TxRay: 실시간 블록체인 공격에 대한 에이전트 기반 포스트모템 분석

TxRay: Agentic Postmortem of Live Blockchain Attacks

탈중앙화 금융(DeFi)은 블록체인을 금융 인프라로 변환하여 누구나 중개인 없이 거래, 대출, 프로토콜 구축을 가능하게 하지만, 이 개방성은 코드로 제어되는 가치 자산을 노출합니다. 지난 5년 동안 DeFi 생태계는 보고된 공격으로 인해 157억 5천만 달러 이상의 손실을 입었습니다. 많은 공격은 모든 참여자가 공개 상태 및 표준 인터페이스만 사용하여 트리거할 수 있는 허가 없는 기회, 즉 '누구나 공격 가능(Anyone-Can-Take, ACT) 기회'에서 비롯됩니다. 온체인 투명성에도 불구하고, 포스트모템 분석은 여전히 느리고 수동적입니다. 조사는 제한된 증거, 때로는 단일 트랜잭션 해시에서 시작하여 관련 트랜잭션, 컨트랙트 코드 및 상태 종속성을 복구하여 공격 수명 주기를 재구성해야 합니다. 본 논문에서는 제한된 증거로부터 실시간 ACT 공격을 재구성하기 위해 도구 호출을 사용하는 LLM 기반 에이전트 포스트모템 시스템인 TxRay를 소개합니다. TxRay는 하나 이상의 시드 트랜잭션에서 시작하여 공격 수명 주기를 복구하고, 증거 기반의 근본 원인을 파악하며, 해당 사건을 결정적으로 재현하는 실행 가능한 독립형 PoC(Proof of Concept)를 생성합니다. TxRay는 사건별 의미론적 오라클을 실행 가능한 어설션으로 인코딩하여 자체적으로 포스트모템 결과를 검증합니다. PoC의 정확성과 품질을 평가하기 위해 독립적인 에이전트 실행 및 검토 평가 도구인 PoCEvaluator를 개발했습니다. DeFiHackLabs의 114건의 사건에 대해 TxRay는 105건의 사건에서 전문가 수준의 근본 원인과 실행 가능한 PoC를 생성하여 92.11%의 전체 재현율을 달성했습니다. PoCEvaluator의 평가 결과, TxRay가 생성한 PoC의 98.1%는 공격자 주소를 하드 코딩하지 않아, DeFiHackLabs보다 +22.9%p 향상된 성능을 보였습니다. 실제 배포 환경에서 TxRay는 평균 40분 내에 검증된 근본 원인을 제공하고, 평균 59분 내에 PoC를 제공합니다. TxRay의 오라클 기반 검증 PoC는 공격 모방을 가능하게 하여, STING 및 APE보다 각각 15.6% 및 65.5% 더 높은 커버리지를 제공합니다.

Decentralized Finance (DeFi) has turned blockchains into financial infrastructure, allowing anyone to trade, lend, and build protocols without intermediaries, but this openness exposes pools of value controlled by code. Within five years, the DeFi ecosystem has lost over 15.75B USD to reported exploits. Many exploits arise from permissionless opportunities that any participant can trigger using only public state and standard interfaces, which we call Anyone-Can-Take (ACT) opportunities. Despite on-chain transparency, postmortem analysis remains slow and manual: investigations start from limited evidence, sometimes only a single transaction hash, and must reconstruct the exploit lifecycle by recovering related transactions, contract code, and state dependencies. We present TxRay, a Large Language Model (LLM) agentic postmortem system that uses tool calls to reconstruct live ACT attacks from limited evidence. Starting from one or more seed transactions, TxRay recovers the exploit lifecycle, derives an evidence-backed root cause, and generates a runnable, self-contained Proof of Concept (PoC) that deterministically reproduces the incident. TxRay self-checks postmortems by encoding incident-specific semantic oracles as executable assertions. To evaluate PoC correctness and quality, we develop PoCEvaluator, an independent agentic execution-and-review evaluator. On 114 incidents from DeFiHackLabs, TxRay produces an expert-aligned root cause and an executable PoC for 105 incidents, achieving 92.11% end-to-end reproduction. Under PoCEvaluator, 98.1% of TxRay PoCs avoid hard-coding attacker addresses, a +22.9pp lift over DeFiHackLabs. In a live deployment, TxRay delivers validated root causes in 40 minutes and PoCs in 59 minutes at median latency. TxRay's oracle-validated PoCs enable attack imitation, improving coverage by 15.6% and 65.5% over STING and APE.