원본출처 : 버신
2024년에는 블록체인 산업이 기술 혁신과 생태계 확장을 경험하는 동시에 점점 더 심각한 보안 문제에 직면하게 될 것입니다. 보안감사업체 Beosin의 Alert 플랫폼이 모니터링한 바에 따르면, 보도시간 기준으로 2024년 해커 공격, 피싱 사기, 프로젝트 당사자의 Rug Pulls로 인해 Web3 분야에서 발생한 총 손실액은 24억 9100만 달러에 달합니다.
이러한 사고는 개인 키 관리 및 스마트 계약 취약점과 같은 기술적 결함을 노출했을 뿐만 아니라 사회 공학 및 내부 관리의 잠재적인 위험도 부각시켰습니다. 이 기사에서는 업계가 이를 교훈으로 삼고 향후 보안 위협에 더 잘 대응할 수 있도록 2024년 상위 10개 Web3 보안 사고를 살펴보겠습니다.
No.1 DMM 비트코인
손실: 3억 4백만 달러
공격방법 : 개인키 유출
2024년 5월 31일, 일본의 오랜 암호화폐 거래소인 DMM 비트코인이 역사적인 공격을 받았습니다. 공격자들은 유출된 개인 키를 사용해 3억 달러 상당의 비트코인을 직접 이체했으며, 훔친 자금을 10개 이상의 다른 주소로 신속하게 분산시켰습니다. 이 공격은 DMM 비트코인의 개인 키 관리 및 다층 보안 보호에 심각한 결함을 노출했습니다. 거래소는 온체인 모니터링과 자금 동결을 통해 해커를 추적하려 했으나 도난당한 비트코인이 통화 혼합 도구를 사용해 분산, 이체, 정리돼 추적 작업에 큰 어려움을 겪었다.
12월 24일 일본 경찰은 DMM 비트코인 도난 사건이 북한 해커 조직 라자루스 그룹에 의해 일어났다고 결론 내렸다.
No.2 플레이댑
손실: 2억 9천만 달러
공격방법 : 개인키 유출
2024년 2월 9일, PlayDapp은 큰 타격을 입었습니다. 해커들은 개인 키를 훔쳐 초기 가치가 3,650만 달러인 20억 개의 PLA 토큰을 발행했습니다. 프로젝트 당사자와 해커 간의 협상이 실패하자 해커는 단기간에 2억 5390만 달러 상당의 PLA 토큰 159억 개를 추가로 발행했습니다. 이러한 토큰 중 일부가 Gate 거래소로 유입된 후 PlayDapp은 PLA 계약을 중단하고 PDA 토큰 계약으로 마이그레이션해야 했습니다. 이번 사건은 개인키 보호와 비상대응 측면에서 블록체인 프로젝트의 단점을 부각시켰습니다.
No.3 와지르엑스(WazirX)
손실액: 2억 3,500만 달러
공격방법 : 네트워크 공격 및 피싱
2024년 7월 18일, 인도 최대 암호화폐 거래소인 WazirX의 Safe Wallet 다중 서명 지갑이 해커의 정확한 공격을 받았습니다. 공격자는 소셜 엔지니어링을 통해 다중 서명자가 계약 업그레이드 거래에 서명하도록 유도한 후 업그레이드된 계약 권한을 사용하여 지갑에 있는 모든 자산을 전송했습니다. 이 사례는 다중 서명 지갑의 관리 권한 구성 및 운영 투명성에 대한 잠재적 위험을 강조하고 프로젝트의 내부 위험 제어 및 보안 메커니즘에 대한 업계의 심층적인 반성을 촉발합니다.
이번 사건에 대한 자세한 분석 및 자금 추적은 "Beosin | 인도 거래소 WazirX에서 도난당한 2억 3500만 달러 분석"을 참조하세요.
No.4 갈라 게임
손실: 2억 1,600만 달러
공격방법 : 접근통제 취약점
2024년 5월 20일, Gala Games의 특권 주소가 해커에 의해 손상되었습니다. 공격자는 토큰 계약에서 민트 기능을 호출하여 한 번에 50억 개의 GALA 토큰을 발행했습니다. 이후 해커는 새로 발행된 토큰을 일괄적으로 ETH로 전환해 직접적으로 2억 1600만 달러의 손실을 입혔다. 사건 이후 갈라게임즈 팀은 블랙리스트 기능을 긴급 가동해 일부 해커 계정을 차단하고 사법채널을 통해 피해를 복구했다.
