이더스캔 사이트 문의

Question

스마트 컨트랙트가 메인넷에 배포되면 이더스캔을 통해 조회가 되는 것으로 알고 있습니다. 스마트 컨트랙트의 경우 verify & publish 를 한 경우에만 스마트 컨트랙트 코드가 보이는 것으로 알고 있는데  해당 과정을 거치지 않은 경우에는 스마트 컨트랙트 코드를 확인할 수 없는 것인가요? 다른 강의를 듣던 중 메인넷에 배포된 스마트 컨트랙트는 모든 사람이 확인할 수 있고 이 때문에 해킹에 대비해야된다고 들었는데 어떤 방법으로 스마트 컨트랙트를 확인할 수 있나요?

coldmind · Answer

이더스캔에서 검증되지 않더라도 GIthub 등을 통해 컨트랙트의 소스파일을 공개할 수도 있겠죠. 이더스캔과 같은 사이트를 통해 컨트랙트를 검증하고 확인하는 것은 배포된 컨트랙트가 실제 어떤 일을 하는지 확인하기 위함입니다. 그러니까 컨트랙트 소스코드와 실제 배포된 컨트랙트가 다를 가능성은 얼마든지 있으므로 그런 경우에는 결국 배포한 사람을 신뢰해야 하는 것인데, 그것은 스마트 컨트랙트의 개념과는 거리가 멀겠죠. 그런 관점에서 보면 소스코드가 공개되어 있어서 해킹에 노출된다는 것이 단점일 수도 있습니다. "해킹에 대비"한다는 것이 이미 배포된 컨트랙트의 보안 취약점을 노려서 어떤 공격을 할 수 있다는 것이지, 컨트랙트 그 자체를 변경하거나 하는 것은 불가능합니다. 아무튼 중요한 컨트랙트들은 전부 일정 기간 동안 테스트넷에서 검증을 하고 또 전문적인 보안 컨설팅을 통해 감사(audit)를 받습니다. 이것이 대비라면 대비일 테고, 또 업그레이드 가능하도록 컨트랙트를 배포해서 혹시 문제가 생기면 즉기 컨트랙트 실행을 중지하고 업그레이드를 통해서 수정하는 방안을 마련하겠죠.