출처:Beosin
월간 보안 라운드업이 또 시작되었습니다! 블록체인 보안 감사 업체 법신 KYT 플랫폼의 모니터링에 따르면, 2024년 1월에는 2023년 12월 대비 각종 보안 사고로 인한 피해 금액이 크게 증가했습니다. 2024년 1월에는 해킹, 피싱 사기, 러그풀 등으로 인한 대표적인 보안 사고가 '28건' 이상 발생했으며, 총 손실 금액은 약 2억 9천만 원으로 작년 12월 대비 약 97% 증가했습니다. 이 중 공격은 약 76% 증가한 1억 6,500만 달러, 피싱 사기는 약 247% 증가한 3,331만 달러, 러그 풀은 약 280% 증가한 1,100만 달러였습니다.
(참고: 8,150만 달러의 손실이 발생한 Orbit Bridge 크로스체인 브리지 공격은 UTC 시간을 기준으로 2023년 12월 손실로 집계되며, 2023년 12월 공격 이벤트 금액은 9,395만 달러로 정정되고 해킹, 피싱 사기, 러그 풀로 인한 총 손실 금액은 1억 6백만 달러로 정정됨)
이달의 경우 1,000만 달러 이상의 손실이 발생한 공격에는 리플의 공동 창립자 크리스 라센(Chris Larsen)의 개인 계정에서 도난당한 1억 1,200만 달러와 한국의 웹3 소셜 음악 서비스인 썸씽(SOMESING)에 대한 공격으로 발생한 1,158만 달러가 포함되었습니다. 또한, 이번 달에는 피싱 사기가 급격히 증가하여 개인 주소가 피싱되어 백만 달러 이상의 피해를 입는 사건이 여러 건 발생했으며, 사용자들은 여전히 각별한 주의가 필요합니다.
해킹
총 '13건'의 대표적인 보안 사고가 발생했습니다
1월 2일, 아비트럼 온체인 대출 프로토콜인 래디언트 캐피털이 계약 취약점으로 인해 공격을 받았습니다. 이 공격으로 약 450만 달러의 피해가 발생했습니다.
2위 1월 4일, 아비트럼 온체인 대출 프로토콜인 감마 스트래티지스는 컨트랙트 취약점으로 인해 공격을 받아 총 618만 달러의 손실을 입었습니다.
3위 1월 6일에는 결제 플랫폼 코인페이드가 해킹을 당해 약 750만 달러의 손실을 입었습니다.
4위 1월 6일에는 서명자의 개인 키 도난으로 인해 나르왈 프로젝트가 공격을 받은 것으로 의심되어 약 150만 달러의 손실이 발생했습니다.
5위 1월 16일, 상호운용성 프로토콜 소켓이 계약 취약점으로 인해 공격을 받아 약 330만 달러의 손실을 입었습니다. 이후 약 230만 달러가 복구되었습니다.
6위 1월 22일, 폴리곤 체인의 게임 프로젝트 GAMEE가 공격을 받았는데, 공격자들은 개인 키가 포함된 오래된 저장소에 접근할 수 있는 취약점을 통해 프로젝트의 깃랩에 액세스했습니다. 이 프로젝트는 2억 GMEE 토큰(약 700만 달러)을 잃었습니다.
7위 1월 22일, 디파이 프로토콜인 Concentric.fi가 소셜 엔지니어링 공격을 받아 약 170만 달러의 손실을 입었습니다.
8위 1월 25일 옵티미즘 체인의 네뷸라 레볼루션 게임 프로젝트가 재진입 취약점 공격을 받아 약 18만 달러의 피해를 입었습니다.
9위 1월 27일, 한국의 웹 3.0 소셜 음악 서비스인 썸씽이 공격을 받아 1,158만 달러 상당의 네이티브 토큰 SSX 7억 3,000만 개를 잃었습니다.
10위 1월 28일, Conflux 체인의 골레도 파이낸스 프로젝트가 플래시 대출 공격을 받아 약 170만 달러의 손실을 입었습니다.
No.11 1월 29일, 이더리움 체인의 보리 파이낸스 프로젝트가 재진입 취약점 공격을 받아 약 13만 달러의 손실을 입었습니다.
