![[보안 월간 보고서] | 12월 취약점 및 해커 공격으로 인한 손실은 2,860만 달러로, 해커 공격이 가장 적은 달이었습니다.](https://cdn-img.panewslab.com/panews/images/0EhuOIPK8w.jpg)
제로아워테크놀로지의 월간 보안 이벤트 하이라이트가 시작되었습니다! 일부 블록체인 보안 위험 모니터링 플랫폼의 통계에 따르면 2024년 12월 각종 보안 사고로 인한 손실액이 11월에 비해 크게 감소했습니다. 12월에는 일반적인 보안 사고가 23건 이상 발생했으며, 해커 공격, 피싱 사기, 사기 행위로 인한 총 손실액은 2,860만 달러에 달했는데, 이는 11월보다 약 55% 감소한 수치입니다.
해커 공격
7가지 일반적인 보안 사고
(1) 12월 1일, 보안 기관인 fuzzland Lianchuang @shoucccc는 탈중앙화 거래 플랫폼 Clipper가 API 취약점(예: 개인 키 유출)으로 인해 해킹당했다고 트윗했습니다. 현재 손실액은 50만 달러를 초과하고 650만 달러의 위험이 있으므로 사용자는 즉시 돈을 인출하는 것이 좋습니다. 다음날 탈중앙화거래소(DEX) 클리퍼(Clipper)는 출금 기능에 취약점이 있어 최근 프로토콜에 대한 해커 공격으로 인해 45만 달러의 손실이 발생했다고 밝혔고, '제3자'는 개인키가 유출됐다고 말하지 않았다.
![[보안 월간 보고서] | 12월 취약점 및 해커 공격으로 인한 손실은 2,860만 달러로, 해커 공격이 가장 적은 달이었습니다.](https://cdn-img.panewslab.com/panews/images/89s59lk9tT.jpg)
![[보안 월간 보고서] | 12월 취약점 및 해커 공격으로 인한 손실은 2,860만 달러로, 해커 공격이 가장 적은 달이었습니다.](https://cdn-img.panewslab.com/panews/images/i2X4XYQQ8K.png)
(2) 12월 3일 SlowMist 보안팀의 모니터링에 따르면 RunWay(BYC)가 BSC에 대한 공격을 받아 약 US$100,000의 손실을 입은 것으로 의심되었습니다.
![[보안 월간 보고서] | 12월 취약점 및 해커 공격으로 인한 손실은 2,860만 달러로, 해커 공격이 가장 적은 달이었습니다.](https://cdn-img.panewslab.com/panews/images/Bg64VAK5Y3.jpg)
(3) 12월 4일 보안업체 Fuzzland의 공동 창업자인 Chaofan Shou는 Unstake에 대해 “즉시 유동성을 철회하라”고 말했습니다.
![[보안 월간 보고서] | 12월 취약점 및 해커 공격으로 인한 손실은 2,860만 달러로, 해커 공격이 가장 적은 달이었습니다.](https://cdn-img.panewslab.com/panews/images/M2Qn681u93.jpg)
(4) 12월 10일 Zero Hour Technology 프로젝트 팀은 Base의 프로젝트인 CloberDEX에 대한 온체인 공격을 모니터링했습니다. 이 취약점은 주로 CloberDEX 프로젝트 측 계약이 코드를 얻기 위해 코드를 다시 수행하지 않았기 때문에 발생했습니다. 침입 감지 및 보호, 계약 호출 후 상태 변수 업데이트로 인해 공격자는 결국 이 재진입 취약점을 사용하여 프로젝트의 WETH를 비게 되었습니다.
자세한 공격 분석을 보려면 다음 링크를 클릭하십시오.
https://mp.weixin.qq.com/s/ff0YJBuZiaVBIIUZlarXRQ
(5) 12월 15일 Zero Hour Technology 프로젝트 팀은 BnbSmartChain의 DCFToken 프로젝트에 대한 온체인 공격을 모니터링했습니다. 공격자는 이 공격으로 약 8,800 USD의 이익을 얻었습니다. 이 취약점의 주요 원인은 DCFToken 프로젝트 당사자 계약이 DCFToken 가격을 획득할 때 단일 소스인 PancakeSwapV2를 통해 이를 계산하여 공격자가 가격을 조작하고 궁극적으로 가격 차액을 차익거래에 사용한다는 것입니다.
