IT반장의 블로그

이 문서는 최근 많은 거래량을 보이고 있는 디파이 거래소인 GMX에 대한 기술 및 토큰 분석을 해보겠습니다. 

목차
1. 개요
2. GMX 토큰
3. GLP 토큰
4. 추천 프로그램
5. 기술 개요
  - Vault
  - Router
  - Price Feed
  - Access Control
6. 의견

개요

• Decentralized spot and perpetual exchange
• 다중 자산 풀
• 가격 측정 방식: Chainlink 오라클 및 주요 거래소 가격 집계 활용
• 주요 참여자 역할
  • Token Holders: 토큰노믹스, 리워드 수령
  • LP: 유동성 제공(GLP 토큰)
  • Traders: Trading

GMX 토큰

• 플랫폼의 유틸리티 및 거버넌스 토큰
• Staking
  • Reward
    • Escrowed GMX
    • Multiplier Points
    • ETH / AVAX Rewards
  • 거래소 수수료 30% 보상: ETH/AVAX로 전환되어 스테이킹된 GMX 토큰으로 분배
  • Floor Price Fund(가격 하한선 펀드)
    • GMX/ETH 유동성 수수료는 GLP로 변환되어 기금에 예치
    • 올림푸스본드로 부터 수신한 자금의 50%는 FPF에 예치, 나머지 50%는 마케팅에 사용
    • GLP 유동성 보장, GMX에 대한 안정적인 ETH 보상 흐름 제공
  • 공급
    • 최대 공급량: 1,325만 GMX 
      • 6 million GMX from the XVIX and Gambit migration.
      • 2 million GMX paired with ETH for liquidity on Uniswap.
      • 2 million GMX reserved for vesting from Escrowed GMX rewards.
      • 2 million GMX tokens to be managed by the floor price fund.
      • 1 million GMX tokens reserved for marketing, partnerships and community developers.
      • 250,000 GMX tokens distributed to contributo
  • 보상
    • Compound
      • Pending Multiplier Points 와 esGMX 보상을 스테이킹
    • Claim
      • esGMX 보상과 ETH/AVAX 보상 지급
  • Escrowed GMX
    • 1년 베스팅
    • 1초 마다 보상
  • Multiplier Points
    • 장기 보유자에게 보상, 인플레이션 없음
    • GMX를 스테이킹 하면, 100% APR로 매초 포인트 수령
      • 예) 1년동안 1000 GMX 스테이킹하면, 1000 MP 수령
  • 보상 요약
    • GMX: 스테이킹시에 ETH / AVAX, esGMX, Multiplier Points 보상
    • esGMX: 스테이킹시에 ETH / AVAX, esGMX, Multiplier Points 보상
    • Multiplier Points: 스테이킹시에 boost ETH / AVAX APRs 보상
    • GLP: 발행하면서 스테이킹시에 ETH / AVAX, esGMX 보상

GLP 토큰

• 유동성 공급자 토큰
  • 인덱스 자산(스왑 및 레버리지 거래에 사용)으로 발행/상환
• 가격 = (오픈 포지션의 손익을 포함한 인덱스 자산 총 가치) / (GLP 공급량)
• 보상: Escrowed GMX 보상 + 플랫폼(ETH, AVAX) 수수료 70%
  • 레퍼럴 보상과 Keeper(1%)의 네트워크 비용 차감
• GLP 보유자는 레버리지 거래에 유동성 제공

추천 프로그램

• Tier
  • Tier 1: 5% discount for traders, 5% rebates to referrer
  • Tier 2: 10% discount for traders, 10% rebates to referrer
  • Tier 3: 10% discount for traders, 15% rebates to referrer paid in ETH / AVAX, 5% rebates to referrer paid in esGMX
• Anyone can create a Tier 1 code. To upgrade your code to Tier 2 or Tier 3:
  • Tier 2: At least 15 active users using your referral codes per week and a combined weekly volume above $5 million
  • Tier 3: At least 30 active users using your referral codes per week and a combined weekly volume above $25 million

GMX 기술 개요

1. Vault

Vault 계약은 예금을 저장하고 주요 거래 기능을 처리합니다.

