권한"(관리자 권한 불균형, 해커가 자산을 직접 조작 할 수 있음)과 같은 일반적인 취약점, 이러한 유형의 공격의 핵심은 "기술적 취약점이 고급이 아닙니다. repair";

• 개인키 유출: 개인과 프로젝트 측면의 두 가지 범주로 나뉩니다. 프로젝트 측 관리자 개인키 유출은 대부분 컴퓨터 피싱, 트로이목마(다운로드 악성코드로 개인키 도용), 개인 개인키 유출은 '부적절한 저장 방법'(예: 위챗 수집, 클라우드 문서, 주소록 저장) 또는 '가짜 지갑' 다운로드(이전)로 인한 경우가 많았습니다. 느린 안개와 바이두 공동 정리 후 바이두 검색 가짜 지갑 더 많이);

• 사회 공학 공격 : 은폐가 강하고 해커는 종종 성인, 유명인 또는 언론인을 위장하고 "신뢰 위장"을 통해 정보를 얻습니다. "를 통해 정보를 얻습니다. 예를 들어, 가짜 기자가 유명인사와 인터뷰하고 악성 스크립트가 포함된 '인터뷰 링크'를 전송하여 클릭을 유도한 다음 계정과 자산을 훔치거나 트위터 계정을 도용하여 피싱 링크를 게시하고 자산 도용 후 사용자 인증을 받는 등 이러한 유형의 공격의 핵심은 다음과 같습니다. "신뢰를 악용하고 심리적 방어를 뚫는 것";

• 공급망 공격: 해커가 개발 도구, 써드파티 의존성 라이브러리 및 코드 흐름에 다음과 같은 악성 코드를 심어 개발자 기기나 프로젝트 코드를 오염시키는 사례가 증가하고 있습니다. 예를 들어, 한 유명 개발자가 가짜 계정으로 트로이 목마를 다운로드하여 자신이 관리하던 '10억 건 이상의 다운로드 지갑'에 문제를 일으켜 민감한 정보를 파괴할 뿐만 아니라 자산을 탈취하는 등 광범위한 영향을 미치고 사전에 탐지하기 어려운 공격이 발생하기도 했습니다.

핵심 위험 요약: 기술적 취약점은 감사를 통해 우회할 수 있지만, "보안 인식 부족"(예: 컴퓨터 보안에 대한 인식이 없는 사람을 신뢰하는 경우)은 문제가 될 수 있습니다. (속기 쉬운 낯선 사람, 개인 키 지저분한 저장소, 알 수 없는 링크 클릭 등)은 문제를 해결하기가 더 어렵고 최신 공격 전술을 계속 학습할 필요가 있습니다(슬로우 포그가 공개되고 특정 기간을 푸시합니다).

Q3: Slow Fog가 깊이 관여한 대표적인 보안 사례 두 가지를 소개해주시고, 실무자에게 어떤 경각심을 주는지 알려주시겠어요?

Wang Lei: 라이브 스트림에서 친구들이 영감을 얻을 수 있도록 슬로우 포그가 깊이 관여한 보안 사례 두 가지를 공유해 주시겠어요?

Lisa: 두 가지 사례 모두 슬로우 포그가 관여했고 보안 사고 처리 방식의 핵심 로직을 잘 보여주는 서로 다른 단계의 사례를 선택하겠습니다.

첫 번째는 2022년 소셜 엔지니어링 공격 복구 사례로, 해커가 웹3.0 V를 인터뷰하는 기자로 위장해 악성 스크립트가 포함된 '인터뷰 링크'를 전송하고, V가 해당 계정을 클릭해 자산이 탈취된 후 트위터에 처음으로 도움을 요청하고 '태그 " 슬로우 포그. 먼저 연쇄 분석을 통해 도난당한 자산이 슬로우 미스트의 '위협 인텔리전스 네트워크'의 파트너인 거래소로 유입된 것을 발견했습니다. 크로스 플랫폼 연계를 통해 거래소는 24시간 이내에 의심스러운 자금을 동결했고, 대만에서 V가 소송을 제기하도록 지원하여 결국 3일 이내에 모든 자산을 회수할 수 있었습니다.

