[보안 월간 보고서] | 2월 취약점, 해커, 사기로 인한 손실은 약 17억 8,200만 달러

Zero Hour Technology의 월간 보안 이벤트 하이라이트가 시작되었습니다! 일부 블록체인 보안 위험 모니터링 플랫폼의 통계에 따르면, 2025년 2월 취약점, 해커, 사기로 인한 손실은 약 17억 8,200만 달러였습니다. 암호화폐 해커 공격은 20건이 발생하여 약 15억 1,000만 달러의 손실이 발생했고, 5,245만 달러가 동결되거나 반환되었습니다. Web3 사기 방지 플랫폼인 Scam Sniffer에 따르면, 이번 달 피싱 사고로 인한 피해자가 7,442명이 발생했으며, 피해액은 532만 달러에 달했습니다.

해커 공격

7가지 대표적인 안전사고

(1) 2월 5일, 제로아워 기술보안팀 모니터링에 따르면, Mode Chain에서 Ionic Money를 대상으로 일련의 공격이 실행되었습니다. 이 취약점의 주요 원인은 IonicMoney 프로젝트가 대출 풀을 생성할 때 자산에 해당하는 계약이 공식적으로 배포되었는지 확인하지 않았기 때문에 대출 풀의 삭제 취소 자산이 가짜 토큰이 되었다는 것입니다. 이 공격으로 인한 총 손실액은 약 850만 달러였습니다.

제로 아워 테크놀로지 || IonicMoney 공격 분석

(2) 2월 12일, 분산형 금융(DeFi) 프로토콜 zkLend가 심각한 보안 취약점을 겪어 약 3,300 ETH(약 850만 달러)가 도난당했습니다. 공격자는 zkLend 스마트 계약의 취약점을 악용하여 승인 없이 사용자 자금을 유동성 풀에서 인출한 다음 공격자가 제어하는 ​​지갑에 자금을 빠르게 집중시켰습니다. 이 사건 이후 zkLend 팀은 즉각 조치를 취해 Ethereum ZEND 토큰 배포자 계정을 통해 공지사항을 발표하고, 공식 X 계정을 통해 해당 공지사항의 진위 여부를 확인했습니다.

(3) 2월 12일 제로아워기술보안팀 모니터링에 따르면, Four.meme 프로젝트가 공격을 받은 것으로 확인됐습니다. four.meme은 pump.fun과 유사하게 Binance Academy에서 육성한 미메코인 런치패드입니다. 이 취약점의 원인은 Four.meme의 내부 디스크에서의 본딩 커브 프로세스가 DEX로 마이그레이션할 때 100%였기 때문입니다. createAndInitializePoolIfNecessary를 사용하여 PancakeSwap 거래 쌍을 생성합니다. 거래 쌍이 미리 생성되어 있는 상황은 고려되지 않습니다. 공격자가 미리 생성하고 초기화한 거래 쌍을 잘못 사용했기 때문에 공격자가 설정한 잘못된 가격을 이용하여 유동성이 추가됩니다. 이로 인해 마이그레이션 이후 미메코인의 가격이 급등하였고, 공격자는 자신이 보유한 미메코인을 사용하여 풀에 있는 WBNB를 비워 공격을 완료했습니다. 이 공격으로 인한 총 손실액은 약 15,000달러입니다.

제로아워 테크놀로지 || Four.meme 공격 분석

(4) 2월 18일, Abstract는 The Portal 내의 Cardex 애플리케이션에서 보안 사고가 발생하여 약 9,000개의 지갑에 영향을 미치고 총 약 40만 달러에 달하는 ETH가 손실되었음을 발견했습니다. Cardex 프런트엔드 코드의 주요 유출로 인해 세션 서명 지갑이 손상되었습니다. 세션 서명 지갑은 모든 세션에서 공유되므로 Cardex에서 세션을 생성한 모든 사용자가 영향을 받았습니다.