• 예금: 자금은 GLP 토큰의 발행을 통해 Vault에 예치됩니다. 예를 들어 GLP의 가격이 $1.50인 경우 사용자는 1.50 USDC 토큰을 입금하여 1 GLP를 발행할 수 있습니다.
• 출금: GLP 토큰 소각을 통해 금고에서 자금을 출금할 수 있습니다. 예를 들어 GLP 가격이 $1.50인 경우 사용자는 1 GLP를 소각하여 1.50 USDC 토큰으로 교환할 수 있습니다.
• 교환: 금고는 금고에 보관된 토큰의 교환을 허용합니다. 예를 들어 ETH 가격이 $5000인 경우 사용자는 금고의 스왑 기능을 통해 1 ETH를 5000 USDC로 스왑할 수 있습니다.
• 롱 포지션: 사용자는 볼트를 사용하여 롱 포지션을 열 수 있습니다. 예를 들어 롱을 오픈하기 위해 사용자는 금고에 1 ETH를 예치하고 $25,000의 포지션을 오픈할 수 있습니다. 포지션 오픈 당시의 ETH 가격이 $5000이면 이는 5배의 롱 포지션이 됩니다. ETH 가격이 10% 상승하면 사용자는 $25,000 * 10% = $2500의 이익을 얻게 됩니다. 포지션이 열릴 때 담보의 스냅샷이 찍히므로 이 예에서 담보는 $5000로 기록되며 ETH 가격이 변경되더라도 변경되지 않습니다. 금고에 이익을 지급할 수 있는 충분한 자금이 있는지 확인하기 위해 포지션 크기에 해당하는 ETH 금액이 예약된 것으로 표시됩니다. 이 포지션의 경우 금고에 5 ETH가 예약됩니다.
• 숏 포지션: 사용자는 볼트를 사용하여 숏 포지션을 열 수 있습니다. 예를 들어 숏 포지션을 열기 위해 사용자는 5000 USDC를 금고에 예치하고 $25,000의 포지션을 열 수 있습니다. 스테이블 코인은 숏의 담보로 필요하며 롱과 마찬가지로 포지션 크기에 해당하는 스테이블 코인의 양은 이익을 지불하기 위해 예약됩니다.
• 청산: 포지션 손실로 인해 '포지션 크기/잔여 담보'가 최대 허용 레버리지보다 큰 지점까지 담보가 줄어들면 키퍼가 포지션을 청산할 수 있습니다.

2. 라우터

Router 계약은 금고 위에 편리한 기능을 제공합니다. 예를 들어 볼트는 토큰을 전송해야 하며 스왑을 실행하기 위해 호출되는 스왑 함수, 라우터는 토큰을 볼트로 전송하고 필요한 경우 기본 토큰의 랩핑/언래핑을 처리합니다.

PositionRouter 계약은 롱/숏 포지션을 늘리거나 줄이는 두 부분으로 구성된 트랜잭션 프로세스를 처리합니다. 프로세스는 선행 실행 문제를 줄이는 데 도움이 됩니다.

1. 사용자는 PositionRouter에 위치 증가/감소 요청을 보냅니다.
2. 키퍼가 거래소 집합체에 지수 가격 요청
3. 키퍼는 현재 인덱스 가격으로 포지션을 실행합니다.
4. 허용된 슬리피지 내에서 포지션을 실행할 수 없는 경우 요청이 취소되고 자금이 사용자에게 반환됩니다.

요청 트랜잭션과 실행 트랜잭션 사이에 3분이 경과하면 사용자가 스스로 포지션을 실행할 수 있습니다. 위치 키퍼의 기능은 편의성을 제공하는 것이며 이러한 키퍼 없이도 프로토콜이 계속 작동할 수 있습니다.

스왑의 경우 기본 수수료는 0.25%이며 가격 피드는 0.12% 가격 변동 내에서 업데이트되므로 선행 실행 문제를 줄이는 데 도움이 됩니다. KeeperDAO와 통합하는 작업도 진행 중이므로 가격 업데이트가 차익 거래 기회를 생성하는 경우 차익 거래의 이익을 캡처하여 풀로 리디렉션할 수 있습니다. .

3. 가격 피드

PriceFeed 계약은 가격 피드 키퍼의 제출을 수락합니다. 이 키퍼는 Binance, Bitfinex 및 Coinbase의 중간 가격을 사용하여 가격을 계산합니다. 키퍼에는 두 가지 유형이 있습니다.

• Price feed keeper: 스왑을 위해 정기적으로 가격을 제출합니다.
• 포지션 키퍼: 포지션 실행 시 가격 제출

볼트는 해당 체인링크 가격의 구성된 비율 내에 있는 경우 키퍼의 가격을 사용합니다. 가격이 이 임계값을 초과하면 제한 가격과 체인링크 가격 사이에 스프레드가 생성됩니다. 이 임계값은 참조 거래소의 중간 가격에서 체인링크 가격의 과거 최대 편차를 기반으로 합니다. 예를 들어 최대 편차가 2.5%이고 Chainlink의 토큰 가격이 $100인 경우 키퍼 가격이 $103이면 금고의 가격은 $100에서 $103입니다. 롱포지션 오픈시 높은가격, 클로징시 낮은가격 숏포지션

Keeper와 Watcher는 현재 별도의 팀원이 운영하고 있으며 Watcher의 신뢰성이 더 확실해짐에 따라 모든 사용자가 Watcher를 실행하여 알림을 받을 수 있습니다. 여러 관찰자 계정은 현재 스프레드를 활성화하기 위해 거래를 보낼 수 있도록 설정되어 있습니다. . 계정이 최소 금액의 GMX 토큰을 걸거나 잠그도록 요구함으로써 스프레드를 시행하기 위해 더 많은 사용자가 트랜잭션을 보낼 수 있도록 하는 것도 가능합니다.