자세한 공격 분석을 보려면 다음 링크를 클릭하십시오.
https://mp.weixin.qq.com/s/DDadR1nOyYl-dPi5zwLLSQ
(6) 12월 24일 Scam Sniffer 모니터링에 따르면 피해자는 us04-zoom[.]us 위협 행위자와 관련된 가짜 Zoom 악성 코드로 인해 100만 달러의 손실을 입었습니다. 현재 개인키 도난 악성코드 사례가 증가하고 있으며, 출처를 엄격하게 확인하고 설치 전 보안검사를 실시해야 합니다. 앞서 X 플랫폼 사용자 Lsp(@lsp8940)는 "지갑을 도난당해 100만 Usd0++을 잃어버렸다. 해커는 내 트위터 교류 정보를 통해 트위터 사용자인 척, 내 친구인 척 했다. 그러자 상대방이 자신이 그렇게 했다고 한다"는 글을 올렸다. 프로젝트와 나를 공격할 것이다. 회의를 위해 채팅하고 줌 링크를 보내주세요. 내 컴퓨터 자체에는 줌이 있지만 이전에는 줌을 사용할 때 항상 문제가 있었고 다시 설치해야 했기 때문에 웹 페이지에서 다시 설치해야 한다는 메시지가 표시되면 다시 설치하고 일어났습니다. 도난당한 것을 발견하게 되었어요."
(7) 12월 29일 FEG 프로젝트가 공격을 받아 약 100만 달러의 손실이 발생했습니다. 분석에 따르면 사건의 근본 원인은 기본 Wormhole 크로스 체인 브리지와 통합할 때의 결합성 문제인 것으로 보입니다. 체인 메시지와 토큰의 크로스 체인 전송에 사용됩니다.
러그 풀/피싱 사기
9가지 일반적인 보안 사고
(1) 12월 1일, 0x32b8로 시작하는 주소는 피싱 "라이센스" 서명에 서명한 후 Aave USDC에서 145만 달러의 손실을 입었습니다.
(2) 12월 3일 0x95d1로 시작하는 주소는 피싱 '승인' 거래에 서명한 후 141만 달러의 손실을 입었습니다.
(3) 12월 5일, 0x30f8로 시작하는 주소는 피싱 공격으로 인해 2.77 BTC($284K+)가 손실되었습니다. MEXC를 종료한 지 1시간도 채 안 되어 "승인 증가" 피싱 서명에 빠졌습니다.
(4) 12월 8일, 0x16f5로 시작하는 주소의 $PEPE 보유자는 악의적인 "increaseAllowance" 거래에 서명하여 $135를 잃었습니다.
(5) 12월 9일, 피해자는 감염된 WallStreetBets X 계정에서 피싱 링크를 클릭한 후 220만 달러의 손실을 입었습니다. 분석에 따르면 일부 웹사이트의 XSS 취약점이 피싱 웹사이트에 이용된 것으로 나타났다.
(6) 12월 11일, 0x7a12로 시작하는 주소는 피싱 거래에 서명한 후 780만 달러 상당의 SolvBTC를 잃었습니다.
(7) 12월 18일, 0xae4f로 시작하는 주소는 "라이선스" 피싱 서명에 서명한 후 $492K 상당의 aEthWETH 및 aPolWMATIC을 잃었습니다.
(8) 12월 20일 0x8458로 시작하는 주소는 'setApprovalForAll' 피싱 거래에 서명한 후 기념일 로고 1개를 잃었습니다.
(9) 12월 20일, 0x61ccc로 시작하는 주소는 "increaseAllowance" 피싱 거래에 서명한 후 20만 달러의 손실을 입었습니다.
요약
2024년 마지막 달에는 암호화폐 사기, 침해, 해킹으로 인한 손실이 줄어들었으며, 12월은 일년 중 해킹이 가장 적은 달이었습니다. 공격자들이 12월에 2,670만 달러를 훔치는 등 대부분의 피해는 취약점으로 인해 발생했습니다.
Zero Hour Technology 보안 팀은 프로젝트 당사자가 항상 경계할 것을 권장하고 사용자에게 피싱 공격에 주의하도록 상기시킵니다. 사용자는 프로젝트에 참여하기 전에 프로젝트의 배경과 팀을 충분히 이해하고 투자 프로젝트를 신중하게 선택하는 것이 좋습니다. 또한, 프로젝트가 온라인화되기 전에 전문 보안업체를 찾아 감사를 실시하고 프로젝트 배경 조사를 실시해야 합니다.
