2023 블록체인 보안 및 자금세탁방지 연례 보고서

서문

슬로우 포그 테크놀로지는 "2023 블록체인 보안 및 자금세탁방지 연례 보고서"를 발표하며, 이 보고서가 독자들에게 다음과 같은 유용한 정보를 제공할 것으로 기대합니다. 실무자와 사용자가 블록체인 보안 및 솔루션의 현황을 보다 포괄적으로 이해하고 블록체인 생태계의 보안 증진에 기여할 수 있기를 바랍니다.

공간 제약으로 인해 여기서는 분석의 핵심 요소만 나열했으며, 보고서 전문은 이 글의 말미에서 PDF로 다운로드할 수 있습니다.

I. 개요

2023년 2023년은 블록체인 업계에 흥미진진하고 격동의 한 해가 될 것입니다. 이러한 배경에서 본 보고서에서는 2023년 블록체인 업계의 주요 규제 준수 정책과 개발 동향을 살펴보고, 2023년 블록체인 보안 사고 및 자금세탁 방지 태세를 요약하며, 일부 자금세탁 도구에 대한 통계를 제공하고, 대표적인 보안 사고와 전형적인 피싱 사기 수법에 대한 자세한 분석과 예방 솔루션 및 조치에 대한 제안을 제공합니다. 또한, 웹3의 사기 방지 플랫폼인 스캠 스니퍼(Scam Sniffer)를 초청해 피싱 조직 월렛 드레인저에 대해 알아보고, 해커 조직 라자루스 그룹의 자금 세탁 수법과 수익금을 분석하고 집계했습니다.

둘, 블록체인 보안 태세

슬로우미스트 블록체인 해킹 이벤트 아카이브(슬로우미스트 해킹) 통계에 따르면. 2023년 총 보안 사고 건수는 464건이었으며, 최대 24억 8,600만 달러의 손실이 발생했습니다. 이는 2022년(303건, 약 37억 7,700만 달러의 손실)과 비교하면 전년 대비 34.2% 감소한 수치입니다.

• 전체 블록체인 보안 사고

프로젝트 트랙에서 보면 디파이가 여전히 가장 자주 공격받는 영역입니다.2023년에는 총 282건의 디파이 보안 사고가 발생했습니다. 2023년 디파이 보안 사고는 총 282건으로 전체 사고의 60.77%를 차지했으며 피해액은 7억 7,300만 달러로 2022년(183건, 피해액 20억 7,500만 달러)에 비해 피해액이 전년 대비 62.73% 감소한 것으로 나타났습니다.

(2023년 트랙별 보안 이벤트 및 손실 분포)

(2022년과 2023년 디파이 보안 이벤트 분포 및 손실액 비교 차트)

생태학적 관점에서 보면. 이더리움의 손실액이 4억 8,700만 달러로 가장 높았습니다. 폴리곤이 1억 2,300만 달러로 그 뒤를 이었습니다.

(2023년 에코별 보안 사고 및 손실액 분포)

사고 원인별로는 도주 사고가 117건으로 가장 많았고, 약 8,300만 달러의 손실이 발생했습니다. 계정 해킹으로 인한 보안 사고가 그 뒤를 이었습니다.

(2023년 보안 사고 조작 차트)

• 유형별 공격 사고

  < /li>

이 섹션에서는 2023년 손실 규모 기준으로 상위 10개의 보안 인시던트를 선정하여 소개합니다. 자세한 내용은 기사 끝에 있는 PDF를 참조하세요.

슬로우미스트에 따르면 2023년에 117건의 러그 풀 사고가 발생하여 약 8,300만 달러의 손실이 발생했습니다. 이 중 기본 생태계의 손실이 3250만 달러로 가장 높았습니다. 그 다음으로 높은 것은 BSC 생태계로 2,305만 달러입니다.

(2023년 손실 유발 상위 10개 런 및 손실)

(2023 년 에코 런에 의한 러그 풀 및 손실 분포)

러그 풀은 일반적으로 프로젝트가 다음과 같은 사기의 한 유형입니다. 당사자가 악행을 시작하고 다양한 방식으로 발생합니다: 예를 들어, 프로젝트 당사자가 초기 유동성을 시작하고 가격을 올린 다음 유동성을 회수하는 경우, 프로젝트 당사자가 먼저 암호화폐 프로젝트를 만들고 마케팅 전략을 통해 암호화폐 사용자의 투자를 유치한 다음 적절한 시기에 경고 없이 사용자가 투자한 자금을 롤업하고 암호화폐 자산을 덤프하여 결국 폐업하는 경우, 예를 들어 웹사이트를 시작하고 수십만 개의 입금을 유치한 후 폐쇄하는 경우, 또는 프로젝트 당사자가 프로젝트에 백도어 코드를 남긴 경우. 어떤 경우든 이러한 유형의 러그 풀은 투자자에게 손해를 끼칠 수 있습니다.