가격 피드 및 포지션 키퍼는 체인링크 키퍼 또는 [Intel SGX](https:/ /medium.com/avalancheavax/new-avalanche-bridge-builds-on-intel-sgx-technology-in-breakthrough-for-cross-chain-8f854e0e72e0) Avalanche에서 사용.

2022년 8월 28일부터 추가 계약 수준 확인이 추가되었습니다. 각각의 빠른 가격 업데이트에서 계약 변수는 업데이트 가격의 백분율 변경과 마지막 업데이트 이후 체인링크 가격의 백분율 변경을 저장합니다. 구성된 임계값으로 Chainlink 가격을 설정하면 빠른 가격과 Chainlink 가격 사이의 스프레드가 자동으로 활성화됩니다. 이에 대한 구성은 Vault.priceFeed.secondaryPriceFeed.maxCumulativeDeltaDiffs에 있습니다.

가격 피드 계약은 보안을 개선하기 위해 업데이트될 수 있으므로 계약 주소를 찾는 가장 신뢰할 수 있는 방법은 'Vault.priceFeed' 값을 확인하는 것입니다.

4. 액세스 제어

팀에서 제어하는 컨트롤러 계정으로 조정할 수 있는 매개변수:

• 최대 5%까지 스왑 및 마진 거래 수수료 설정
• GLP 풀에 대한 토큰 가중치 설정, 토큰 가중치는 스왑의 동적 수수료에 영향을 미치며, 이러한 수수료는 지정된 토큰 가중치에 대한 균형을 증가시키는 스왑이 낮아지는 반면 토큰 가중치를 원하는 금액은 더 높은 수수료가 부과되며 계산 세부 정보는 Vault.vaultUtils.getSwapFeeBasisPoints에서 확인할 수 있습니다.
• 긴급 사용을 위한 스왑 또는 레버리지 거래 일시 중지
• 최대 허용 레버리지 설정
• 롱포지션과 숏포지션의 최대 총 수용량 설정

팀에서 제어하는 Timelock에서 조정할 수 있는 매개변수:

• 신규 토큰 상장
• Vault.priceFeed 업데이트
• 'Vault.vaultUtils' 업데이트, VaultUtils 계약은 포지션 개시 및 마감을 검증하고 수수료 계산 방법도 지정합니다.
• gov 값 업데이트

Timelock은 작업의 전체 세부 정보가 온체인에서 신호를 받는 시점과 작업이 실행되는 시점 사이에 24시간의 간격을 요구함으로써 작동합니다. 예제 흐름은 다음과 같습니다.

• Timelock.signalSetPriceFeed가 호출되어 Vault 주소와 새 가격 피드의 주소를 지정합니다.
• 최소 24시간이 경과해야 합니다.
• Timelock.setPriceFeed를 호출할 수 있으며, 이는 Vault.priceFeed 값을 업데이트합니다.

혹시라도 발생할 수 있는 문제에 빠르게 대응할 수 있도록 24시간을 선택했습니다.

Timelock 컨트랙트는 팀 구성원에 의해 모니터링되며 Timelock.SignalPendingAction 이벤트를 구독하여 코딩 없이 누구나 모니터링할 수 있습니다. 이는 OpenZeppelin Sentinel을 사용하여 수행할 수 있습니다. Timelock 계약은 계약의 gov 값을 확인하여 찾을 수 있습니다.

악의적인 트랜잭션이 전송되는 경우 풀의 모든 자금이 손상될 수 있습니다. 이를 완화하기 위해 사용자 자금에 영향을 줄 수 있는 모든 작업은 위에서 언급한 신호, 시간 간격, 실행 프로세스를 거쳐야 합니다. 모니터링 프로세스 또는 Bug Bounty를 통해 악의적인 거래가 감지되면 고문 및 커뮤니티 구성원으로 구성된 다중 서명을 사용하여 Timelock.admin을 재정의할 수 있습니다. 값, 이것은 조치가 실행되는 것을 방지합니다. 이것은 필요하지 않을 때 거래를 일시 중지하는 것과 같은 조치에도 적용되며, 이 경우 관리자를 다중 서명으로 교체하고 거래를 다시 활성화할 수 있습니다.

의견

• 거래소 수수료를 참여자(Staker 30%, LP 70%)들에게 보상하고, 추천 프로그램 등으로 빠르게 이용자를 확보하였습니다.
• 소스코드가 잘 정리되어 있습니다만 Contract Audit 레포트에 작은 이슈들이 다수 발견 되었습니다.
• 모든 정책을 GMX.io에서 관리하므로 탈중앙화 및 규제 이슈가 있습니다.

