Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Luniverse Partners Day - Smart Contract Assessment(Sooho)
1.
2. 2
1. 배경 소개
2. 취약점 현황
3. 개발자를 위한 취약점 분석 도구
4. Sooho의 기술: Detector, Verifier, Fuzzer, Classifier
5. 수호의 기술 비교
6. 수호의 Verification-as-a-Service
7. 질의응답
다루는 내용
0TABLE OF CONTENTS
3. 취약점(VULNERABILITY)
임의의 공격자가 허락받지 않은 기능을 수행할 수 있게 하는 프로그램 상의 약점
익스플로잇(EXPLOIT)
임의의 공격자가 취약점을 통해 허락받지 않은 기능을 수행하는 것
VS
3
1VULNERABILITY & EXPLOIT
취약점과 익스플로잇
4. • 알려진 취약점 혹은 익스플로잇에 대한 취급 방
법을 정규화하기 위해
• 소프트웨어 취약점을 무료로 열람할 수 있게 해
보안 수준을 높이기 위해
CVE-YYYY-NNNN (CVE-YEAR-NUMBER)
4
1CVE
Common Vulnerabilities and Exposures란?
5. • 알려진 취약점 혹은 익스플로잇에 대한 취급 방
법을 정규화하기 위해
• 소프트웨어 취약점을 무료로 열람할 수 있게 해
보안 수준을 높이기 위해
CVE-YYYY-NNNN (CVE-YEAR-NUMBER)
5
1CVE
Common Vulnerabilities and Exposures란?
14. 2017 2018
Jun Jul Aug Sep Oct Nov Dec Jan Feb Mar Apr May Jun Jul Aug Sep Oct
Parity Multi-sig 2
11/06/‘17
SmartBillions
10/05/‘1707/13/‘17
Augur Rep Token
실제 사용 서비스에서도 취약점을 넘어 익스플로잇이 발생하고 있다
Parity Multi-sig
07/19/‘17
FoMo3D Airdrop
07/24/‘18
14
2TIMELINE OF EXPLOITS
실제 해킹 사례
SpankChain
10/06/‘18
Batch/Proxy Overflow
04/22/‘18
21. 21
3SECURITY TOOLS FOR DEV
개발자를 위한 취약점 분석 도구
• 전문성 한계 (예: 결과 확인/해석을 위해 보안 전문 지식 필요)
• 시간적 한계 (예: 분석하는 동안 일정 상 기능 개발은 진행되야 함)
• 비용적 한계 (예: 전문가 고용에 필요한 지출이 상당함)
• 정책적 한계 (예: 크립토키티의 유전 알고리즘 컨트랙트)
22. 22
4SOOHO TECHNOLOGY OVERVIEW
Sooho의 기술 개요
• 전문성 한계 (예: 결과 확인/해석을 위해 보안 전문 지식 필요)
• 시간적 한계 (예: 분석하는 동안 일정 상 기능 개발은 진행되야 함)
• 비용적 한계 (예: 전문가 고용에 필요한 지출이 상당함)
• 정책적 한계 (예: 크립토키티의 유전 알고리즘 컨트랙트)
= Verification-as-a-Service
= 보다 빠른 탐지 기법 연구
= 자동화 도구 개발
= Code Privacy 기법 연구
23. 23
4SOOHO TECHNOLOGY: VULNERABLE CODE CLONE DETECTOR
Sooho의 기술: 취약 코드 클론 탐지기
취약점 전파의 주요 원인 중 하나
1. 완전 코드 재사용
• 개발 시점에서의 재사용
• 컴파일 시점에서의 재사용
2. 부분 코드 재사용
• 프로젝트 포크
• 복사 & 붙여넣기
예: 전통적인 소프트웨어에서의 코드 재사용
25. 25
예: 전통적인 소프트웨어에서의 프로젝트 포크
만약 이 코드가 취약점을 가지고 있다면?
4SOOHO TECHNOLOGY: VULNERABLE CODE CLONE DETECTOR
Sooho의 기술: 취약 코드 클론 탐지기
(2) 부분 재사용
Search
Copy & Paste
예: 컨트랙트 복사 & 붙여넣기
32. 32
4SOOHO TECHNOLOGY: VERIFIER, FUZZER
Sooho의 기술: Verifier, Fuzzer
1. Numerical Property Verifier (18.4Q 예정)
• Integer Overflow/Underflow 특화 검증기
• 특징
• 현재 유일한 Verifier (비공개 툴 제외)
• 기존 Analyzer들의 FP/FN Rate를 줄임
2. Smart Contract Fuzzer (19.1Q 예정)
• 실행을 통해 Exploitability 검증
False Positive Case
33. 33
4SOOHO TECHNOLOGY: Classifier
Sooho의 기술: Classifier
3. Mal Address Classifier (18.4Q 예정)
• 악성 Address 1,500 여개
• 정상 Address 8,500 여개
• 현재 Cross-validation 10 Fold 기준 85%의 성능
해커에게 송금하는 건 아닐까?
34. 34
5COMPARISONS
기술 비교
수동 분석 O O O O O O
자동화 분석 O X X O O 반자동
패치 파일 O X X X X X
기존 개발 프
로세스 연동
O X X X X X
Solidified OpenZeppelin SmartDec Quantstamp CertikSooho
41. Global Capture The Flag Penetration Testing
Manual Security Assessment and Consulting By Security Experts
Security Audit
41
6Verification-as-a-Service
수호의 VaaS
42. 취약점 분석 및 파트너쉽 문의
(contact@sooho.io)
42
7Q&A
질의응답
