[디파이 관련 투자 일기] 헷지전략을 통한 디파이투자 시 리스크(2)

이전 글에 이어서 디파이 투자 시 발생하는 리스크에 대해 설명하겠습니다. 경제적 리스크를 제외하더라도 디파이 투자 시 보안, 해킹과 관련된 리스크를 부담하게 됩니다. 가상자산에 대한 법률적 규제가 없기 때문에,  디파이를 해킹할 유인이 상당히 높은 상태입니다. 또한 투자한 디파이가 해킹 또는 공격을 받게 되면 어떤 전략을 썼는지와 무관하게 자산의 상당 부분을 잃게 됩니다. 따라서 디파이 투자 이전에는 반드시 보안이나 해킹 부문에서 이슈가 될만한 사항이 없는지를 확인하셔야 됩니다.  본 글에서는 DEX에 투자하기 전 제가 우선적으로 확인하는 부분을 설명하겠습니다. 

 

 

1. Certik , Rugdoc 등의 Audit 여부

 가장 먼저 보는 것은 Certik, Rugdoc 등의 보안업체로 부터 받은 감사결과의 유무입니다. 해당 업체들은 개별 디파이에 대한 보안 이슈를 체크하고 그에 대한 의견을 제공해주고 있습니다. 해당 감사결과를 참조하시면 해당 디파이가 갖고 있는 보안 관련 이슈에 대해 어느 정도 파악이 가능합니다. 또한 감사를 받지 않았다면 해당 디파이를 사용하지 않는 일종의 스크리닝 툴로도 활용할 수도 있습니다. 

 

Certik 주소: https://www.certik.org/

Rugdoc 주소: https://rugdoc.io/chain/bsc/

 

다만 해당 보고서를 맹신하면 안됩니다. Certik은 타임락의 유무를 중요하게 보지 않습니다. 그보다는 해당 디파이가 의도한 결과물을 만들어 낼 수 있는지, 그리고 그 과정에서 오류 발생이 없는지를 더 중요하게 보는 것 같습니다. Rugdoc의 경우에도 마찬가지입니다. Rugdoc은 타임락, Deposit fee, Withdrawal fee의 변동 가능성 등 만을 집중적으로 바라보고 있어 그 외의 이슈에 대해서는 취약한 분석이 될 수도 있습니다.

 

2. TimeLock 기능 유무 

TimeLock은 개발자가 코드를 변경하여도 해당 변경사항이 일정시간 이후에 적용되도록 만들어줍니다. 팬케이크와 같은 덱스류를 기준으로 설명하면 다음과 같은 상황으로 이해하시면 됩니다. 

 

 

해당 그림을 보시면 아시겠지만, Timelock은 개발진이 코드에 변경사항을 만들더라도 일정 시간 뒤에 해당 변경사항이 적용되도록 하는 기능을 합니다. Timelock은 개발진이 코드를 악의적으로 변경하더라도 일정 시간 동안은 대응이 가능하게 만드는 중요한 기능입니다. 예를 들어 Timelock에 있는 유예시간이 6시간이라면, 개발진이 코드를 변경하더라도 해당 코드가 올라온 지 6시간 안에 인출하면 피해 없이 자산을 회수할 수 있습니다. 

 

이런 TimeLock 기능이 있는지 확인하려면 해당 디파이의 MasterChef의 Ownership(소유권)이 누구한테 있는지 확인하시면 됩니다. 코코모 파이낸스를 예시로  설명드리겠습니다. 코코모 파이낸스의 Masterchef 주소는 0xdde9Cb60DE6E559B9ff03251d1fca5834E26FFaB 입니다. bscscan에서 해당 주소의 Contract내용을 읽어보면 해당 Masterchef계정이 어느 계정에 귀속되어있는지를 알 수 있습니다. 아래 링크를 통해 contract의 내용을 볼 수 있으며 저희는 해당 내용 중  Owner에 표기되어 있는 주소를 확인해야 됩니다.(마스터 계정의 주인을 표시한 부분입니다)

 

https://bscscan.com/address/0xdde9cb60de6e559b9ff03251d1fca5834e26ffab#readContract

 

코코모 파이낸스 마스터계정의 Ownership 확인방법

코코모의 마스터 계정에 설정되어 있는 Owner는 0x3209b471c2A37203502A0a7d002A449c742c5A93라는 주소로 해당 주소를 검색하면 Timelock 계정임을 확인할 수 있습니다. 

코코모 파이낸스의 마스터쉐프는 Timelock계정에 귀속된 것을 확인할 수 있습니다. 

 

물론 Timelock계정이 있더라도, Timelock 계정에서 발생하는 transaction 내에 의심스러운 업데이트는 없는지 확인해야 됩니다.(이 부분에 대해서는 다음에 좀 더  자세하게 다루겠습니다). 하지만 개발진의 코드 변경에 대응할 수 있다는 점에서 Timelock 계정이 갖는 의미는 상당히 큽니다. 

 

3. Emergency Withdraw 기능 유무  

마스터 셰프 컨트랙트에 타임락이 걸려있어도 대응이 불가능한 경우가 있습니다. 바로 사이트를 닫아버리는 경우입니다. 디파이 사이트에 접속해도 404 not found 같은 창이 열린다고 생각하시면 됩니다. 이런 경우에는 타임락이 걸려있더라도 개발진의 코드 변경에 적절하게 대응할 수 없습니다. 이때 필요한 게 Emergency Withdraw 기능입니다.  마스터 셰프 컨트랙트에서 사용 가능 여부를 확인할 수 있습니다.

 

emergencyWithdraw 기능은 반드시 한 번은 사용해보시는 걸 추천드립니다.  개발자가 사이트를 닫아버린 경우, 해당 기능을 바로 실행할 수 있는지 여부가 자금 회수가 가능한지 여부를 결정합니다. 반드시 한 번쯤은 해당 기능을 실행하시길 바랍니다.  EmergencyWithdraw 실행은 다음 글을 참고하시면 될 것 같습니다. 

 

https://skuld2000.tistory.com/179

 

 

현재 디파이 흔히 말하는 DEX류에서 발생하는 러그풀 형태가 워낙 다양하다 보니 사례별로 분석하는 거는 좋지 않다고 생각하여 제가 우선적으로 보는 보안 관련 사항에 대해서 적어봤습니다. 다음 글에서는 Timelock 알림 설정 방법(텔레그램으로 알람이 오게 하는 방법) 및 추가적으로 확인해야 되는 사항에 대해 적어보겠습니다. 긴 글 읽어주셔서 감사합니다.