참고

1. 홈페이지: https://gmx.io/
2. 거래소: https://app.gmx.io/#/trade
3. 문서: https://gmxio.gitbook.io/gmx/
4. 기술문서: https://gmx-io.notion.site/gmx-io/GMX-Technical-Overview-47fc5ed832e243afb9e97e8a4a036353
5. Audit: https://github.com/gmx-io/gmx-contracts/blob/master/audits/Quantstamp_Audit_Report.pdf
6. 기술 분석: https://liamhieuvu.com/how-gmx-limit-order-and-long-short-work
7. 토큰 분석: https://rileygmi.substack.com/p/gmx
8. 토크노믹스 분석: https://twitter.com/eli5_defi/status/1546875347668414471/photo/1

기타 문의 사항 등은 덧글 달아주시구요.

도움이 되셨으면 ♥ 눌러주세요.   

이 문서는 Klaytn Cypress 노드를 AWS 스팟 인스턴스를 이용하여 비용 효율적으로 구축할 수 있는 방법에 대해서 설명합니다.

: EN(Endpoint Node)을 구축하는 방법을 설명합니다.

: [AWS 시스템 구축 관련] AWS 스팟 인스턴스 구성 방법

목차
0. 설치 요구 사항
1. 다운로드
2. 방화벽 설정
3. 압축 해제 및 환경 설정
4. 노드 실행 및 확인
5. Chain 데이터 활용
6. 기타
참고문서

0. 설치 요구사항

- 하드웨어: 8vCPU, 64 GiB Mem

- 스토리지: 3 TB SSD + 2.5 GiB/일(Chaindata를 압축해제하려면 초기 5 TiB 필요) 

- OS: Amazon Linux 2, Ubuntu 등

1. 다운로드

wget -c https://packages.klaytn.net/klaytn/v1.9.1/ken-v1.9.1-0-linux-amd64.tar.gz

wget -c https://s3.ap-northeast-2.amazonaws.com/klaytn-chaindata/cypress/klaytn-cypress-chaindata-20230215010212.tar.gz

- 패키지 다운로드 페이지 에서 최신 Cypress 노드 패키지를 다운로드 합니다.

- Klaytn Cypress Chain Data 페이지에서 체인 데이터를 다운로드 합니다. 

  : 다운로드 시간이 약 7시간 정도 소요되네요. (35 MB/s 속도 기준)

2. 방화벽 설정

// 노드간 블록 및 Tx 싱크 (IN, OUT 전체(0.0.0.0/0) 오픈)
P2P: 32323, 32324

// JsonRPC, WebSocket 통신 (서비스 허용할 특정 IP 오픈)
RPC: 8551 
WS: 8552

// 서비스 체인 설정
Service Chain Bridge Port: 50505

3. 압축 해제 및 환경 설정

// 압축 해제
tar xvfz ken-v1.9.1-0-linux-amd64.tar.gz

// pigz 설치(압축 해제 속도 향상)
sudo apt-get install pigz

// chaindata 압축 해제
nohup tar -I pigz -pxf klaytn-cypress-chaindata-20230215010212.tar.gz -C ./kend_home/ &

// 폴더 생성
mkdir kend_home

// 환경 설정
vi ~/.bash_profile

export PATH=$PATH:$HOME/ken-linux-amd64/bin

source ~/.bash_profile

4. 노드 실행 및 확인

// 노드 실행
kend start

// 노드 상태 확인
kend status

// 로그 확인
tail -f ~/kend_home/logs/kend.out

5. Chain 데이터 활용

tar xvfz klaytn-cypress-chaindata-20230215010212.tar.gz

mv [압축해제 폴더명] kend_home

kend start

* Chaindata Migration : 체인 데이터 용량을 줄이기 위한 방법을 제공한다.

6. 기타

- 블록체인 데이터들이 몇 년만에 수 테라바이트가 되었다.

- 상태 정보를 요약하여 용량을 줄이는 방법을 제공하지만 신뢰성과 시간, 비용을 맞바꾼 것이다.

- 블록체인은 태생적으로 여러 노드에 동일한 데이터를 저장, 검증하는 구조이기 때문에 비효율적인 면이 있다.

- 정기적으로 특정 시점의 상태 정보를 가지고 다시 시작할 수 있는 프로세스가 필요하다.  

[참고 문서]

1. Klaytn 노드 하드웨어 요구사항

2. Klaytn 노드 패키지 다운로드

3. Klaytn EN 설치  

[작성 이력]

- 2023.02.20 v1.0.0 : 초기 내용 작성

- 2023.02.21 v1.0.1 : chaindata 압축 해제 방식 수정  

기타 문의 사항 등은 덧글 달아주시구요.

도움이 되셨으면 ♥ 눌러주세요.   

이 글은 쟁글 리포트를 기반으로 갈무리한 내용입니다.

