[보안 월간 보고서] | 11월 블록체인 보안 사고가 증가해 해커 공격으로 인한 손실이 2억 300만 달러에 달했습니다.

제로아워테크놀로지의 월간 보안사고 하이라이트가 시작되었습니다! 일부 블록체인 보안 위험 모니터링 플랫폼의 통계에 따르면 2024년 11월 각종 보안 사고로 인한 손실액이 10월에 비해 증가했다. 11월에는 30건 이상의 일반적인 보안 사고가 발생했으며, 해커 공격, 피싱 사기, 사기로 인한 총 손실액은 2억 300만 달러에 이르렀습니다. 이는 10월보다 약 38% 증가한 금액이며 2,520만 달러가 환불되었습니다.

해커 공격

10가지 일반적인 보안 사고

(1) 11월 11일 MetaScout은 Ethereum의 스테이블 코인 프로토콜 Raft가 플래시 대출 공격을 받았음을 발견했습니다. 그 결과 670만 개의 스테이블 코인 $R이 발행되었고 프로토콜은 360만 달러의 손실을 입었습니다. 근본 원인은 해커가 추가 공유 토큰을 얻기 위해 악용한 공유 토큰을 발행할 때 발생하는 정밀 계산 문제였습니다.

(2) 11월 12일, 블록체인 기반 대출 플랫폼 델타 프라임(Delta Prime)이 두 달 만에 두 번째 공격을 받았습니다. 최근 추정에 따르면 암호화폐 자산 중 거의 500만 달러가 이동되었습니다. 이는 9월 중순에 Delta Prime이 약 600만 달러의 공격을 받은 직후에 발생했습니다. 당시 프로토콜 관리자 중 한 명이 개인 키에 대한 통제권을 잃어 프로토콜이 1,000만 달러 이상의 손실을 입었습니다.

[보안 월간 보고서] | 11월 블록체인 보안 사고가 증가해 해커 공격으로 인한 손실이 2억 300만 달러에 이르렀습니다.

(3) 11월 14일 vETH 프로젝트가 공격을 받았습니다. 공격 행위에 따르면 이번 사건의 원인은 최근 vETH 프로젝트 측이 배포한 관련 계약 0x62f2...a1b5에 가격 조작 취약점이 있어 vETH 계약이 비정상적인 가격으로 대출 행위를 하게 된 것으로 추측된다. . 현재 누적 손실액은 약 450,000달러입니다.

[보안 월간 보고서] | 11월 블록체인 보안 사고가 증가해 해커 공격으로 인한 손실이 2억 300만 달러에 달했습니다.

[보안 월간 보고서] | 11월 블록체인 보안 사고가 증가해 해커 공격으로 인한 손실이 2억 300만 달러에 이르렀습니다.

(4) 11월 15일 Aptos 생태학적 DeFi 프로젝트 Thala는 최신 V1 유동성 풀 계약으로 인해 보안 취약점의 공격을 받아 2,550만 달러 상당의 자산을 도난당했습니다. 현재 Thala는 모든 관련 계약을 중단하고 Thala 토큰 자산(900만 달러 MOD 및 250만 달러 THL)을 동결했으며, 다른 기관의 도움을 받아 공격자와 300,000달러 포상금을 통해 모든 사용자 자산을 복원하기로 합의했습니다.

[보안 월간 보고서] | 11월 블록체인 보안 사고가 증가해 해커 공격으로 인한 손실이 2억 300만 달러에 이르렀습니다.

(5) 11월 18일 Zero Hour Technology 프로젝트 팀은 BNB 스마트 체인에 대한 공격을 모니터링했습니다. 공격받은 프로젝트는 BTB였습니다. 이 취약점의 원인은 프로젝트 팀이 BTB를 BUSD로 교환을 완료할 때 오래된 가격 오라클을 사용했기 때문에 공격자가 BTB의 가격을 쉽게 조작하고 먼저 BTB를 대량으로 구매한 후 BTB의 가격을 인상할 수 있었기 때문입니다. 매도하고 마침내 차익거래를 완료합니다. 이 공격으로 인해 총 약 5,000달러의 손실이 발생했습니다.

자세한 공격 분석을 보려면 다음 링크를 클릭하십시오: https://mp.weixin.qq.com/s/fAAL7MzU5hU995ouCPz2yw

(6) 11월 19일 폴터 파이낸스(Polter Finance)는 1,200만 달러 규모의 플래시 대출 해커 공격을 받았습니다. 현재 바이낸스 지갑과 관련된 도난 자금을 조사 중이며 공격자와 협상을 제안했습니다. 11월 17일 Polter Finance는 취약점을 발견한 후 플랫폼 운영을 중단하고 X에 대해 투자자에게 알렸습니다. 프로토콜은 도난당한 자금을 조사하고 암호화폐 거래소 바이낸스(Binance)의 지갑을 추적했습니다.

