스마트 컨트랙트 감사가 실제로 확인하는 것 (그리고 확인하지 않는 것)
모든 감사가 동일한 것은 아닙니다. 실제 감사가 무엇을 다루고 무엇을 다루지 않는지 파악하여 모든 DeFi 프로토콜의 보안 주장을 평가할 수 있습니다.
스마트 컨트랙트 감사가 실제로 확인하는 것 (그리고 확인하지 않는 것)
모든 DeFi 프로젝트는 '감사 완료'라고 말합니다. 그 의미를 설명하는 곳은 거의 없습니다. 실제 감사 보고서를 공유하는 곳은 더 적습니다. TurboLoop의 보안 주장을 포함하여 모든 프로토콜의 보안 주장을 평가할 수 있도록 실제 감사가 무엇을 다루고 무엇을 다루지 않는지 알려드립니다.
감사가 다루는 내용
- 재진입 공격: 악의적인 컨트랙트가 거래 중에 재진입하여 자금을 유출할 수 있습니까?
- 정수 오버플로우/언더플로우: 계산이 예외적인 경우를 올바르게 처리합니까?
- 접근 제어:
onlyOwner함수가 보호됩니까? 관리자 권한이 제한됩니까? - 논리적 결함: 보상 계산이 백서와 일치합니까?
- 외부 호출: 오라클 가격이 유효성 검사를 거칩니까? 플래시 론이 입력을 조작할 수 있습니까?
- 가스 그리핑: 공격자가 다른 사용자의 거래를 차단할 수 있습니까?
- 중앙 집중화 위험: 어떤 기능이 신뢰할 수 있는 관리자에게 의존합니까?
감사가 다루지 않는 내용
- 배포 후 변경 사항: 컨트랙트가 업그레이드될 수 있다면, 감사는 감사된 버전에 대해서만 유효합니다.
- 경제적 설계 결함: 토크노믹스 자체가 지속 불가능하다면, 어떤 감사도 이를 구할 수 없습니다.
- 팀의 의도: 감사는 팀이 출시 후 지름길을 택하지 않을 것이라고 확인할 수 없습니다.
- 프론트엔드 보안: 사용자가 상호 작용하는 웹사이트는 감사 범위에 포함되지 않습니다.
TurboLoop의 감사가 중요한 이유
TurboLoop는 배포 전에 감사를 받았으며, 전체 보고서는 공개되어 있습니다. 그리고 — 결정적으로 — 컨트랙트는 권한이 포기되었고 LP는 100% 잠겨 있습니다. 이는 컨트랙트가 수정될 수 없으므로 감사가 영원히 유효하다는 것을 의미합니다. 업그레이드 가능한 컨트랙트를 가진 프로토콜과 비교해 보십시오: 그들의 감사는 다음 업그레이드까지만 유효합니다.
감사 보고서, 권한 포기 거래, LP 잠금 컨트랙트 등 전체 증거 사슬은 당사의 보안 페이지에 통합되어 있으며, 보안 심층 분석에서 한 줄씩 설명되어 있습니다.
'이것이 지속 가능한가'라는 경제적 측면은 어떤 감사도 답할 수 없는 별개의 질문이지만, 계산기에서 직접 숫자를 검증하거나 FAQ에서 더 자세히 읽어볼 수 있습니다. 주기당 고정 만기 시 원금 + 수익 지급은 변경 불가능한 컨트랙트에 인코딩되어 있으므로, 모델링한 것이 그대로 결과로 나타납니다.
어떤 프로토콜이든 신뢰하기 전에 감사를 읽어보십시오. 팀이 이를 공유하지 않는다면, 신뢰는 정당화되지 않습니다.