미국

• Report on Digital Asset Financial Stability Risks and Regulation(FSOC) (2022.10.03,) - 링크(본문), 링크(FactSheet)

• Digital Commodities Consumer Protection Act of 2022 (2022.08.03. 상원 발의) - 링크(본문), 링크(현황)

• Lummis-Gillibrand Responsible Financial Innovation Act (2022.06.07,상원 발의) - 링크(본문), 링크(현황)

• Executive Order on Ensuring Responsible Development of Digital Assets (2022.03.09. 행정 명령) - 링크(본문), 링크(FactSheet)

EU

• Market in Crypto Assets (MiCA) Regulation (2022.10.09.) - 링크(본문), 링크(현황), 링크(한국은행의 국문번역본)

국제결제은행(BIS)

• Prudential Treatment of Cryptoasset Exposures (2022.12.16.) - 링크(보도자료), 링크(리포트 본문)

자금세탁방지국제기구(FATF)

• Updated Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers (2021.10.28.) - 링크(본문)

싱가포르

•Financial Services and Markets Bill (2022.04.05. 의회 통과) - 링크(본문), 링크(요약)

•Guidelines on Provision of Digital Payment Token Services to the Public (2022.01.17.) - 링크(본문)

•안태현 변호사 블로그

국내 현황

•토큰 증권(Security Token) 발행·유통 규율체계 정비방안 (2023.02.06. 발표) - 링크(보도 자료)

•가상자산 불공정거래 규제 등에 관한 법률안 (백혜련의원 등 10인) (2022.11.10. 제안, 위원회 심사 중) - 링크(의안원문)

•디지털자산 시장의 공정성 회복과 안심거래 환경 조성을 위한 법률안(윤창현의원 등 11인) (2022.10.31. 제안, 위원회 심사 중) - 링크(의안원문)

•디지털자산거래법안 (민병덕의원 등 11인) (2022.07.14. 제안, 위원회 심사 중) - 링크(의안원문)

•특정 금융거래정보의 보고 및 이용 등에 관한 법률 (약칭: 특정금융정보법) (2021.12.28. 시행) - 링크(법령본문)

•가상자산산업 발전 및 이용자보호에 대한 기본법안 (김은혜의원 등 13인) (2021.11.08. 제안, 위원회 심사 중) - 링크(의안원문)

•전자금융거래법 일부개정법률안(정희용의원 등 11인) (2021.11.02. 제안, 위원회 심사 중) - 링크(의안원문)

•가상자산산업기본법안 (윤창현의원 등 11인) (2021.10.28. 제안, 위원회 심사 중) - 링크(의안원문)

•전자금융거래법 일부개정법률안(배진교의원 등 10인) (2021.08.02. 제안, 위원회 심사 중) - 링크(의안원문)

•디지털자산산업 육성과 이용자 보호에 관한 법률안 (민형배의원 등 10인) (2021.07.27. 제안, 위원회 심사 중) - 링크(의안원문)

•가상자산 거래 및 이용자 보호 등에 관한 법률안 (권은희의원 등 10인) (2021.07.09. 제안, 위원회 심사 중) - 링크(의안원문)

•전자금융거래법 일부개정법률안(강민국의원 등 11인) (2021.05.28. 제안, 위원회 심사 중) - 링크(의안원문)

•가상자산 거래에 관한 법률안 (양경숙의원 등 10인)(2021.05.21. 제안, 위원회 심사 중) - 링크(의안원문)

•가상자산업 발전 및 이용자 보호에 관한 법률안 (김병욱의원 등 11인) (2021.05.18. 제안, 위원회 심사 중) - 링크(의안원문)

•가상자산법안 (이용우의원 등 20인) (2021.05.07. 제안, 위원회 심사 중) - 링크(의안원문)

•전자금융거래법 일부개정법률안(박용진의원 등 12인) (2020.06.16. 제안, 위원회 심사 중) - 링크(의안원문)

안녕하세요. IT반장입니다.

이번 시간에는 최근 금융위원회에서 배포한 토큰 증권 발행 유통 가이드에 대해서 알아보겠습니다.  

1. 목적

- 투자자 보호를 위한 제도적 기반 마련

2. 토큰 증권 여부 판단

- 토큰 증권(Security Token)이란, 분산원장 기술(Distributed Ledger Technology)을 활용해 자본시장법상 증권을 디지털화(Digitalization)한 것을 의미

- 투자자가 얻게 되는 권리가 법상 증권에 해당한다면, 어떤 형태를 하고 있든지 투자자 보호와 시장질서 유지를 위한 공시, 인·허가 제도, 불공정거래 금지 등 모든 증권 규제가 적용됩니다.

* 기존 DeFi 프로젝트들의 거버넌스 토큰 등은 모두 토큰 증권으로 분류될 가능성이 높아 보입니다.

3. 토큰 증권 발행 유통 방안

* 기존 블록체인 기반의 토큰 중에서 증권형으로 판단되는 토큰들을 토큰 증권으로 분류하고, 제도권으로 편입하겠다.

* 토큰 증권 발행 및 등록/관리는 허가된 기관 및 중개업자를 통해서만 관리되도록 하겠다. 

