지난주에 저희는 <2023 블록체인 보안 및 자금세탁방지 연례 보고서>를 발표했으며, 다음 글에서는 독자들이 현재 블록체인 생태계의 주요 보안 과제와 기회에 대해 보다 포괄적이고 심층적으로 이해할 수 있도록 보고서의 주요 내용을 네 개의 아티클로 나누어 분석해 보겠습니다.

이 게시물은 블록체인 생태계의 보안 태세를 중점적으로 다룹니다.

블록체인 보안 환경

거시적, 지정학적 긴장의 형태로 나타나는 글로벌 경제의 영향과 함께 2022년까지 남아있는 다양한 충돌의 영향의 흔적과 함께 블록체인 산업도 엄청난 혼란을 겪었습니다. 작년 한 해 동안 암호화폐에 우호적이었던 여러 은행이 무너졌고, 북한 해커 라자루스 그룹과 여러 피싱 조직 월렛 드레인즈가 일으킨 일련의 보안 공격은 사용자들의 보안 인식 부족과 미흡한 규제 정책의 문제점을 더욱 부각시켰습니다.

슬로우미스트 해킹에 따르면 2023년에는 464건의 보안 사고가 발생하여 24억 8,600만 달러의 손실이 발생했습니다. 303건의 보안 사고로 약 37억 7,700만 달러의 손실이 발생한 2022년과 비교하면 2023년의 손실은 전년 대비 34.2% 감소했으며, 보안 사고 건수는 전년 대비 약 53.13% 증가했습니다. 손실은 감소했지만 보안 사고 건수는 증가하고 있습니다.

다음으로는 프로젝트 트랙과 생태계를 살펴보고 그리고 사건의 원인을 살펴보고 2023년 블록체인 보안 태세를 설명하겠습니다.

프로젝트 트랙

프로젝트 트랙의 관점에서 보면 보안 사고가 가장 많이 발생하고 손실이 가장 큰 분야는 디파이입니다. 디파이의 발전은 새로운 혁신과 기회를 가져다줄 뿐만 아니라 잠재적인 위험과 공격 표면을 증가시키며, 디파이 프로젝트는 일정한 자본 규모와 사용자 기반을 가지고 있기 때문에 해커의 잠재적인 표적이 되기 쉽습니다.

2023년에 발생한 디파이 보안 사고는 282건으로 전체 사고의 60.77%를 차지했으며, 7억 7,300만 달러의 손실이 발생했습니다. 2022년(183건, 20억 7,500만 달러 손실)과 비교하면 2023년 디파이 보안 사고 건수는 62.73% 감소한 반면, 손실은 54.7% 증가했습니다. 그러나 사고 건수는 54.64% 증가하여 디파이 업계가 여전히 보안 문제를 예방하고 해결하는 데 있어 심각한 도전에 직면해 있음을 보여줍니다.

(2023년 트랙별 보안 사고 및 손실 분포)

 (2023년 트랙별 보안 사고 및 손실 분포)

(2022년 및 2023년 디파이 보안 이벤트 분포 및 손실 비교 차트)

생태

생태학적으로 이더리움은 많은 스마트 컨트랙트와 탈중앙화 애플리케이션이 선택한 플랫폼입니다. 많은 스마트 컨트랙트와 탈중앙화 애플리케이션이 선택하는 플랫폼이기 때문에 해커들의 주요 표적이 되었으며, 4억 8,700만 달러의 가장 큰 손실을 입었습니다. 이더를 기반으로 확장되는 레이어 2 솔루션인 폴리곤도 상당한 보안 위협에 직면했으며, 비관리형 대출 플랫폼인 본큐다오와 암호화 인프라 플랫폼인 얼라이언스블록이 본큐다오의 스마트 계약 취약점으로 인해 해킹을 당해 약 1억 2,300만 달러의 손실을 입는 등 생태계에서 6건의 보안 사고가 발생해 1억 3,200만 달러의 손실을 입었습니다. 이로 인해 약 1억 2천만 달러의 손실이 발생했습니다.

(2023년 생태계 전반의 보안 사고 및 손실 분포도 )

사건의 원인

(2023년 보안 사고 발생 현황 차트)

• 2023년에는 117건의 보안 사고가 발생하여 프로젝트 소유자가 도주하는 사태가 발생했습니다. 2023년에는 총 117건의 보안 사고가 발생했으며, 이로 인해 약 8,300만 달러의 손실이 발생했습니다. 이 중 베이스 에코가 3,250만 달러로 가장 큰 손실을 입었습니다. 그 다음으로는 BSC 에코가 2,305만 달러로 그 뒤를 이었습니다.

(2023년까지 생태 폭주 이벤트 분포 및 손실)

투자자는 일반적으로 프로젝트 당사자가 폭주 한 후 손실을 복구하는 데 어려움을 겪고 있으며, 폭주는 프로젝트 당사자가 초기 유동성을 시작하고 가격을 올린 다음 인출하는 등 프로젝트 당사자가 적극적으로 악을 행하는 방법입니다. 유동성; 예를 들어 프로젝트 측이 프로젝트에 백도어 코드를 남기는 등의 행위입니다.

