차오판 쇼우는 스마트 컨트랙트를 위한 자동화된 테스트 도구를 전문으로 하는 블록체인 보안 회사인 Fuzzland의 공동 창립자 겸 CTO이며, 솔레이어의 개발자이기도 합니다. 그는 또한 UC 버클리 스카이 컴퓨팅 연구소에서 박사 과정을 밟고 있으며, 프로그램 분석, 보안 및 분산 시스템에 대한 연구에 집중하고 있습니다. ^{[1] [2] [3] [4]}

개요

차오판 쇼우는 블록체인 보안 및 프로그램 분석 분야에서 주목할 만한 인물로 자리매김했습니다. 그의 연구는 학술 연구, 기업가 정신 및 보안 엔지니어링에 걸쳐 있으며, 스마트 컨트랙트 보안 및 자동화된 테스트 방법론에 상당한 기여를 했습니다. 쇼우는 보안 취약점을 식별하고 해결하는 데 대한 전문 지식을 바탕으로 다양한 플랫폼에서 수많은 중요한 문제를 발견했으며, 보고된 포상금은 약 190만 달러에 달합니다. 그의 연구는 권위 있는 학술 컨퍼런스에 발표되었으며, 블록체인 보안 및 퍼징 기술에 초점을 맞춘 업계 행사에서 강연을 했습니다. ^{[1] [2] [3] [4]}

교육

쇼우는 현재 캘리포니아 대학교 버클리에서 박사 과정을 밟고 있으며, Koushik Sen 교수의 지도하에 스카이 컴퓨팅 연구소에서 연구하고 있습니다. 그의 박사 연구는 프로그램 분석, 보안 및 분산 시스템에 집중되어 있습니다. 박사 과정에 들어가기 전, 쇼우는 캘리포니아 대학교 산타바바라에 다녔습니다. ^{[1] [4]}

경력

쇼우의 전문 경력에는 Salesforce의 보안 엔지니어 직책이 포함되어 있으며, 정적 애플리케이션 보안 테스트(SAST) 솔루션, 내부 네트워크 스캔 서비스 및 데이터 파이프라인에 기여했습니다. 이 기간 동안 그는 다양한 플랫폼에서 보안 취약점을 식별하는 전문 지식을 개발했으며, 이는 나중에 블록체인 기술을 사용하는 작업의 기반이 되었습니다.

Salesforce에서 근무한 후 쇼우는 블록체인 보안 스타트업인 Veridise의 창립 엔지니어가 되었습니다. Veridise에서 그는 특히 스마트 컨트랙트 및 블록체인을 위해 설계된 여러 자동화된 테스트 도구 개발을 주도했습니다. Veridise에서의 그의 작업에는 커버리지 가이드 퍼징으로 블록체인을 깨는 도구인 Chainsaw 개발이 포함되었으며, 2022년 스마트 컨트랙트 서밋(SBC)에서 발표했습니다.

쇼우는 Fuzzland를 공동 창립했으며 현재 최고 기술 책임자(CTO)로 재직 중입니다. Fuzzland는 블록체인 보안, 특히 스마트 컨트랙트를 위한 자동화된 테스트 도구 개발에 중점을 둡니다. 2024년 2월, Fuzzland는 쇼우의 Medium 게시물에서 보고된 바와 같이 300만 달러의 시드 자금 조달을 마감했다고 발표했습니다. Fuzzland에서 쇼우는 블록체인 보안을 위한 퍼징 기술에 대한 연구를 계속하여 2023년 BuildETH에서 "MEV + Fuzzing = DeFi 방화벽"을 발표했습니다. ^{[1] [2] [3] [4] [5] [6] [7] [8] [9]}

연구 및 출판물

쇼우는 스마트 컨트랙트 보안, 프로그램 분석 및 분산 시스템 분야에서 여러 학술 논문을 저술 및 공동 저술했습니다. 그의 주목할 만한 출판물은 다음과 같습니다.

• "ItyFuzz: 온체인 스마트 컨트랙트 감사를 위한 스냅샷 기반 퍼저" (ISSTA '23), Shangyin Tan 및 Koushik Sen과 공동 저술;
• "견고하고 확장 가능한 하이브리드 네트워크 원격 측정 시스템을 위한 쿼리 계획" (CoNext '24), 여러 공동 저자와 함께;
• "공모 기반 광고 기여 세탁 사기 폭로: 탐지, 분석 및 보안 영향" (CCS '24);
• "CorbFuzz: 퍼징으로 브라우저 보안 정책 확인" (ASE '21). ^[1]

쇼우는 경력 전반에 걸쳐 다양한 플랫폼에서 수많은 보안 취약점을 식별하고 보고했습니다. 2020년에서 2022년 사이에 버그 바운티 프로그램에 기여한 결과 잠긴 토큰을 포함하여 약 190만 달러의 포상금을 받았습니다. 그의 주목할 만한 보안 발견 사항은 다음과 같습니다.