4. 향후 계획

- 23년 상반기에 관련 법률 개정안 제출하고 단계적으로 체계화 하겠음

5. 평가

- 투자자 보호 및 제도권 편입으로 인한 불확실성이 다소 해소될 것으로 판단됩니다.

- 기존 블록체인 기반 토큰 발행/관리와 비교하여 글로벌 자본 유치, 용이성, 자율성, 탈중앙화 장점들이 사라지게 되어 경쟁력이 낮아지게 될것으로 판단됩니다.

- 글로벌한 프로젝트들이 국내에서도 프로젝트 실행 및 자본을 유치할 수 있도록 많은 제도 개선이 필요해 보입니다.     

참고 목록

[1] https://www.fsc.go.kr/no010101/79386

문서 이력

- v1.0 (20230207) :  최초 등록

도움이 되셨다면 

 눌러 주세요.^^

목적

이번 글에서는 NIST(미국립표준기술연구소)에서 공개한 “Understanding Stablecoin Technology and Related Security Considerations” 문서에서 보안 관련 사항을 요약해서 설명하겠습니다.

Security Issues

• Unauthorized or Arbitrary Minting of Stablecoins
  • 인가되지 않는 토큰 발행 취약점
  • 관리자의 임의적인 토큰 발행 취약점
• Collateral Theft
  • 담보된 자산이 도난될 수 있는 위험 
• Data Oracles
  • 사전에 오라클 정보를 획득하여 이득을 얻을수 있는 취약점
  • 오라클을 가장하거나 데이터를 변조하는 취약점
• Exploiting the Underlying Blockchain
  • 블록체인 Layer의 취약점
  • 공격에 취약한 소규모 블록체인 공격 등
• Malicious Smart Contract Update and Hijack
  • 악성 스마트 컨트랙트 업데이트 또는 하이재킹(위조)
• Writing Secure Software and Vulnerabilities
  • 스마트 컨트랙트 취약점

Stability Issues

• Dynamic Interest Rates
  • 동적 이자율로 인해 변동성 증가하여 안정성 저하
• Floating Collateral Requirements
  • 담보 조건이 유동적으로 변하여 안정성 저하
    • 일부 프로토콜은 가격 안정성을 위해 담보 조건이 동적으로 변경됨
• Oracle Responsiveness to Rapid Price Fluctuation
  • 급격한 가격 변동에 의한 오라클 대응 부족
    • 가격차를 이용해 이득 공격 가능, 예) TITAN 사례
• Governance Token Devaluation
  • 거버넌스 토큰 가치 하락으로 스테이블 코인 신뢰성 저하
  • 고래(거버넌스 토큰 대량 보유자)가 시스템을 크게 제어할 수 있음
• Share and Reward Token Devaluation
  • 공유, 보상 토큰 가치 하락으로 안정성 저하, 예) LUNA 사례
• Native Cryptocurrency Devaluation
  • 네이티브 코인이 평가 절하되면 사용자 이탈
  • 여러 체인에 자산을 페깅하여 시간 지연을 통해 뱅크런에 대응 가능성 높일수 있음
  • 알고리즘 방식은 대규모 인출로 뱅크런 발생 가능 높음
• Transaction Price Increase
  • TX 비용이 상승하면 안정성 저하
• Trading Curb/Circuit Breaker
  • 거래 제한 로직으로 안정성 저하

Trust Issues

• Stablecoin Manager Deception(관리자 속임수)
  • Insufficient Reserves: 증거금 부족
  • Reserve Type Mismatch: 증거금 유형 불일치
• Stablecoin Manager Actions(관리자 행동)
  • Account Denylisting: 블랙리스트 계정 차단
  • Managing Organization Dissolution: 관리 주체가 없어지면 조직 해산 관리 실패
  • Mass User Departure: 대량 사용자 이탈
  • Rug Pulls: 먹튀

DEX(LP) Security Issues

• Rug Pulls: 먹튀
• Transfer Vulerabilities: 전송 관련 스마트 컨트랙트 취약점 등
• Flash Loan Attacks: 플래쉬론 공격
• Automated Money Market Attacks: 샌드위치 공격

결론

• 스테이블 코인은 종류별로 서로 다른 위험을 가지고 있음
• CeFi는 인적 신뢰성이 중요
• DeFi는 스마트 컨트랙트 코드 신뢰성이 중요
• 알고리즘 방식과 부분 담보 스테이블 코인은 안정성 유지 어려움

이 외에는 NIST에서 발행한 블록체인 레포트를 참고하시면 도움이 되실 듯 합니다.

의견

최근 미 백악관에서 가상자산에 대한 규제 프레임워크를 발표했습니다. 특히, DeFi 및 Stablecoin에 대한 규제를 선행적으로 실시할 가능성이 높습니다. 기본적인 보안 고려 사항에 대해서 대응이 필요하겠습니다.