이 사건의 특별한 의미는 대만 사법 역사상 명확한 용의자가 없는 상황에서 체인 추적만으로 자산을 환수한 첫 사례라는 점입니다. 경고 사항은 '면담', '협조' 등을 요구할 경우 반드시 상대방의 신원을 확인하고, 출처가 불분명한 링크는 쉽게 클릭하지 않으며, 도난 후 가장 먼저 보안 기관(슬로우 포그 등)에 연락해야 대응 속도가 자산 회수에 직접적인 영향을 미친다는 점입니다.

두 번째는 2023년 800만 달러의 손실을 입은 해킹 플랫폼 사례입니다. Web3 플랫폼이 해킹당해 800만 달러 이상의 손실을 입었고, Slow Fog에 연락해 긴급 대응을 시작했습니다. 첫 번째 단계는 체인 분석을 통해 해커의 흔적(공격 방법, 자금 흐름, 공통 플랫폼)을 정리하고, 두 번째 단계는 글로벌 거래소/지갑과 협력하여 해커의 관련 계정을 동결하고 자금이 혼합 통화 플랫폼으로 유입되는 것을 막고(혼합 통화 플랫폼에 유입되면 복구의 어려움이 급격히 증가), 세 번째 단계는 프로젝트 측이 해커와의 '체인 협상'을 지원하고 여러 차례 커뮤니케이션을 하는 것입니다. 세 번째 단계는 프로젝트와 해커의 '온체인 협상'을 지원하는 것으로, 여러 차례의 커뮤니케이션 끝에 3일 만에 800만 달러를 모두 회수할 수 있었습니다.

이 사례의 교훈은 대부분의 도난 자산은 복구가 어렵지만 프로젝트 당사자나 보안 기관만으로는 도난 자산을 복구할 수 없으므로 "플랫폼 간 협업"과 "신속한 대응"이 핵심이라는 것입니다. - 프로젝트 측이나 보안 기관에만 의존하는 것이 아니라 거래소, 지갑, 사법부 등 여러 기관의 연계가 필요하며, 사고 발생 후 상황을 검토하여 같은 문제로 두 번 같은 수렁에 빠지지 않도록 하는 것(취약점 수정, 모니터링 강화 등)이 중요합니다.

두 사례의 공통점은 "보안 사고는 나에게 일어나지 않는다"고 생각하지 말고 사전에 감사를 수행하고 개인 키를 보관하며 도난 후 신속하게 대응하는 것이 핵심 보호 로직이라고 경고합니다.

Q4: 보안 사고가 발생하면 Slow Fog 팀은 보통 어떻게 개입하여 긴급 대응 서비스를 제공하나요?

Lei Wang: 보안 인시던트가 발생하면 Slow Fog 팀은 일반적으로 어떻게 개입하여 지원을 제공하나요?

Lisa: Slow Fog는 "신속한 손실 중단, 피해 최소화, 사고의 진실 복원"을 핵심 목표로 "보안 긴급 대응 서비스"를 통해 개입합니다. "프로세스는 4단계로 나뉩니다."

• 1단계: 긴급 손실 중단(가장 중요): 먼저, 체인 추적을 통해 도난당한 자산을 확인합니다.

• 첫 번째 단계는 온체인 추적을 통해 탈취된 자산의 이동 경로를 파악한 후 거래소, 지갑, 크로스체인 플랫폼에 1차적으로 연락하여 의심되는 자금을 동결/출금 통제하는 것으로, 일단 혼합통화 플랫폼이나 해외 비규제 플랫폼으로 유입된 자금은 회수하기 어려워지기 때문에 이 단계는 신속하게 진행되어야 합니다. 왼쪽;">두 번째 단계: 현장 보호: 해커가 서버나 PC를 통해 침입한 경우 프로젝트 측에서 '현장 포렌식'을 할 수 있도록 지원하고, 프로젝트 측에 팀을 보내 현장을 분석하여 증거 체인(예: 침입 흔적 삭제, 악성 코드 로그 보존)이 완전한지 확인하고 근거를 제시할 수 있도록 합니다.