(2023년 상위 10대 폭주 사건 사고 및 손실)

• 2023년에는 계약 취약점으로 인한 공격이 57건 발생하여 약 7,582만 달러의 손실이 발생했지만 계약 취약점 악용은 종종 플래시 대출 공격, 가격 조작 및 기타 수법을 수반합니다. 2023년에는 해커가 시작한 플래시 공격이 34건 발생하여 약 2억 2,500만 달러의 손실이 발생했고, 가격 조작 공격이 14건 발생하여 약 1억 4,000만 달러의 손실이 발생했습니다.

  계약 취약점은 계약 코드의 부적절한 검토와 관련이 있는 경우가 많으므로 지속적으로 감사해야 합니다. 또한, 개발팀은 안전한 개발을 위해 모범 사례를 채택해야 합니다. 슬로우 포그 보안팀은 스마트 컨트랙트 보안 감사 스킬 트리를 Github에 개설했습니다(https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a-Smart- Contract-Auditor), Web3 프로젝트 보안 관행 요건(https://github.com/slowmist/Web3-Project-Security-Practice-Requirements) 및 솔라나 스마트 컨트랙트 보안 모범 사례( https://github.com/slowmist/solana-smart-contract-security-best-practices), 관심 있는 분들은 Github로 이동하여 읽어보시기 바랍니다.

• 2023년 모든 유형의 계정이 해킹당한 보안 사고 건수는 70건에 달했으며, 웹3의 뜨거운 성장과 함께 사용자와 프로젝트 소유자에 대한 공격이 빈번하게 발생하고 있습니다. 웹3.0이 뜨거워지면서 사용자와 프로젝트 소유자에 대한 공격이 급증하고 있으며, 특히 디스코드나 트위터와 같은 미디어 플랫폼에 대한 공격이 증가하고 있습니다.

  해커는 관리자나 계정에 접근하여 관리자로 위장하고 피싱 링크를 게시한 다음, 사용자를 속여 자산 전송을 승인하도록 유도하는 경우가 많습니다. 프로젝트 소유자는 계정을 보호하기 위해 2단계 인증과 강력한 비밀번호 설정과 같은 보안 작업을 사용하고, 다양한 전통적인 사이버 공격과 소셜 엔지니어링 공격을 경계하는 것이 좋습니다.

• 슬로우미스트 해킹 아카이브에 따르면, 2023년 블록체인 업계에서는 11건이나 되는 사기. 그중에는 "저위험 고수익"을 미끼로 투자를 권유한 2023년 홍콩 암호화폐 사기 JPEX가 포함되어 있습니다. 2023년 12월 18일 기준, 홍콩 경찰은 66명을 체포하고 2,623명의 피해자로부터 약 16억 홍콩 달러에 달하는 피해 신고를 받았습니다. 일부에서는 JPEX 스캔들이 홍콩 역사상 가장 큰 금융 사기가 될 수 있다고 합니다.

• 

권장사항

프로젝트 측의 경우:

• 스마트 계약은 코드의 보안과 안정성을 보장하고 계약 취약점을 방지하기 위해 지속적으로 감사해야 합니다.

• 권한 제어를 포함하여 계약에 다층적 방어 장치를 도입합니다.

• 공격 발생 시 적시에 대응하고 피해 범위를 통제할 수 있도록 비상 대응 체계를 구축합니다. "text-align: left;">2단계 인증을 사용하고, 강력한 비밀번호를 설정하는 등 보안 작업을 통해 계정 해킹의 위험을 줄입니다.

개인 사용자의 경우, 대부분의 위험은 다음 보안 법규와 원칙을 준수하면 피할 수 있습니다.

• 두 가지 주요 보안법:

• 제로 트러스트. 간단히 말해, 항상 회의적인 태도를 유지하는 것이 중요합니다.

• 지속적인 검증. 믿음을 가지려면 의심스러운 점을 검증할 수 있는 능력이 있어야 하고, 그 능력을 습관화해야 합니다.

• 안전 원칙:

• 인터넷에 대한 지식, 모든 것에 대해 적어도 두 개의 출처를 참조하고, 서로를 확증하며, 항상 회의적인 태도를 취하세요.

• 분리, 즉 한 바구니에 계란을 넣지 않는 일을 잘 하세요.<

• 지나가는 데 필요한 만큼만 중요한 자산으로 지갑을 쉽게 업데이트하지 마십시오.

• 보이는 것이 곧 서명입니다. 즉, 보이는 것은 서명할 것으로 예상되는 것이며, 서명하고 전송할 때 결과는 예상한 대로여야 하며, 결코 나중에 생각하지 말아야 합니다.

• 시스템의 보안 업데이트를 강조하고, 업데이트가 제공되는 즉시 조치합니다.

• 시스템 보안 업데이트에 주의를 기울입니다. li>

• 프로그램을 조작하지 마세요.

• 블록체인 다크 포레스트 셀프 도움말 매뉴얼(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook /blob/main/README_CN.md).

전체 보고서 다운로드:

https://www.slowmist.com/report/2023- 블록체인-보안-자금세탁방지-연례보고서(CN).pdf