참고

1. NIST Report 8408 “Understanding Stablecoin Technology and Related Security Considerations”

2. NIST Report 8408 (구글 한글 번역)

3. 급격한 가격차를 이용한 공격 사례 TITAN: https://ciphertrace.com/analysis-of-the-titan-token-collapse-iron-finance-rugpull-or-defi-bank-run/ 

4. 공유 보상 토큰 공격 사례 LUNA: https://www.bloomberg.com/graphics/2022-crypto-luna-terra-stablecoin-explainer/

5. Flash Loan 공격: https://coinmarketcap.com/alexandria/article/what-are-flash-loan-attacks

6. 샌드위치 공격: https://medium.com/coinmonks/defi-sandwich-attack-explain-776f6f43b2fd

7. NIST Blockchain Report: https://csrc.nist.gov/Topics/technologies/blockchain

8. 미 백악관 가상자산 규제 프레임워크: https://www.tokenpost.kr/article-105644

도움이 되셨다면  를 눌러주세요.

안녕하세요. IT반장입니다.

이번 시간에는 이더리움 테스트를 위한 테스트 노드 Goerli 설치하는 방법을 소개하겠습니다.

0. 설치 환경

- 하드웨어: 최소 CPU 4 core, Mem 8 G, SSD 400 G (AWS c5.xlarge, c5.2xlarge)

- OS: 리눅스(Ubuntu20.04 등)

1. 기본 환경 설정

# 관련 패키지 설치
sudo apt-get install
sudo apt-get update

sudo add-apt-repository ppa:ethereum/ethereum
sudo apt-get update
sudo apt-get install ethereum

# geth 버전 확인
geth version

#---------------------------
Geth
Version: 1.10.25-stable
Git Commit: 69568c554880b3567bace64f8848ff1be27d084d
Architecture: amd64
Go Version: go1.18.5
Operating System: linux
GOPATH=
GOROOT=go
#---------------------------

2. geth 노드 설치 및 실행

# 디렉토리 생성
mkdir ethereum
cd ethereum
mkdir consensus
mkdir execution
cd consensus
mkdir prysm
cd prysm

# 키 생성
openssl rand -hex 32 | tr -d "\n" > "jwt.hex"

# geth 실행
nohup geth --goerli --http --http.api eth,net,engine,admin --authrpc.jwtsecret ./jwt.hex > geth.log &

# --syncmode snap/full/light 선택 가능
# 백그라운드 실행 설정(nohup ... &) 및 로깅 설정( > geth.log)은 필요시 사용한다.

# 로그 확인
tail -f geth.log

3. prysm 모듈 설치 및 실행

# 신규 터미널에서 prysm 다운로드
cd ethereum/consensus/prysm
curl https://raw.githubusercontent.com/prysmaticlabs/prysm/master/prysm.sh --output prysm.sh && chmod +x prysm.sh
wget https://github.com/eth-clients/eth2-networks/raw/master/shared/prater/genesis.ssz

# prysm 실행
./prysm.sh beacon-chain --execution-endpoint=http://localhost:8551 --prater --jwt-secret=./jwt.hex --genesis-state=genesis.ssz --suggested-fee-recipient=0x01234567722E6b0000012BFEBf6177F1D2e9758D9

# 관련 동의 후 백그라운드 실행
nohup ./prysm.sh beacon-chain --execution-endpoint=http://localhost:8551 --prater --jwt-secret=./jwt.hex --genesis-state=genesis.ssz --suggested-fee-recipient=0x01234567722E6b0000012BFEBf6177F1D2e9758D9 > prysm.log &

# 수수료 수신할 주소는 변경한다.
# 백그라운드 실행 설정(nohup ... &) 및 로깅 설정( > prysm.log)은 필요시 사용한다.

# 로그 확인
tail -f prysm.log

4. 기타

# 블록을 Sync 하는데 약 4-5일 소요된다. 
[2022-10-18 08:05:33]  INFO p2p: Peer summary activePeers=39 inbound=0 outbound=39
[2022-10-18 08:05:36]  INFO initial-sync: Processing block batch of size 63 starting from  0x0f88f3c9... 156800/4131028 - estimated time remaining 116h12m19s blocksPerSecond=9.5 peers=39

# 따라서 geth 실행시 --syncmode light 등을 적용하여 목적에 맞게 노드를 운영한다.

참고 목록

[1] https://notes.ethereum.org/@launchpad/goerli

[2] https://docs.prylabs.network/docs/install/install-with-script 

[3] https://goerli.net/

[4] https://eth-clients.github.io/checkpoint-sync-endpoints/#goerli

[5] https://goerli-faucet.pk910.de/

문서 이력

- v1.0 (20221018) :  최초 등록

- v1.1 (20221027) :  설치 환경 추가

도움이 되셨다면 

 눌러 주세요.^^

안녕하세요. IT반장입니다.

오늘 UTC PM 10:12:49 이후로 바이낸스 BSC 체인이 블록생성이 멈추었습니다. 참고[1]

- 멈춘지 4시간이 지났네요. 우리나라 시간으로 10/7 오전 8시 12분 경이네요.  