• 세 번째 단계: 온체인 + 오프체인 합동 분석: 온체인 분석은 "자금의 흐름, 해커 프로필, 공격 방법"(예: 해커가 사용하는 일반적인 거래소, 지갑 유형, 자금 출처)에 초점을 맞추고, 오프체인 분석은 "신원 추적성"(예: 거래소의 KYC 정보 검색, 해커의 관련 트위터/깃허브 계정 추적, 게시 흔적 분석 등), 이 두 가지를 조합하여 해커의 단서를 차단합니다.

• 4단계: 완전한 분석 보고서 출력: 프로젝트 측에 "무슨 일이 일어났는지 알려주는 것뿐만 아니라, 자산이 어디로 유출되었는지, 왜 해킹을 당했는지"를 알려줄 뿐만 아니라 유사 사고의 재발을 방지하기 위해 취약점 수정, 모니터링 업그레이드, 개인키 관리 강화 등 '후속 보호 솔루션'도 제공합니다.

전체 프로세스의 핵심은 "프로젝트 측과 슬로우미스트 간의 높은 수준의 신뢰와 시너지"입니다. 프로젝트 측이 정보를 숨기거나 증거를 인멸할 경우, 손실 및 회수 확률이 현저히 낮아집니다.

Q5: 스타트업 팀은 종종 보안을 뒷전으로 미루는데, 개발 단계별(스타트업/펀딩/출시)로 가장 간과되는 보안 문제는 무엇인가요?

Wang Lei: 많은 스타트업이 압박감 때문에 보안을 뒷전으로 미루고 있습니다. 개발 단계(스타트업/펀딩/출시)에 따라 간과하기 쉬운 보안 문제에는 어떤 것이 있나요?

Lisa: 안전의 사각지대는 단계별로 다르지만 다음과 같이 모두 "한 가지 사고에 집중"하게 만들 수 있습니다."

1. 시작 단계: '개인 키 관리'와 '인증'의 핵심 소홀. 스타트업 팀과 개인 사용자의 보안 사각지대는 매우 유사하며, 모두 프로젝트 추진에 급급해 경계를 늦추기 때문입니다.

2. 2. 자금 조달 단계: Core는 '코드 감사 무결성'과 '규정 준수 위험'을 무시합니다. 예를 들어, 자금 조달 진행 상황을 파악하기 위해 "불완전한 감사"또는 "허점 존재"의 코드가 직접 온라인 상태가되어 위험을 감수하고 프로젝트를 실행하며, 일부 팀은 "보고하기 위해"감사를 찾고 있습니다. ", 감사에서 발견 된 허점에주의를 기울이지 않고 (느린 안개는 먼저 규정 준수 및 위험 평가를 수행하고 보고서에서 돈을 모으지 않을 것입니다), 해킹으로 인한 허점 후 자금 조달, 자금 손실;

3. 온라인 단계 : 핵심은 무시되었습니다 " 실시간 모니터링 " 및 " 계정 보안 ". 예를 들어, 온체인 모니터링을 하지 않으면 공격을 받고 몇 시간이 지난 후에야 알게 되거나(손실을 막을 수 있는 최적의 시간을 놓치게 됨), 트위터, 디스코드 등의 커뮤니티 계정의 보안에 주의를 기울이지 않아(예: 비밀번호 취약, 2차 인증 실패) 계정을 도난당한 후 피싱 링크가 게시되어 사용자의 자산이 손실되는 경우, 이러한 종류의 문제는 직접적으로는 프로젝트 자체의 손실보다 더 치명적인 사용자 신뢰를 파괴합니다.

본질적으로 스타트업 팀의 보안 사각지대는 모두 '보안은 투자가 아니라 비용'이라고 생각하는 '인지 편향'에서 비롯됩니다. '라는 인식에서 비롯된 것인데, 웹 3.0 업계는 보안에 대한 초기 투자 비용보다 보안 사고로 인한 손실이 훨씬 더 크다는 '돈 사슬의 투명성'을 간과하고 있습니다.

Q6: 예산이 제한된 스타트업 팀은 보안에 어떤 투자를 우선순위로 삼아야 하나요?

왕 레이: 예산이 제한된 스타트업 팀에서 보안에 우선순위를 두어야 하는 가장 비용 효율적인 투자는 무엇인가요?

Lisa: 예산이 제한되어 있는 경우 "핵심 위험에 대응"하는 투입에 우선순위를 두고 비용 효율적인 세 가지 조치를 권장합니다.