한편, 이 섹션에서는 컨트랙트 스토리지로 인한 러그 풀의 매우 교활한 사례에 대해 설명합니다. 악의적인 사용자가 프로젝트 토큰의 증분 발행 기록 없이 기록되지 않은 대량의 증분 토큰을 사용해 풀을 고갈시킨 경우입니다.

• 사기

최근 몇 년 동안 암호화폐 시장은 점차 사기꾼들이 사기를 저지르기 좋은 환경으로 변해가고 있습니다. 사기꾼들은 종종 유명인을 사칭한 가짜 계정, 데이트 킬보드, 가짜 거래 플랫폼 홍보, 폰지 사기 등을 통해 사기를 저지르며, 심지어 기술의 발달로 사기꾼들은 인공지능 소프트웨어를 사용하여 사기를 더 그럴듯하게 만듭니다. 이번 섹션에서는 주로 홍콩에서 발생한 암호화폐 사기 사건인 JPEX 사건을 소개해드리겠습니다. 주장에 따르면 JPEX 폭락은 홍콩 역사상 가장 큰 금융 사기가 될 수 있다고 합니다.

(JPEX 이벤트 타임라인 차트)

• 피싱/사기 수법

  <

이 섹션에서 2023년에 공개하는 피싱/스캠 수법 중 일부 :

1. 월렛커넥트 피싱 위험

2. 허용 서명 피싱

3. 가짜 Skype 앱 피싱

4. 송금 주소로 위장한 피싱 URL

5, 텔레그램 표적 사기 공격

6, Create2 피싱 위험(https://drops. scamsniffer.io/post/wallet-drainers-starts-using-create2-bypass-wallet-security-alert)

7, SIM 카드 스와핑 공격

7. p>

셋째, 자금세탁방지 태세

이 섹션은 자금세탁방지 및 규제 역학, 보안 사고 자금세탁방지, 해킹 조직의 개요 및 역학, 자금세탁 도구 4부로 나뉩니다.

• 자금세탁 방지 및 규제 발전

2023년에도 암호화폐 세계는 계속해서 격랑을 겪고 있습니다. 지난 암호화폐 강세장에서는 업계 양대 산맥인 SBF와 CZ의 모든 움직임이 시장에 큰 영향을 미치는 것처럼 보였습니다. 그러나 11월, 연방 배심원단은 FTX 폭락에 따른 사기 및 음모 혐의로 SBF에 유죄를 선고했습니다. 불과 몇 주 후, 코인셰어즈는 혐의를 인정하고 43억 달러의 벌금을 납부했으며, CZ는 코인셰어즈 경영권을 포기하기로 합의했습니다. 암호자산 산업이 폭풍 같은 '겨울'과 약세장 사이를 오가면서 정부와 국제기구는 이 문제에 대해 보다 신중한 접근 방식을 취하고 있으며, 암호자산에 대한 각국의 규제 정책은 여전히 진화하고 있습니다. 구체적인 정책과 집행 조치는 이 글 끝에 있는 PDF를 참조하세요.

• 보안 사고 자금세탁 방지

1. 자금 동결

2023 회계연도에 슬로우미스트의 인텔리전스 네트워크 파트너의 지원을 받아 고객, 파트너, 공개 해킹 사고로 인해 총 1,250만 달러 이상의 자금을 동결하는 데 도움을 주었습니다.

2. 자금 데이터 반환

2023년에는 공격 후 손실된 자금의 전부 또는 일부가 복구된 사건이 31건 발생했습니다. 이 31건의 사건 중 도난당한 자금은 약 3억 8,400만 달러였으며, 이 중 도난당한 자금의 77%인 2억 9,700만 달러가 반환되었습니다. 31건 중 10건에서는 자금이 전액 반환되었습니다.

(2023년 탈취 자금 전액 회수 사건)

• 해킹 조직 신상 및 동선

• 해킹 조직 신상 및 동선

1. 해커 그룹 라자루스 그룹

2023년 공개된 정보에 따르면 6월 현재 북한 해커에 의한 주요 암호화폐 도난 사건은 아직 발생하지 않은 것으로 나타났습니다. 6월 현재, 북한 해커 라자루스 그룹이 연루된 주요 암호화폐 도난 사건은 없었으며, 온체인 활동의 경우 2022년 6월 23일 하모니 크로스체인 브리지 공격으로 손실된 약 1억 달러의 자금을 포함해 주로 2022년에 도난당한 암호화폐 자금을 세탁하는 데 주력하고 있습니다. 북한 해커 그룹 라자루스 그룹은 2022년에 탈취한 암호화폐 자금을 세탁하는 것 외에도 어둠 속에서 잠복하며 은밀하게 APT 관련 공격을 수행하는 등 쉬지 않고 활동해 왔습니다. 이러한 활동은 6월 3일부터 시작된 암호화폐 업계의 '101일간의 암흑기'로 직결되었습니다.