No.5 Chris Larsen (리플 공동 창립자)
손실액: 1억 1200만 달러
공격방법 : 개인키 유출
2024년 1월 31일, 리플 공동 창업자인 크리스 라슨(Chris Larsen)의 개인 지갑 4개가 해킹당해 XRP 1억 1200만 달러가 도난당했습니다. 이들 지갑은 하드웨어 장치에 대한 이중 보호가 부족해 표적이 된 것으로 의심된다. 사건 이후 바이낸스는 420만 달러 상당의 XRP를 성공적으로 동결하고 라슨이 도난당한 자산을 추적하도록 도왔지만 대부분의 자금은 분산형 거래소와 통화 혼합 서비스를 통해 세탁되었습니다.
No.6 먼처블스
손실액: 6,250만 달러
공격방법 : 소셜엔지니어링 공격
2024년 3월 26일, Blast 기반 Web3 게임 플랫폼 Munchables가 드물게 내부 침투 공격을 받았습니다. 공격자는 블록체인 개발자로 위장한 북한 해커로 장기간 잠복해 핵심코드와 민감한 키를 탈취했다. 공격으로 인해 막대한 손실이 발생했지만, 커뮤니티와 팀의 압력으로 인해 해커는 결국 훔친 자금을 모두 반환했습니다. 이 사건은 특히 제3자 개발에 의존하는 블록체인 프로젝트의 경우 공급망 보안의 중요성을 보여주었습니다.
7위 Btc터크
손실액 : 5,500만 달러
공격방법 : 개인키 유출
2024년 6월 22일, 터키 최대 암호화폐 거래소 BtcTurk가 개인 키 유출 공격을 받아 암호화폐 자산 5,500만 달러 이상을 잃었습니다. 바이낸스 팀의 도움으로 도난당한 자금 530만 달러가 성공적으로 동결되었지만 다른 자산은 아직 복구되지 않았습니다. 이 사건은 중앙화된 거래소의 개인 키 관리에 대한 시장의 우려를 심화시켰습니다.
BtcTurk 공격을 받았다는 공식 발표
No.8 래디언트 캐피탈
손실액 : 5,300만 달러
공격방법 : 개인키 유출
2024년 10월 17일 Radiant Capital의 다중 서명 지갑이 해커에 의해 손상되었습니다. 낮은 임계값의 3/11 서명 확인 모드로 인해 해커는 서명자 3명의 개인 키를 마스터하여 오프체인 서명을 시작하고 지갑 계약의 소유권을 악의적인 주소로 이전하여 궁극적으로 5,300만 달러를 도난당했습니다. 이 공격은 다중 서명 지갑 설계 및 거버넌스 메커니즘에 대한 업계의 재고를 촉발시켰습니다.
이번 공격 이전에 Radiant Capital은 계약 취약점으로 인해 450만 달러의 손실을 입었고 1,900 ETH 이상이 도난당했습니다. Web3 프로젝트 당사자는 여전히 보안에 더 많은 관심을 기울여야 합니다.
No.9 헤지파이낸스
손실액: 4,470만 달러
공격방법 : 계약취약성
2024년 4월 19일, Hedgey Finance는 여러 온체인 계약에 대한 공격을 받았습니다. 해커들은 ClaimCampaigns 계약의 승인 취약점을 악용하여 Ethereum 및 Arbitrum 체인 모두에서 토큰을 성공적으로 인출하여 총 4,470만 달러의 손실을 입혔습니다. 이번 사건은 코드 감사, 특히 토큰 승인 논리에 대한 엄격한 검증의 중요성을 보여줍니다.
10위 빙X
손실액: 4,470만 달러
공격방법 : 개인키 유출
2024년 9월 19일, BingX 거래소의 핫월렛이 해킹당했으며, 관련된 체인에는 Ethereum, BNB Chain, Tron 및 기타 퍼블릭 체인이 포함되었습니다. 거래소는 신속하게 자산 이전 및 출금 동결 메커니즘을 시작했지만 해커들은 4,470만 달러 상당의 자산을 성공적으로 인출할 수 있었습니다. 이 공격은 중앙 집중식 거래소의 핫 지갑 관리의 위험성이 높은 특성을 반영하며 업계가 더욱 안전한 자산 보관 솔루션을 모색하도록 유도합니다.
2024년에 잦은 보안 공격은 블록체인 산업의 발전과 보안의 보호가 분리될 수 없음을 다시 한번 상기시켜 줍니다. 개인 키 유출부터 계약 취약성까지, 내부 관리 감독부터 외부 공격 방법 업그레이드까지, 모든 사건은 심오한 교훈을 가져왔습니다. 점점 더 복잡해지는 공격 위협에 대처하기 위해 업계의 모든 당사자는 기술 연구 및 개발, 관리 규정, 위험 예방 및 통제에 대한 투자를 지속적으로 늘려야 합니다. 앞으로도 업계 협력과 기술 혁신을 통해 보다 안전한 블록체인 생태계를 공동으로 구축하여 사용자와 투자자에게 보다 안정적인 보호를 제공할 수 있기를 기대합니다.