1. 완전한 보안 감사를 실시합니다: 스마트 계약과 핵심 비즈니스 아키텍처를 우선적으로 감사하여 함정을 사전에 방지하고 90% 이상의 기술적 취약점(예: 권한 구멍, 시스템 취약점)을 사전에 수정할 수 있습니다.

2. 다중 서명 지갑으로 자금 관리: 한 사람이 개인키를 보관하지 말고, 다중 서명 지갑(2~3명이 자금 이체를 승인해야 함)을 사용해 위험을 분산시켜 한 사람의 개인키가 유출되더라도 자산 손실로 이어지지 않도록 하세요. 다중 서명 지갑은 비용이 저렴하지만 '개인 키의 1인 보관'이라는 핵심 위험을 해결하므로 한 사람의 개인 키가 손상되더라도 자산의 전체 손실로 이어지지 않습니다.

3. 기본 실시간 모니터링 구축: 복잡한 모니터링 시스템을 구입할 필요 없이 커뮤니티 오픈소스 도구(예: Slow Fog 오픈소스 온체인 모니터링 스크립트)를 사용하거나 "비정상 거래 경고"(예: 대량 이체 및 낯선 주소로의 이체에 대한 경고 트리거)를 구성하여 위험을 처음에 감지할 수 있습니다. -- 기본 모니터링에 대한 투자 비용은 매우 낮지만 '사건 발생 시 대응 속도'를 크게 향상시킬 수 있습니다.

이 세 가지 조치는 적은 투자로 '치명적인 손실'을 방지하면서   "전 - 중" 핵심 위험에 대응할 수 있습니다. "를 방지"하므로 예산이 제한된 팀에게 최적의 선택입니다.

Q7: 스타트업 팀이 가장 쉽고 비용이 많이 드는 보안 취약점은 무엇인가요?

Wang Lei: 스타트업이 가장 많은 비용이 드는 보안 취약점에는 어떤 것이 있나요? 1~2가지 예를 들어주시겠어요?

Lisa: 스타트업 팀들이 자주 밟는 "치명적인" 두 가지 포트홀이 있습니다.

1. 개인 키, 단일 사용자 및 다중 사용자. 개인키 단일 보관 + 무작위 저장: 이것은 가장 기본적이면서도 치명적인 함정입니다. 예를 들어, 한 스타트업 팀이 지갑 개인키가 창업자의 위챗 컬렉션에 존재하고, 창업자의 휴대폰이 피싱을 당하고, 개인키가 유출되어 하룻밤 사이에 200만 달러의 자산을 도난당했다고 가정할 때 이러한 유형의 손실은 거의 회복할 수 없는데, 개인키가 유출되면 자산은 직접 전송 권한에 속하며 블록체인 거래는 되돌릴 수 없기 때문입니다.

1. ="text-align: left;">2. 라인에서 직접 감사되지 않은 코드 : 많은 팀이 진행 상황을 파악하기 위해 라인에서 계약의 "미완성 감사"가 될 것입니다. 예를 들어 DeFi 프로젝트의 라인에있는 팀, "재진입"취약점이있는 계약은 3 년의 라인에서 "재진입"취약점이 아닌 계약이 수리되지 않았습니다. 예를 들어, 한 팀이 DeFi 프로젝트를 시작했을 때 계약서에 복구되지 않은 "재진입 취약점"이 있었고, 프로젝트 시작 후 3시간 이내에 해커가 이 취약점을 이용해 150만 달러를 훔쳐갔고, 자금 조달 자금이 직접 0으로 줄어든 경우 - 이러한 유형의 문제는 감사를 통해 피할 수 있었지만 팀은 "온라인에 열중"하여 이를 무시했고, 최종 가격은 다음과 같습니다. 프로젝트는 종료되었습니다.

이 두 가지의 공통점은 "작은 작업처럼 보이지만 치명적"이라는 점입니다. 개인 키 관리와 코드 감사는 모두 "기본적인 작업"이지만 많은 팀이 이를 "번거롭다" 또는 "불필요하다"고 생각하여 사소한 일로 많은 돈을 잃게 됩니다.

Q8: 슬로우포그 관점에서 볼 때 현재 웹3 보안 업계에서 가장 큰 도전과 기회는 무엇인가요?