'101일간의 어둠' 기간 동안 총 5개의 플랫폼이 도난당했으며, 대부분 중앙화된 서비스 플랫폼에서 3억 달러 이상이 탈취당했습니다.



분석에 따르면, 북한 해커인 라자루스 그룹의 자금 세탁 방법도 시간이 지남에 따라 진화하고 있으며, 가끔씩 새로운 유형의 자금 세탁 방법이 나타나고, 시간표를 변경하는 자금 세탁 방법은 기사 끝에 있는 PDF를 참조하십시오.

2, 피싱 조직 월렛 드레인

주: 이 그림은 Scam Sniffer가 감사의 마음을 담아 친절하게 작성했습니다.

암호화폐 관련 멀웨어인 월렛 드레너는 지난 한 해 동안 상당한 '성공'을 거두었습니다. 이 소프트웨어는 피싱 웹사이트에 배포되어 사용자를 속여 악성 거래에 가입하게 한 후 암호화폐 지갑에서 자산을 훔칩니다. 이러한 피싱 캠페인은 다양한 형태로 일반 사용자를 지속적으로 공격하고 있으며, 그 결과 많은 사람들이 자신도 모르게 악성 거래에 서명하여 막대한 재산상의 손실을 입게 됩니다. 스캠 스니퍼는 지난 한 해 동안 약 32만 명의 피해자로부터 약 2억 9,500만 달러의 자산을 탈취한 월렛 드레인러를 모니터링했습니다.

3월 11일에 약 700만 달러가 도난당했다는 점에 주목할 필요가 있습니다. 이 중 대부분은 USDC 환율 변동과 서클을 사칭한 피싱 사이트로 인해 발생했습니다. 또한 3월 24일에 발생한 디스코드 해킹과 이후 에어드랍을 전후로 많은 금액이 도난당했습니다.

각 파동에는 관련 대규모 이벤트가 수반됩니다. 이는 에어드랍일 수도 있고 해킹 이벤트일 수도 있습니다.



ZachXBT의 폭로와 함께 Monkey ZachXBT가 Monkey Drainer를 폭로한 후, 그들은 6개월간의 활동 후 탈퇴를 발표했고, 이후 Venom이 그들의 고객 대부분을 인수했습니다. 3월경에는 MS, Inferno, Angel, Pink가 뒤를 이었습니다. 4월경 베놈이 서비스를 중단하면서 대부분의 피싱 조직은 다른 서비스로 이동했습니다. 드레이너 수수료의 20%를 받고 서비스를 판매하여 최소 4,700만 달러의 수익을 올렸습니다.

• 자금 세탁 도구

1, 신밧드 코인 믹서

2. 토네이도 캐시

3. eXch

4. 레일건

넷째, 요약

이 보고서는 암호화폐에 대한 글로벌 규제 태도와 다양한 주요 정책 변화를 포함하여 2023년 블록체인 업계의 주요 규제 준수 정책과 발전상을 요약합니다. 규제 태도 및 다양한 주요 정책 변화. 이와 함께 2023년 블록체인 보안 사고와 자금세탁 방지 동향을 요약하고, 자금세탁 수단을 분석하며, 대표적인 보안 사고와 피싱 사기에 대해 설명하고, 그에 따른 예방 및 대응 방안을 제안합니다. 본 보고서가 독자들에게 유용한 정보를 제공하고 블록체인 산업의 보안 및 자금세탁방지 현황을 보다 포괄적으로 이해하는 데 도움이 되어 모든 업계 참여자가 혜택을 누리고 블록체인 생태 보안 발전에 기여할 수 있기를 바랍니다.

V. 면책 조항

이 보고서의 내용은 블록체인 산업에 대한 이해, 슬로우미스트의 블록체인 해킹 아카이브, 그리고 이 보고서의 내용은 블록체인 산업에 대한 이해, 슬로우미스트 해킹, 슬로우 포그 블록체인 해킹 아카이브, 미스트트랙에 대한 이해를 바탕으로 작성되었습니다. 그러나 블록체인의 '익명성' 특성으로 인해 모든 데이터의 정확성을 보장할 수 없으며, 본 보고서의 사용으로 인해 발생하는 오류, 누락 또는 손실에 대해 책임을 지지 않습니다. 본 보고서는 투자 조언이나 기타 분석을 구성하지 않습니다. 본 보고서의 누락 및 결함에 대한 비판과 수정을 환영합니다.

소개는 여기, 전문은 여기에서 확인하실 수 있으며, 열람 및 공유를 환영합니다 :)

https://www.slowmist.com/report/2023-Blockchain- 보안 및 AML 연례 보고서(CN).pdf