No.12 1월 30일, 이더리움 체인의 MIM_Spell 프로젝트가 컨트랙트 취약점으로 인해 공격을 받아 650만 달러의 손실이 발생했습니다.
13위 1월 30일, 리플의 공동 창립자 크리스 라센은 자신의 개인 계정에서 2억 1,300만 XRP(약 1억 1,200만 달러)가 도난당했다고 주장했습니다.
피싱 사기/러그 풀 측면
총 '11건'의 대표적인 보안 사고가 발생했습니다
1월 1일, 0x3605 주소가 악성 ERC20 서명을 위해 도난당했습니다. 약 130만 달러에 도난당했습니다.
1월 2일에는 0xd9b7 주소가 악성 'increaseAllowance' 트랜잭션에 서명하는 데 약 247만 달러를 도난당했습니다.
1월 3일, 0x01be 주소는 약 440만 달러의 주소 중독 공격을 받았습니다.
1월 7일, 솔라나 체인의 망고팜 프로젝트에서 러그 풀이 발생하여 배포자가 약 2백만 달러의 수익을 얻었습니다.
No.5 1월 7일에는 Arbitrum 체인의 XKING 프로젝트에서 러그 풀이 발생했으며, 배포자는 약 124만 달러의 수익을 얻었습니다.
No.6 1월 9일, SEC X 공식 계정(트위터)이 도난당해 '비트코인 현물 ETF 승인'이라는 허위 뉴스가 게시되었습니다.
7위 1월 15일, 팬텀 체인의 헥터 네트워크 프로젝트에서 러그 풀이 발생하여 배포자가 약 270만 달러의 이익을 얻었습니다.
1월 21일, 0x1749 주소에서 피싱 사기가 발생하여 470만 달러의 손실이 발생했습니다.
No.9 1월 24일 0xf8EB 주소에서 피싱 공격으로 약 130만 달러의 자산이 손실되었습니다.
10위 1월 25일에는 0x0c00 주소가 피싱 사기로 인해 약 266만 달러를 잃었습니다.
11위 1월 27일에는 0xc9f3 주소가 피싱 사기를 당하여 약 234만 달러를 잃었습니다.
암호화폐 범죄/사건 규제
'4가지' 대표적인 보안 사고가 있었습니다
1위 1월 19일 - 미국 연방 검찰은 암호화폐 사기 사기로 1억 5천만 달러 이상을 가로챈 혐의로 독일 사업가에 대해 소송을 제기했습니다. 투자자들에게 1억 5천만 달러 이상을 가로챈 혐의를 받고 있습니다.
2위 1월 26일, 한 인도인이 미국 지방법원에서 다크웹 마약 밀매 혐의로 1억 5천만 달러의 암호화폐 몰수형에 대해 유죄를 인정했습니다.
No.3 1월 29일 뉴스에서는 미국 증권거래위원회(SEC)가 17억 달러 규모의 암호화폐 폰지 사기를 벌인 하이퍼펀드에 대해 소송을 제기했습니다.
1월 30일 뉴스에서는 독일 경찰이 온라인 불법 복제 단속을 통해 약 22억 달러에 달하는 5만 비트코인을 압수했다는 소식이 전해졌습니다.
블록체인 보안의 새로운 상황을 고려할 때, '베오신'은 다음과 같이 요약합니다.
전반적으로 2024년 1월 모든 유형의 블록체인 보안 사고로 인해 손실된 금액은 작년 12월에 비해 크게 증가했습니다. 이번 달에는 개인 주소에 대한 피싱 사기가 여러 건 발생했으며, 사용자는 출처가 불분명한 링크를 쉽게 클릭하지 말고, 서명 내용을 꼼꼼히 확인하며, 위험한 승인은 적시에 취소하는 것이 좋습니다. 이번 달에도 재입력 취약점, 정밀도 부족 문제, 비즈니스 로직 문제 등 계약 취약점을 악용한 공격이 60%에 달하고 있어, 프로젝트 측에서는 반드시 전문 업체를 찾아 보안 감사를 실시한 후 온라인에 접속하는 것이 좋습니다.
Cheng Yuan
JinseFinance
Davin
Others
Bitcoinist
Cointelegraph