• RisingWave의 원격 코드 실행(RCE) 취약점 (2024);
• 사용자 정보 유출로 이어지는 Devin.ai의 서버 측 요청 위조(SSRF) 문제 (2024);
• 계정 탈취로 이어질 수 있는 Twitter의 교차 사이트 스크립팅(XSS) 및 교차 사이트 요청 위조(CSRF) 취약점 (2023);
• 폴리곤 Edge 및 DogeChain과 같은 블록체인 플랫폼의 여러 검증자 서비스 거부(DoS) 취약점 (2022). ^[1]

쇼우는 GitHub에서 활발하게 활동하고 있으며 수많은 리포지토리에 기여했습니다. 그의 고정된 프로젝트에는 스마트 컨트랙트를 위한 바이트코드 수준의 하이브리드 퍼저인 ItyFuzz와 하이브리드 퍼징을 위한 확률적 경로 우선 순위 지정 구현인 digfuzz가 포함됩니다. 그는 또한 LibAFL 및 Facebook의 Hermes JavaScript 엔진과 같은 주요 오픈 소스 프로젝트에도 기여했습니다. ^{[1] [3] [5] [5]}

강연

쇼우는 다음과 같은 다양한 업계 행사에서 자신의 연구를 발표했습니다.

• 2023년 BuildETH에서 Fuzzland를 대표하여 "MEV + Fuzzing = DeFi 방화벽" 발표;
• 2022년 스마트 컨트랙트 서밋(SBC)에서 Veridise를 대표하여 "Chainsaw: 커버리지 가이드 퍼징으로 블록체인 깨기" 발표. ^{[1] [4]}

인터뷰

스마트 컨트랙트 공격 완화 #01

2024년 8월 16일, 차오판 쇼우는 IC3 Initiative for Cryptocurrencies and Contracts YouTube 채널에 출연하여 스마트 컨트랙트 공격에 대한 과제와 방어 전략에 대한 자신의 견해를 발표했습니다. 쇼우에 따르면 2024년 손실은 이미 1억 달러를 넘어섰으며, Ronin Bridge 익스플로잇 및 중요한 결함을 해결하지 않고 여러 감사를 거친 프로토콜의 반복적인 해킹과 같은 주목할 만한 사건이 발생했습니다.

쇼우는 많은 공격이 개인 RPC를 통해 발생하여 프론트 러닝 봇이 악성 트랜잭션이 채굴되기 전에 탐지하고 차단하는 것을 방지한다고 지적합니다. 수비수와 공격자 봇 간의 치열한 경쟁과 급증하는 가스 수수료가 결합되어 온체인 구조 시도의 효과가 크게 감소했으며, 2024년에는 프론트 러닝만으로는 자금 회수가 성공하지 못했다고 지적합니다.

연구원에 따르면 공격 준비 단계에서 반복되는 패턴이 있습니다. 공격자는 종종 악성 트랜잭션을 실행하기 직전에 익스플로잇 컨트랙트를 배포합니다. 쇼우는 이 세부 사항이 사전 예방적 개입을 위한 창을 열어준다고 주장합니다. 새로 배포된 컨트랙트를 모니터링하고 분석함으로써 방어 팀은 동일한 익스플로잇을 재활용하여 원래 공격을 하이재킹하여 자금 회수 가능성을 크게 높일 수 있습니다.

이 개념을 운영하기 위해 차오판 쇼우는 공격 매개변수를 예측하거나 익스플로잇 트랜잭션을 실시간으로 재구성할 수 있는 “미스터리한 오라클” 생성을 제안합니다. 2023년 1월부터 수행된 실험에서 그의 팀은 최적화된 매개변수와 익스플로잇 하이재킹 기술을 통해 최대 1억 2천만 달러의 손상된 자금을 회수할 수 있음을 입증합니다.

마지막으로 쇼우는 온체인 분석, 연구 팀 간의 협업 및 컨트랙트의 프로그래밍 방식 복구와 같은 새로운 접근 방식을 결합하여 동적 방어 메커니즘을 만드는 것이 중요하다고 강조합니다. 그의 견해로는 과거 공격 데이터를 활용하고 예측 모델을 사용하는 것이 미래의 손실을 방지하고 블록체인 생태계를 보다 효과적으로 보호하는 데 필수적입니다. ^[10]