(7) 11월 19일, 온체인 거래 터미널 DEXX는 이전 보안 사건에 대한 업데이트를 발표했습니다. "DEXX는 공식적으로 소송을 제기했으며 SlowMist 팀은 후속 조사에서 법 집행 기관을 적극적으로 지원하고 있습니다. 동시에, DEXX는 보상 계획을 적극적으로 논의하고 있습니다. 이전 뉴스에 따르면 SlowMist 통계에 따르면 DEXX 사건으로 인해 900명 이상의 피해자가 확인되었으며 총 손실액은 2,100만 달러로 추산됩니다.

[보안 월간 보고서] | 11월 블록체인 보안 사고가 증가해 해커 공격으로 인한 손실이 2억 300만 달러에 이르렀습니다.

(8) 11월 20일 SlowMist 보안팀의 모니터링에 따르면 BSC의 BSCGem(BSCGem)이 공격을 받은 것으로 의심되어 약 US$17,300의 손실을 입었습니다.

[보안 월간 보고서] | 11월 블록체인 보안 사고가 증가해 해커 공격으로 인한 손실이 2억 300만 달러에 이르렀습니다.

(9) 11월 25일 Zero Hour Technology 보안팀은 BNB 스마트 체인에 대한 공격을 모니터링했으며, 공격받은 프로젝트는 DCF였습니다. 이 취약점의 원인은 프로젝트 팀이 DCF의 전달 기능을 구현할 때 잘못된 로직을 작성했기 때문입니다. 이로 인해 공격자는 해당 쌍의 DCF를 스왑 쌍으로 전송하여 파괴할 수 있으므로 DCF 가격을 쉽게 조작하고 최종적으로 차익 거래를 완료할 수 있습니다. 이 공격으로 인해 총 약 440,000달러의 손실이 발생했습니다.

자세한 공격 분석을 보려면 다음 링크를 클릭하십시오.

https://mp.weixin.qq.com/s/NkMjMEmtoffwkH_ZzfMxig

(10) 11월 29일 온체인 보안 모니터링 기관인 비트정글(BitJungle)에 따르면, DeFi 블로거 '마이닝 리틀 펭귄(Mining Little Penguin)'의 개인키를 훔친 해커의 주소가 1년 10개월간 침묵 끝에 바뀌었다. 해커는 400만 DAI를 ETH로 전환했으며, 그 중 900 ETH가 믹서에 들어갔고 나머지 ETH는 여전히 해커의 주소에 남아 있습니다. '마이닝 꼬마펭귄'은 2023년 1월 14일 개인키 도난 사건을 겪은 것으로 알려졌다. 당시 도난당한 자산 가치는 약 790만 달러에 달한다.

러그 풀/피싱 사기

4가지 일반적인 보안 사고

(1) 11월 15일 0x916d로 시작하는 주소가 피싱 공격을 받아 211 stETH($654,042)가 손실되었습니다.

(2) 11월 16일, 피해자가 악의적인 "permit2" 피싱 서명에 서명한 후 1시간 전에 $341,103 상당의 $FET 토큰이 도난당했습니다. 피해자는 0xcc5로 시작하는 주소입니다.

(3) 11월 22일 트위터 사용자 @r_cky0은 ChatGPT를 이용해 블록체인 자동거래 로봇 개발을 위한 코드를 생성했을 때 GPT가 추천한 코드에 백도어가 숨겨져 있고 개인키가 피싱 웹사이트로 전송되어 피해를 입었다고 폭로했습니다. 피해액은 약 2,500달러였습니다.

(4) 11월 30일 0x0140으로 시작하는 주소는 "라이센스" 피싱 서명에 서명한 후 4.25 WBTC($410,096)를 잃었습니다.

요약

이번 달 피싱 사기로 인한 손실은 전체 손실의 64.8%를 차지해 총 1억 3100 달러에 달했다.

제로아워 기술 보안팀은 프로젝트 당사자가 항상 경계할 것을 권장하고 사용자에게 피싱 공격에 주의하도록 상기시킵니다. 사용자는 프로젝트에 참여하기 전에 프로젝트의 배경과 팀을 충분히 이해하고 투자 프로젝트를 신중하게 선택하는 것이 좋습니다. 또한, 프로젝트가 온라인화되기 전에 내부 보안 교육 및 권한 관리를 실시하고, 전문 보안업체를 찾아 감사를 실시하고, 프로젝트 배경 조사를 실시하는 것도 필요합니다.