블록체인 감사가 비싼 이유: 높은 가격표를 만드는 요인에 대한 심층 분석

한 개발 회사는 예비 시장 조사에서 보안 감사 비용으로 30만 달러를 제시해 일반인들을 놀라게 했습니다. 그러나 블록체인 세계에 대해 잘 알고 있는 사람들은 비싼 가격에도 전혀 놀라지 않았습니다.

Blockchain audits are notoriously expensive, with some firms quoting up to $300,000 for a preliminary market survey. However, those familiar with the ins and outs of the blockchain world were not surprised by the hefty price tag in the least. A number of factors necessitate the high costs, including the extreme scarcity of audit teams with the required expertise.

블록체인 감사는 비용이 많이 드는 것으로 악명 높으며 일부 회사는 예비 시장 조사에 최대 300,000달러를 견적합니다. 그러나 블록체인 세계에 대해 잘 알고 있는 사람들은 비싼 가격에도 전혀 놀라지 않았습니다. 필요한 전문 지식을 갖춘 감사 팀의 극도의 부족을 포함하여 많은 요인으로 인해 높은 비용이 필요합니다.

For example, Atom Accelerator recently ran an RFP that culminated in a grant of $440,000 for Zellic to engage as an audit partner of Cosmos Hub over a period of two years. Zellic has performed audits for Cosmos Hub numerous times, including the Inactive Validator Set, Permissionless ICS, and Liquid Staking Module (engaged by Atom Accelerator).

예를 들어, Atom Accelerator는 최근 Zellic이 2년 동안 Cosmos Hub의 감사 파트너로 참여할 수 있도록 440,000달러의 보조금을 지급하는 RFP를 실행했습니다. Zellic은 Inactive Validator Set, Permissionless ICS, Liquid Stake Module(Atom Accelerator 참여)을 포함하여 Cosmos Hub에 대한 감사를 여러 번 수행했습니다.

The Inactive Validators set involved a third-party audit of the codebase with the same name. Zellic conducted the audit in two weeks for a total ask price of $59,500, which included Simply Staking’s fee as an intermediary. This entity also performed mediation for the Permissionless ICS third-party audit, which enabled anyone to create an optional consumer chain without a governance proposal, aimed at launching chains faster and with less friction. Zellic’s quote was $90,000 and a 25% price buffer to account for ATOM token volatility during the voting period. The total price, including Simply Staking’s fees, was $121,500.

비활성 유효성 검사기 세트에는 동일한 이름을 가진 코드베이스에 대한 제3자 감사가 포함되었습니다. Zellic은 중개자로서의 Simply Stake 수수료를 포함하여 총 요구 가격 $59,500에 대해 2주 만에 감사를 실시했습니다. 이 단체는 또한 체인을 더 빠르고 마찰 없이 출시하는 것을 목표로 누구나 거버넌스 제안 없이 선택적 소비자 체인을 생성할 수 있도록 하는 Permissionless ICS 제3자 감사에 대한 중재를 수행했습니다. Zellic의 견적은 투표 기간 동안 ATOM 토큰 변동성을 고려하여 90,000달러와 25% 가격 버퍼였습니다. Simply Stake 수수료를 포함한 총 가격은 121,500달러였습니다.

Cosmos Hub spent $327,000 on one-off feature audits in the past year and a half, coming to an average of $26,000 for each week in which audits took place. The grant engages Zellic based on a 20 audit-week contract, which costs 16% less per week than Cosmos Hub paid, thanks to Atom Accelerator’s efforts.

코스모스 허브는 지난 1년 반 동안 일회성 기능 감사에 327,000달러를 지출했으며, 감사가 진행된 주당 평균 26,000달러에 달했습니다. 이 보조금은 Atom Accelerator의 노력 덕분에 Cosmos Hub가 지불한 것보다 주당 비용이 16% 적은 20주 감사 계약을 기반으로 Zellic과 계약합니다.

A smart contract audit can take up to a month

스마트 계약 감사에는 최대 한 달이 걸릴 수 있습니다.

The project’s size and complexity are the primary factors in determining how long a smart contract audit will take. While auditing a single token contract takes a couple of days, this goes up to a week for a decentralized application with complicated tokenomics. More advanced smart contract security audits are performed in up to a month.

프로젝트의 규모와 복잡성은 스마트 계약 감사에 소요되는 시간을 결정하는 주요 요소입니다. 단일 토큰 계약을 감사하는 데는 며칠이 걸리지만 복잡한 토큰경제학을 사용하는 분산형 애플리케이션의 경우 최대 일주일이 걸립니다. 보다 발전된 스마트 계약 보안 감사는 최대 한 달 내에 수행됩니다.

The length also depends on whether the developer team wants a full security audit or only an interim report. It’s generally a better idea to audit the smart contract that has been deployed, not the one on GitHub. It minimizes the risk of code churning and malicious last-minute bugs and conveys a message of transparency to the user community.

기간은 개발자 팀이 전체 보안 감사를 원하는지 아니면 중간 보고서만 원하는지에 따라 달라집니다. 일반적으로 GitHub의 스마트 계약이 아닌 배포된 스마트 계약을 감사하는 것이 더 좋습니다. 이는 코드 변동 및 악의적인 막판 버그의 위험을 최소화하고 사용자 커뮤니티에 투명성의 메시지를 전달합니다.

The audit’s duration is also affected by whether it’s manual or automated. Reviewing individual functions in the code manually is time-intensive. However, manual audits are more efficient because they reduce the risk of false reports. They involve checking the code line-by-line to help identify hidden issues in its architecture and logic.