바이낸스에서 운영하는 BSC Token Hub에 취약점이 발견되어 BSC 체인을 일시적으로 중지한 것입니다.

이 글에서는 해당 해킹 사건에 대해서 분석해 보고자 합니다. 

1. 개요

- BSC 공지 내용 원문 (참고[2])

• 해당 공지는 바이낸스가 BSC 노드 검증자(Validator)들에게 BSC 토큰 허브에 BNB 토큰이 추가로 발행되는 취약점을 확인하고자 노드를 중지하고자 한다는 내용입니다.
•  해커가 빼낸 자금은 약 1 ~ 1.1 억 달러 이고, 그 중 7 백만 달러는 동결되었다고 합니다. 
• 도움을 준 커뮤니티: Hash, Neptune, TW Staking, BSCScan, Legend, CertiK, Figment, NodeReal, Namelix, Defibit, Fuji, InfStones, MathWallet, Pexmons, Ankr, BNB48 Club, Avengers, Tranchess, Coinbase Cloud

- 해커 계좌에는 현재 약 711만 달러의 토큰 잔고가 있다. 

2. 해킹 분석

- 트위터 samczsun 이 분석한 자료 (참고[4])

• vBNB 토큰 컨트랙트로 부터 해커 계좌로 약 60만 vBNB 토큰이 발행(Mint())되어 입금되는 것이 확인됩니다. 참고[5-1]

• 이는 BSC-Chain의 Genesis에 배포된 "BSC Cross Chain" 컨트랙트의 handlePackage 메소드가 실행되어 100만개 BNB가 "BSC Token Hub" 컨트랙트로부터 전송됩니다. 참고[5-2]
  • 파라미터 중 height 값을 비정상적인 110217401 를 입력한 것이 특징입니다.

- 이는 GENESIS에 PreCompile 되어 배포된 컨트랙트에 포함된 MerkleProof 로직의 취약점을 이용한 것으로 보입니다. (참고[7])

• 해커는 해당 검증 로직을 우회할 수 있는 데이터를 생성하여 토큰을 발행 받았습니다.

3. 패치 및 대응

- 패치 내용 (참고[6])

• 해당 PreCompiled 컨트랙트를 중지하고 블랙리스트 계좌를 등록하여 수정하였습니다.
• BSC 체인 노드 버전을 패치하고 노드들을 재실행하였습니다. 오후 2:30 경

4. 고찰

- 블록체인 기반 자산 관리는 은행의 장부를 도둑에게 모두 공개하고 서비스를 하는 것과 같다.

- 완벽한 보안은 없기 때문에 항상 대응 방안을 마련해야 한다.

- 중지 후 6시간 만에 빠르게 서비스를 복구했으나 근본적인 해결책은 아니므로 추가 문제가 발생하지 않도록 대응이 필요하다.

- 관련 내용으로 인한 Cosmos 취약점 공지가 추가되었다. 참고[8] 

• IAVLDisableFastNode 기본 설정을 true로 변경하였다. 참고[9]

참고 목록

[1] BSC 체인 중지 블록: https://bscscan.com/block/21962147

[2] 바이낸스 공지: https://www.reddit.com/r/bnbchainofficial/comments/xxjkpy/temporary_pause_of_bsc/

[3] 해커 계좌: https://bscscan.com/tokenholdings?a=0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec/ 

[4] 해킹 분석 트윗: https://twitter.com/samczsun/status/1578172227400310786

[5] TX 분석

1. https://bscscan.com/tx/0xf9d911624b5294652ec7f0b9fa7817f2a5953860411325e7f6e73d87f14a70ab
2. https://bscscan.com/tx/0xebf83628ba893d35b496121fb8201666b8e09f3cbadf0e269162baa72efe3b8b

[6] 패치 내용: https://github.com/bnb-chain/bsc/pull/1109

[7] CrossChain Contract: https://github.com/bnb-chain/bsc-genesis-contract/blob/master/contracts/CrossChain.sol

[8] Cosmos Security Notice:https://forum.cosmos.network/t/ibc-security-advisory-dragonberry/7702

[9] Cosmos Security Patch:https://github.com/cosmos/cosmos-sdk/commit/d8527c397792a2ca05f420040e8a5a718e9eaa0f

문서 이력

- v1.0 (20221017 12:30) :  최초 등록

- v1.1 (20221017 19:45) :  해킹 및 패치 내용 분석

- v1.2(20221014): 코스모스 취약점 공지 추가

도움이 되셨다면 

 눌러 주세요.^^

자본시장연구원에서 발행한 탈중앙화 자율조직 DAO에 관한 리포트입니다.

- 초기 서비스 하고자하는 주체는 공동으로 책임을 분산하고 규제를 일부 회피할 수 있습니다.

- 참여 주체는 공정한 정책에 의해서 조직이 운영될 수 있도록 참여할 수 있습니다.  

https://www.kcmi.re.kr/publications/pub_detail_view?syear=2022&zcd=002001016&zno=1652&cno=5897