(5) 2월 21일, 제로아워 기술보안팀은 바이비트 거래소와 관련된 중대한 보안 사고를 감지했습니다. 그날 밤 02:16 UTC에 Bybit 콜드 월렛에서 약 15억 달러 상당의 401,346 ETH, 8,000 mETH, 90,375 stETH, 15,000 cmETH가 이체되는 대규모 이체를 시작하는 것을 모니터링했습니다. 이 공격으로 인해 Bybit Exchange는 총 15억 달러의 손실을 입었습니다. 현재 공개된 정보에 따르면, Bybit 도난 사건과 관련된 자금 추적 및 동결 작업은 아직 진행 중입니다. 3월 3일 현재, 여러 당사자의 협력을 통해 Bybit은 약 4,365만 달러의 도난 자금을 성공적으로 동결했습니다.

제로아워 테크놀로지 || 바이비트 공격 분석

(6) 2월 24일, Certik Alert는 검증되지 않은 Ethereum 계약에서 약 4,950만 달러 상당의 의심스러운 자금 유출을 감지했습니다. 해커들은 자금을 DAI로 전환하여 17,696 ETH로 교환했습니다. DeFi 커뮤니티 YAM은 이 자금이 Infini Earn Funds에서 도난당한 것으로 의심된다고 지적했습니다. SlowMist Cosine 모니터링에 따르면, Infini 해커는 기술과 스마트 계약 운영에 대해 매우 잘 알고 있어 개인 키로 Vault와 관련 전략에서 자금을 훔칠 수 있었습니다. 그는 자금을 두 번 훔쳤습니다: 11,455,666 USDC와 38,060,996 USDC. 이번 도난은 개인 키 유출과 과도한 권한 부여로 인해 발생했습니다.

(7) 2월 27일, CyversAlerts 인공지능 시스템은 suji_yan과 관련된 의심스러운 거래를 감지했습니다. 의심스러운 주소로 113 ETH, 923 WETH, 301 ezETH, 156 weETH, 90 pufET, 48.4K MASK, 50K USDT, 15 swETH를 포함하여 약 400만 개의 디지털 자산이 수신되었습니다. 도난당한 자산은 즉시 ETH로 전환되어 6개의 주소로 분산되었습니다.

러그 풀 / 피싱 사기

4가지 대표적인 안전사고

(1) 2월 6일 0x2993으로 시작하는 주소는 여러 피싱 서명에 서명한 후 156,183달러 상당의 mooConvexETH+, FLUID, aEthWETH를 잃었습니다.

(2) 2월 18일 0x1cab으로 시작하는 주소는 피싱거래에 참여 후 308,500달러 상당의 TEL을 분실하였습니다.

(3) 2월 18일, 0x356e로 시작하는 주소는 여러 피싱 거래에 서명한 후 629,812달러 상당의 Aave WETH와 2개의 Doodles를 잃었습니다.

(4) 2월 27일, 0xadfc로 시작하는 주소는 피싱 거래에 서명한 후 158,300달러 상당의 PENDLE-LPT를 잃었습니다.

요약하다

2월 암호화폐 해킹으로 인한 손실액은 15억 1천만 달러에 달했습니다. 이번 달은 암호화폐 역사상 최악의 달이 되었는데, Bybit 사건으로 인해 14억 3천만 달러의 손실이 발생했습니다. 또한 5,245만 달러의 자금이 성공적으로 동결되거나 회수되었습니다. 빈번한 공격에 직면하여, 업계의 많은 당사자들은 신속히 대응하고, 손실을 줄이기 위한 조치를 적극적으로 취했으며, 악의적인 행위에 맞서 싸우기 위해 모든 노력을 기울였습니다. 동시에 업계 전반의 방어 체계는 점차 강화되고 있으며, 협업 메커니즘도 점점 성숙하고 효율적으로 변하고 있습니다. 마지막으로, Zero Hour 기술 보안팀은 프로젝트 소유자가 항상 경계하고 사용자에게 피싱 공격에 주의하도록 상기시킬 것을 권고합니다. 사용자는 프로젝트에 참여하기 전에 프로젝트의 배경과 팀을 완전히 이해하고, 투자 프로젝트를 신중하게 선택하는 것이 좋습니다. 또한, 내부 보안 교육 및 권한 관리를 실시하고, 프로젝트 시작 전에 전문 보안 회사를 찾아 감사 및 프로젝트 배경 조사를 실시해야 합니다.