감사 기간은 수동인지 자동인지에 따라 영향을 받습니다. 코드의 개별 기능을 수동으로 검토하는 데는 시간이 많이 걸립니다. 그러나 수동 감사는 허위 보고의 위험을 줄이기 때문에 더 효율적입니다. 여기에는 아키텍처와 논리에 숨겨진 문제를 식별하는 데 도움이 되도록 코드를 한 줄씩 검사하는 작업이 포함됩니다.

Binary analysis and cryptographic algorithm verification

바이너리 분석 및 암호화 알고리즘 검증

Smart contract auditors perform a binary analysis to make sure the code is free from backdoors, i.e. hidden mechanisms attackers use to access a system without authentication. To this end, the team makes sure no unauthorized entities gain administrative access and inspects the transcoding and bonding protocols among participants. It also verifies cryptographic algorithms and enhances the overall security infrastructure.

스마트 계약 감사자는 코드에 백도어가 없는지 확인하기 위해 바이너리 분석을 수행합니다. 즉, 공격자가 인증 없이 시스템에 액세스하기 위해 사용하는 숨겨진 메커니즘입니다. 이를 위해 팀은 승인되지 않은 개체가 관리 액세스 권한을 얻지 못하도록 하고 참가자 간의 트랜스코딩 및 결합 프로토콜을 검사합니다. 또한 암호화 알고리즘을 검증하고 전반적인 보안 인프라를 강화합니다.

Product security audits require deep knowledge of programming languages

제품 보안 감사에는 프로그래밍 언어에 대한 깊은 지식이 필요합니다.

Most software products integrate a user interface. Smart contracts frequently interact with a backend server in DeFi and Web3, whose code can be proprietary or open-source. The interface communicates with the backend server and uses Metamask or another local wallet to verify the user and sign transactions. There is often at least one database, such as PostgreSQL or MongoDB, and AWS Cognito, Auth0, or another OAuth2 authentication service.

대부분의 소프트웨어 제품에는 사용자 인터페이스가 통합되어 있습니다. 스마트 계약은 코드가 독점이거나 오픈 소스일 수 있는 DeFi 및 Web3의 백엔드 서버와 자주 상호 작용합니다. 인터페이스는 백엔드 서버와 통신하고 Metamask 또는 다른 로컬 지갑을 사용하여 사용자를 확인하고 거래에 서명합니다. PostgreSQL 또는 MongoDB와 같은 데이터베이스와 AWS Cognito, Auth0 또는 다른 OAuth2 인증 서비스가 하나 이상 있는 경우가 많습니다.

Product security auditors verify that all components interact with each other as expected, each component performs its functions correctly, no information leaks are possible, system deployment procedures follow best practices, and unauthorized access is prevented. These tasks require a strong understanding of large software project architecture and the ability to navigate codebases written in different programming languages. Typically, the frontend is written in ReactJS, while the backend is a mix of Golang, NodeJS, Python, etc. The smart contracts are in Rust or Solidity. A wide range of tools is involved, including blockchain nodes and Docker container management techniques.

제품 보안 감사자는 모든 구성 요소가 예상대로 서로 상호 작용하는지, 각 구성 요소가 해당 기능을 올바르게 수행하는지, 정보 유출 가능성이 없는지, 시스템 배포 절차가 모범 사례를 따르고 무단 액세스가 방지되는지 확인합니다. 이러한 작업을 수행하려면 대규모 소프트웨어 프로젝트 아키텍처에 대한 깊은 이해와 다양한 프로그래밍 언어로 작성된 코드베이스를 탐색하는 능력이 필요합니다. 일반적으로 프런트엔드는 ReactJS로 작성되고 백엔드는 Golang, NodeJS, Python 등이 혼합되어 있습니다. 스마트 계약은 Rust 또는 Solidity로 작성됩니다. 블록체인 노드 및 Docker 컨테이너 관리 기술을 포함한 광범위한 도구가 관련됩니다.

Penetration testers are well-versed in network protocols and architecture

침투 테스터는 네트워크 프로토콜과 아키텍처에 정통합니다.

Penetration testing focuses on external API endpoints Web2 backend services offer. Testing auditors mitigate security flaws by calling some of these APIs via unexpected syntax to obtain privileged access. This is a common attack vector, where cybercriminals trick the system into leaking private data or performing another unauthorized action. Auditors are well-versed in network protocols such as TCP/IP, HTTP/HTTPS, UDP, DNS, and SMTP, as well as architecture like firewalls, routers, switches, and their configurations. Familiarity with subnets and IP addressing (CIDR, NAT, VLANs, and VPNs) and tools like Wireshark to analyze packets

침투 테스트는 Web2 백엔드 서비스가 제공하는 외부 API 엔드포인트에 중점을 둡니다. 테스트 감사자는 예상치 못한 구문을 통해 이러한 API 중 일부를 호출하여 권한 있는 액세스를 획득함으로써 보안 결함을 완화합니다. 이는 사이버 범죄자가 시스템을 속여 개인 데이터를 유출하거나 다른 무단 작업을 수행하도록 하는 일반적인 공격 벡터입니다. 감사자는 TCP/IP, HTTP/HTTPS, UDP, DNS 및 SMTP와 같은 네트워크 프로토콜뿐만 아니라 방화벽, 라우터, 스위치 및 해당 구성과 같은 아키텍처에 정통합니다. 서브넷 및 IP 주소 지정(CIDR, NAT, VLAN 및 VPN)과 패킷 분석을 위한 Wireshark와 같은 도구에 대한 지식