왕 레이: 업계의 보안 조직으로서 슬로우 포그는 현재 웹3.0 보안 업계에서 가장 큰 도전과 기회는 무엇이라고 보십니까?

Lisa: 도전과 기회는 다음과 같이 함께 진행됩니다.

핵심 도전과제

1. 공격 전문화 및 초국가화 : 해커들은 더 이상 '1인 전투'가 아니라 '전문화된 갱단'(예: 북한 해킹 조직 라사로드)을 형성하고 있습니다.

2. 파편화된 보안 요구 사항 : 프로젝트 당사자들의 보안 인식과 기술 수준이 고르지 않으며, 일부 팀은 심지어 기본적인 감사가 이루어지지 않고, 일부 팀은 "완전한 보호"를 과도하게 추구하여 보안 서비스를 표준화하기 어렵습니다.

3. 규제 정책의 차이 : 국가/지역마다 웹3.0에 대한 규제 요건이 다릅니다. 보안에 대한 규제 요건이 다르며(예: 홍콩 스테이블코인 조례, EU 자금세탁 방지 규정), 현지 정책을 이해하지 못하는 프로젝트 소유자는 "해킹을 당하지는 않았지만 규정 준수 문제로 인해 규제에 발목이 잡힐 수 있다"고 합니다.

핵심 기회

• 인재 및 인식 제고: 점점 더 많아지고 있습니다. 대학생을 포함한 젊은이들이 웹3.0 보안에 주목하고 있고, 슬로우미스트도 대학과 협력하여 보안 교육을 진행하고 있어 업계의 보안 인재풀이 점차 충분해지고 있으며, 동시에 사용자 및 프로젝트 당사자들의 보안 인식도 개선되고 있어 더 이상 보안을 '비용'으로 취급하지 않고 '이익'으로 인식하고 있습니다. "

• 플랫폼 간 협업 정상화: 주요 보안 사고가 발생하면 업계는 점점 더 긴밀하게 협력하고 있습니다. 예를 들어 거래소가 해킹을 당하면 코인세이프, 타이드 및 기타 기관이 주도적으로 체인에 대한 바람 통제를 수행하여 자금을 동결하고, 슬로우 포그의 '위협 인텔리전스 네트워크'는 전 세계 50개 이상의 거래소와 지갑을 통합하여 국경을 넘는 보안 사고에 신속하게 대응할 수 있는 등 이러한 '업계 협업'은 다양한 용도로 활용될 수 있습니다. "업계 협업"은 손절매의 효율성을 크게 향상시킬 수 있습니다.

• 기술 통합의 새로운 가능성: AI, 빅 데이터 등의 기술은 웹3 보안에 새로운 도구를 제공하고 있습니다(예: AI 비정상 거래 식별, 빅데이터로 체인 내 위험 분석), 해커에 악용될 위험도 있지만(예: AI가 피싱 동영상 생성), 보안 보호의 전반적인 효율성과 정확성을 향상시킬 수 있습니다.

기회의 핵심은 "업계 공감대 형성"입니다. 보안 사고가 증가함에 따라 점점 더 많은 조직이 "혼자서는 방어할 수 없다!"는 것을 깨닫고 있습니다. "라는 사실을 깨닫고 '보안 기관 + 프로젝트 당사자 + 규제 기관 + 사용자'가 공동으로 보호 시스템을 구축해야 한다는 필요성을 인식하고 있으며, 이는 향후 슬로우 포그의 핵심 방향이기도 합니다.

Q9: 국내 스타트업 팀이 해외로 진출하여 크로스보더 컴플라이언스 및 보안에 관여할 때 특별히 주의해야 할 점은 무엇인가요?

왕레이: 많은 국내 스타트업이 해외로 진출하면서 크로스보더 컴플라이언스 및 보안과 관련되어 있는데, 특별히 주의해야 할 점은 어떤 것이 있나요?

