[연구] 김형식 교수 연구실 (보안공학연구실, SecLab), USENIX Security 2024 학술대회 논문 게재 승인 소식
- 소프트웨어융합대학
- 조회수1981
- 2024-08-01
보안공학 연구실(https://seclab.skku.edu/)의 김형식 교수가 참여한 논문 "I Experienced More
than 10 DeFi Scams: On
DeFi Users’ Perception of Security Breaches and Countermeasures"이 보안
분야 4대 컨퍼런스 중 하나인 USENIX Security 2024에 게재 승인되어 8월에 발표될 예정입니다. 이 연구는
Georgia Institute of Technology의 김태수 교수 연구실과의 협업을 통해 진행되었습니다.
다음은 논문의 개요입니다:
탈중앙화 금융(DeFi)은 새로운 투자 경험을 제공하며, 중앙집중식 금융(CeFi)에 대한 매력적인 대안으로 급부상하고
있습니다. 그러나 급성장하는 시장 규모와 활발한 사용자 활동은 DeFi를 스캠과 해킹의 표적으로 만들었습니다. 2023년에만
19억 5천만 달러의 손실이 발생했습니다. 이렇게 큰 피해가 발생하는 데도 불구하고, 왜 사용자들이 DeFi에 계속
투자하는지에 대한 근본적인 이해가 부족하였습니다.
이 논문은 실제 스캠, 해킹 피해자들을 대상으로 사용자 스터디를 기반으로 DeFi 사용자의 보안 인식과 사용자들이 DeFi를
어떻게 활용하고 있는지를 분석합니다. 또한 사용자들이 스캠이나 해킹 피해자들이 어떻게 대응하고 손실을 회복하려 하는지를
분석합니다. 우리의 분석에 따르면, 사용자들은 DeFi의 탈중앙화 특성과 높은 수익성으로 인해 CeFi보다 DeFi를 선호하는
경향이 있음을 알 수 있었습니다. 그러나, 대부분의 피해자는 보안 사고를 경험했음에도 불구하고 여전히 적절한 대처를 못하고
있는 것을 알 수 있습니다.
이 논문의 주요 기여는 DeFi 사용자의 보안 우려와 리스크 완화 전략에 대한 정확한 원인을 규명하고, DeFi 보안을
향상시키기 위해서 어떠한 노력을 기울여야 하는지를 설명합니다.
Abstract:
Decentralized Finance (DeFi) offers a whole new investment experience
and has quickly emerged as an enticing alternative to Centralized
Finance (CeFi). Rapidly growing market size and active users, however,
have also made DeFi a lucrative target for scams and hacks, with 1.95
billion USD lost in 2023. Unfortunately, no prior research thoroughly
investigates DeFi users’ security risk awareness levels and the
adequacy of their risk mitigation strategies.
Based on a semi-structured interview study (N=14) and a follow-up
survey (N=493), this paper investigates DeFi users’ security
perceptions and commonly adopted practices, and how those affected by
previous scams or hacks (DeFi victims) respond and try to recover
their losses. Our analysis shows that users often prefer DeFi over
CeFi due to their decentralized nature and strong profitability.
Despite being aware that DeFi, compared to CeFi, is prone to more
severe attacks, users are willing to take those risks to explore new
investment opportunities. Worryingly, most victims do not learn from
previous experiences; unlike victims studied through traditional
systems, DeFi victims tend to find new services, without revising
their security practices, to recover their losses quickly. The
abundance of various DeFi services and opportunities allows victims to
continuously explore new financial opportunities, and this reality
seems to cloud their security priorities. Indeed, our results indicate
that DeFi users’ strong financial motivations outweigh their security
concerns – much like those who are addicted to gambling. Our
observations about victims’ post-incident behaviors suggest that
stronger control in the form of industry regulations would be
necessary to protect DeFi users from future breaches.
The key contributions of this paper are: a first formal study
investigating DeFi users’ security concerns and risk mitigation
strategies, a list of security misconceptions that need to be
addressed, and a thorough report on the security behaviors of DeFi
victims and how they can be better protected in the future.