피드로 돌아가기
Dev.toSecurity
원문 읽기
DEX Trigger 한계를 극복하여 FlashUSDT 탐지율 0.5%에서 100%로 개선
We thought we caught every scam token. A dev.to post showed us a blind spot.
AI 요약
Context
Uniswap V2/V3/V4 Pool 생성을 트리거로 사용하는 Ingestion 파이프라인 설계로 인해 Liquidity가 없는 스캠 토큰 탐지에 한계 발생. 특히 메타데이터만 위조한 FlashUSDT 계열의 오프체인 사기 토큰들이 분석 대상에서 완전히 누락되는 Coverage Miss 발생.
Technical Solution
- Liquidity 기반의 DEX-triggered 방식에서 모든 Contract Creation을 감지하는 Deploy-triggered 방식으로 Ingestion 전략 전환
- Mempool-watcher를 활용하여
to === null조건의 트랜잭션을 실시간 훅킹하는 저비용 아키텍처 설계 getCreateAddress함수로 계약 주소를 예측하고name(),symbol()등 최소 ABI를 통한 메타데이터 선제 필터링 적용- 불필요한 전수 조사를 방지하기 위해 Bounded Set을 활용한 Deduplication 및 임계치 기반의 Full Analysis 진입 제어
- Bytecode Clustering 및 Deployer-Funder Graph 분석을 통해 기지의 스캠 템플릿과 연관성을 검증하는 다단계 스코어링 체계 통합
실천 포인트
1. 이벤트 트리거 설계 시 '반드시 발생해야 하는 이벤트'가 누락된 예외 케이스가 있는지 검증했는가?
2. 데이터 Ingestion 파이프라인의 Coverage Gap을 측정할 수 있는 독립적인 검증 데이터셋을 보유하고 있는가?
3. 전수 조사 시 발생하는 부하를 줄이기 위해 '최소 정보 기반의 1차 필터링 -> 정밀 분석' 단계의 계층적 설계를 적용했는가?