시냅스

이 글은 Ethereum 및 EVM 계열을 기준으로 설명합니다. 이번 편의 목표는 한 문장입니다.스마트컨트랙트 보안 사고는 코드 버그라기보다 권한과 상태 변경 순서의 설계 실패로 시작한다이 글은 두 가지 전형을 먼저 익히는 데 집중합니다.재진입 reentrancy승인 allowance 기반 토큰 탈취 제가 처음 스마트컨트랙트를 접했을 때 인상은 이랬습니다.컨트랙트는 서버 코드처럼 한 번만 실행된다토큰은 송금이니까 잘못 보내면 끝이고, 승인은 별거 아니다보안은 감사 업체가 잡아줄 영역이다현실은 이렇습니다.컨트랙트 호출은 외부 컨트랙트로 다시 튈 수 있다승인 allowance는 장기 권한 위임이고, 실수하면 자동이체 권한을 넘겨준 것과 같다한번 배포된 코드는 운영자가 바로 고치기 어렵다web2로 번역하면재진..