Lisa: 해외 진출 시 보안은 '기술 보안'보다 슬로우미스트가 말하는 '컴플라이언스 보안'에 더 많은 주의를 기울여야 합니다. "기술 보안, 컴플라이언스 보안, 생태 보안"으로 분류된 세 개의 원 중 하나가 없는 원:

1. 현지 컴플라이언스 요건에 대한 연구의 우선 순위 : 홍콩과 같이 지역마다 규제의 초점이 다릅니다. 예를 들어 홍콩은 스테이블코인 발행자에게 "자본 적정성, 자금세탁 방지" 규정을 준수하도록 요구하고, EU는 "데이터 프라이버시(GDPR)"에 중점을 두고 있으며, 미국은 "국경 간 자산 흐름"에 대한 엄격한 규제를 적용하고 있습니다. -- 규정 준수를 무시할 경우 해킹을 당하지는 않지만 '규정 미준수'로 인해 자산이 동결되거나 현지 규제 당국에 의해 프로젝트가 중단될 수 있습니다.

2. 적응하기 현지 KYC 및 자금세탁 방지 규정: 해외 프로젝트는 여러 지역의 사용자에게 서비스를 제공하는 경우가 많으므로 현지 요건(예: 홍콩은 실명 인증 필요, 일부 지역은 주소 확인 필요)에 따라 KYC를 수행하고 자금세탁 방지 모니터링 시스템을 구축(국경을 넘는 불법 자금의 흐름을 파악)해야 규정 준수 요건을 준수할 뿐만 아니라 "크로스파이어에 걸릴 위험"을 피할 수 있습니다.

3. 현지 생태계에 맞게 기술 보안을 조정해야 합니다: 예를 들어, 일부 지역에서는 특정 지갑이나 거래소가 일반적으로 사용되며 프로젝트는 이러한 플랫폼의 보안 수준을 미리 평가하여 지갑이나 거래소의 '손실' 위험을 피해야 합니다. 파트너 플랫폼의 취약성으로 인한 공격 위험을 피하고 현지 사용자의 습관에 따라 개인키 관리 솔루션을 최적화하기 위해 이러한 플랫폼의 보안 수준을 사전에 평가해야 합니다(예: 일부 지역의 사용자는 하드웨어 지갑을 사용하므로 관련 인터페이스에 맞게 조정해야 함).

핵심 조언: '규정 준수 및 보안'을 해외 진출의 '티켓'으로 간주하고 6~12개월 전에 목표 지역을 미리 조사하세요. 해당 지역의 규제 정책, 현지 보안 및 법률 기관(예: 홍콩 디지털 자산 자금세탁 방지 위원회의 Slow Fog)과 협력하여 "규정 준수 구덩이를 밟지 않도록" 기술적 보안은 복구할 수 있지만 규정 준수 위반이 프로젝트에 미치는 장기적인 영향은 제거하기가 더 어렵습니다.

Q10: AI, 빅데이터, Web3 보안의 결합 가능성은 무엇이며 Web3 에이전트 도구의 보안 위험은 무엇인가요?

Wang Lei: AI, 빅데이터, Web3 보안의 결합 가능성은 무엇인가요? 또한 한 파트너가 "Web3 에이전트 도구의 보안 위험은 무엇인가"라고 질문했는데 이에 대해서도 답변해 주셨으면 합니다.

Lisa: 먼저 '양날의 검'인 AI, 빅 데이터, Web3 보안의 결합에 대해 이야기해 보겠습니다.

긍정적인 가능성

1. 보호 효율성 향상: AI는 체인에서 비정상적인 거래 패턴(예: 일괄 소액 이체, 낯선 주소와의 빈번한 상호작용)을 빠르게 식별할 수 있어 수동 모니터링보다 10배 이상 빠르고, 빅데이터는 체인에서 방대한 양의 데이터를 분석하고 정제할 수 있습니다. AI는 방대한 양의 체인 데이터를 분석하여 해커의 공격 패턴(예: 일반적인 전술, 타겟 플랫폼)을 구체화하고 위협 인텔리전스의 정확도를 향상시킬 수 있습니다.

2. 보안 문턱을 낮춤: AI는 '보안 감사 보고서 요약'을 자동으로 생성할 수 있어, 기술적인 배경이 없는 팀도 비기술적인 배경을 가진 팀도 취약점 리스크를 이해할 수 있으며, 빅데이터를 통해 '업계 보안 동향 보고서'를 출력하여 스타트업 팀이 빈도가 높은 위험 포인트를 빠르게 파악할 수 있습니다.

