피드로 돌아가기
The contract is clean - for now: catching crypto scams that survive launch-time checks
Dev.toDev.to
Security

Snapshot 기반 검증 한계를 극복한 시계열 및 Indirection 분석 체계 구축

The contract is clean - for now: catching crypto scams that survive launch-time checks

Bryan MARTIN2026년 6월 15일5advanced

Context

런칭 시점의 단발성 Snapshot 분석에 의존하는 기존 스캠 탐지 모델의 한계 분석. 초기에는 정상 작동하다 특정 시점에 Hostile하게 변하는 Delayed Honeypot과 Proxy 패턴을 이용한 로직 은닉 기술로 인해 기존 탐지 체계 무력화 발생.

Technical Solution

  • J0, J7, J30 시점의 다중 Snapshot 생성 및 비교를 통한 시계열 분석 도입
  • J0 시점 Sellable 토큰 대상 J7 시점 Re-simulation을 수행하여 Clean-to-Honeypot 상태 변화 감지
  • DELEGATECALL Opcode 탐지 시 EIP-1967 및 Beacon Proxy 등 표준 Storage Slot을 추적하여 실제 Implementation 주소 식별
  • 식별된 Implementation Bytecode를 기 구축된 Scam-factory Hash 데이터베이스와 대조하여 로직 은닉 스캠 차단
  • RPC 오류로 인한 False Positive 방지를 위해 재시뮬레이션 실패 시 '정상'으로 처리하는 보수적 판정 로직 적용
  • 전체 토큰이 아닌 DELEGATECALL 포함 컨트랙트 및 특정 조건 충족 토큰으로 분석 대상을 제한하여 RPC 비용 최적화

- 상태 변경 가능성이 있는 시스템 분석 시 단일 시점 Snapshot이 아닌 시계열 검증 프로세스 설계 - Indirection 계층(Proxy, Gateway 등) 존재 시 최종 실행 로직(Implementation)까지 추적하는 Recursive 분석 경로 확보 - 탐지 시스템 설계 시 False Positive가 서비스 신뢰도에 미치는 영향을 고려한 보수적 Failure handling 전략 수립 - 분석 리소스 최적화를 위해 전수 조사 대신 특정 Opcode나 플래그 기반의 필터링 단계 선행

원문 읽기