잠재적 위험

AI는 해커에게 악용될 수도 있습니다. 예를 들어, AI를 사용하여 "실시간 고객 서비스 음성/동영상 '(프로젝트 팀을 모방)를 생성하거나 '가짜 프로젝트 소개 동영상'을 생성하여 '신뢰 위장'을 통해 사용자의 지갑 승인을 유도하는 등, AI를 사용하여 피싱 스크립트를 대량으로 생성하는 해커도 있으며 공격의 효율성이 크게 높아졌습니다.

다시 웹3 에이전트 툴(일반 웹3 툴과 위험성은 비슷하지만 고유한 특성이 있어 최근 이슈가 되고 있는)의 보안 위험에 대해 이야기해보겠습니다.

1. 권한의 과도한 권한 부여:에이전트 툴은 다양한 목적으로 사용될 수 있습니다. /에이전트 도구는 사용자에게 지갑 또는 컨트랙트 운영 권한을 승인해야 하며, 권한이 너무 크게 설정되면(예: "무제한 전송 권한") 도구 자체를 해킹하여 사용자의 자산을 직접 전송할 수 있습니다. 악성 코드(예: 타사 라이브러리가 오염된 경우)로 인해 도구가 사용자의 개인 키 또는 자산을 훔치는 '해커의 발판'이 될 수 있으며 이러한 유형의 위험은 교묘하고 사전에 감지하기 어렵습니다.

2. 공급망 공격 위험: 에이전트 도구는 API 또는 AI 모델에 의존합니다. "

3. 데이터 유출 위험: 에이전트 도구는 사용자의 온체인 행동 데이터(예: 거래 기록, 지갑 주소)를 수집할 수 있으며 데이터 암호화가 적용되지 않으면 데이터가 유출되거나 오용되어 사용자의 개인정보 및 자산 보안에 위협이 될 수 있습니다.

에이전트 도구를 사용할 때는 '필요한 권한'(예: '무제한 권한'이 아닌 '단일 전송 권한')만 승인하는 것이 좋습니다. "), 오픈 소스이며 커뮤니티 평판이 좋은 도구를 선택하고, 도구의 종속성 라이브러리가 안전한지 정기적으로 확인하세요.

Q11: 이제 막 시작하는 Web3 기업가를 위한 가장 중요한 보안 조언이나 아이디어를 한 문장으로 공유해 주세요.

Rae Wang: 이제 막 시작하는 웹3.0 기업가들에게 가장 중요한 보안 조언이나 아이디어를 한 문장으로 공유해 주세요.

Lisa: 가장 중요한 보안 개념이라고 생각하는 Slow Mist의 핵심 가치 중 두 가지를 빌리고 싶습니다.

1. 다음과 같은 힘에 대한 경외심 /strong> 체인 안팎의 모든 기술력, 공격의 위험에 대한 두려움 - "소규모 프로젝트는 해커의 표적이 되지 않을 것"이라고 생각하지 말고, 웹3.0 업계의 "자금 투명성"을 생각해야 합니다. 아무리 작은 프로젝트라도 공격의 표적이 될 수 있습니다.

2. 오른쪽을 지키고 기습: "오른쪽을 지키기"는 방어선의 핵심인 기본 보안(감사, 다중 서명 지갑, 실시간 모니터링 등)을 잘 수행하는 것입니다; '놀라움'은 최신 공격 기법에 주의를 기울이고 보호 전략을 유연하게 조정하는 것입니다(예: AI 피싱, 공급망 공격 대응).

본질적으로 웹3 보안을 위한 '단번에 해결되는' 솔루션은 없으며, '지속적인 경외심과 지속적인 학습'을 통해서만 어두운 숲에서 살아남을 수 있습니다.

결론

왕 레이: Lisa의 건조한 공유에 감사드립니다! 공격 기법의 해체부터 사례 검토, 스타트업 팀을 위한 함정 피하기 가이드부터 업계 기회 분석까지, 웹3 보안은 "케이크의 장식"이 아니라 "기초의 토대"라는 것을 분명히 알 수 있었습니다. - 보안 사고는 프로젝트를 제로로 만들 수 있으며, 보안에 미리 투자하는 비용이 사후에 취소하는 비용보다 훨씬 적습니다.