느린 안개: 2021년 블록체인 보안 사건으로 인한 손실이 980억 달러를 초과함

원문 제목: 《느린 안개: 2021년 블록체인 보안 생태계 회고, 전 세계 손실 98억 달러 초과》

2021년은 블록체인 산업에 있어 기복이 심한 한 해였다. 그럼에도 불구하고 블록체인은 탈중앙화, 개방적 투명성이라는 특성 덕분에 산업 내외의 노력으로 여전히 좋은 성과를 거두었다. 동시에 DeFi에 이어, 전 세계 사용자와 미디어의 NFT, 메타버스에 대한 열광적인 열풍이 블록체인을 전례 없는 높이로 끌어올렸다. 이 해에 도대체 무슨 일이 있었던 것일까? 본문은 블록체인 시장 발전 및 전형적인 보안 사건을 통해 그 진상을 살펴보겠다.

블록체인 생태계 보안 상황

1 정책, 규제, 감독

국내 환경을 보면, 한편으로 정부는 블록체인 기술의 연구 개발과 응용에 대한 중요성을 높이고 있으며, 공업정보부는 2025년까지 블록체인 등 시설 서비스 능력이 현저히 강화될 것이라고 밝혔다. 다른 한편으로, 정부는 암호화폐에 대한 규제를 계속 강화하고 있다. 9월에는 여러 부처가 「가상 화폐 거래 및 투기 위험 방지 및 처리에 관한 통지」를 발표하고, 발전개혁위원회 등 부처가 「가상 화폐 '채굴' 활동 정비에 관한 통지」를 공동 발표했다. 관련 자료에 따르면, 2021년 국가 차원에서 발표된 블록체인 관련 정책 문서는 고등 교육 연구, 인재 양성, 기술 응용 표준, 지식 재산권, 디지털 농업, 해운 교통, 전염병 예방, 사이버 보안, 사회 구호, 디지털 문화 산업 등 다양한 분야를 포괄하고 있다.

국외 환경을 보면, 각국 정부는 여전히 암호화폐에 대한 지속적인 관심을 보이고 있으며, 암호화폐에 대한 규제가 점차 개선되고 정책도 점차 완화되고 있다. 전 세계 반자금세탁 기관인 금융행동특별작업그룹은 암호화폐에 대한 최신 규제 지침을 발표했다; 한국 서울은 공공 서비스 '메타버스 플랫폼'을 구축할 예정이다; 미국 텍사스의 암호화폐 법안이 공식적으로 발효되었다; 비트코인이 엘살바도르의 법정 통화로 공식화되었다; 우크라이나 의회는 가상 자산 법안을 통과시켰다.

이로 인해 전 세계 각 정부의 블록체인에 대한 중요성이 더욱 높아지고 있으며, 블록체인은 '신기반 시설'의 중요한 구성 요소로 점점 더 많은 주류 기관에 의해 수용되고 있다.

2 기술, 응용, 경제

우리나라의 '블록체인+산업' 역시 안정적으로 발전하고 있으며, 각종 실용 응용 프로젝트가 끊임없이 등장하고 있다. 전국 최초의 블록체인 지식 재산권 보호 작업소가 설립되었고, 광둥성은 전국 최초의 공공 데이터 자산 증서를 발급하였다. 대기업들도 이 분야에 참여하고 있다: 화웨이는 '보안 칩 및 처리 방법' 특허를 공개하였고, 텐센트 클라우드 블록체인은 세 가지 제품을 출시하였으며, 바이두는 '블록체인 시스템 업그레이드 방법, 장치, 장비 및 저장 매체' 특허를 추가하였다; 중국 이동통신 연합회 메타버스 산업 위원회가 공식적으로 설립되었다; 중국의 블록체인 특허 신청량은 세계 1위를 차지하며, 비율은 약 63%에 달한다; 상무부는 블록체인 등 신기술의 표준화 응용을 추진하겠다고 밝혔다.

2021년, 블록체인 기본 기술도 중요한 돌파구를 이루었다. 이더리움은 2022년 2분기에 합병될 것으로 예상되며, 비 신 등은 EIP-4488을 제안하여 이더리움 2층 확장 솔루션의 가스를 낮추는 것을 목표로 하고 있다; 이더리움 Layer2 확장 솔루션 Arbitrum은 WASM 기반의 새로운 버전 Nitro를 출시할 예정이다; 8월 5일 이더리움은 런던 업그레이드를 완료하였다.

3 보안 사건

블록체인 기술은 양날의 검이다. 그 탈중앙화, 익명성, 불변성 등의 특성은 산업 발전을 촉진하는 동시에 블록체인 보안 문제도 현저히 증가시켰다. 암호화폐 범죄는 다양하며, 자금 세탁, 사기, 도난, 마약 밀매, 채굴 범죄 등의 사건이 빈발하고 있다.

느린 안개 기술의 블록체인 해킹 기록 데이터에 따르면, 2021년 블록체인 생태계에서 공개된 블록체인 보안 사건은 총 231건으로, 손실액은 98억 달러를 초과하였다.

（출처: hacked.slowmist.io）

그 중 각 생태계 DApp, DeFi 등의 보안 사건은 170건, 거래소 보안 사건은 15건, 공공 블록체인 보안 사건은 8건, 지갑 보안 사건은 3건, 기타 유형의 보안 사건은 35건이다.

2018년 이후, 전체 손실 추세는 여전히 상승세를 보이고 있다.

이제 전형적인 사건을 되짚어보며 각 사건에 대한 느린 안개의 관점을 덧붙이겠다. 비록 본문에서 열거한 사건은 빙산의 일각에 불과하지만, 매우 대표적이다.

보안 사건 및 관점

1 공공 블록체인

BSV 51% 공격 당함

8월 4일, BSV는 51% 공격을 당한 것으로 보이며, 거의 100개의 블록이 재구성되었다.

ETC 메인넷 분기 발생

9월 4일, 이더리움 클래식(ETC)은 이더리움 클라이언트 Geth의 취약점으로 인해 ETC 메인넷이 분기되었다고 트위터에 발표하였다.

솔라나 메인넷 베타 버전 서비스 거부 공격 당함

9월 14일, 공공 블록체인 솔라나의 메인넷 베타 버전은 베이징 시간 19:52부터 불안정한 상태가 발생하였고, 9월 21일 솔라나 공식은 네트워크 중단에 대한 초기 개요를 발표하였다: 솔라나 네트워크는 17시간 동안 오프라인 상태였으며, 자금 손실은 없었고, 네트워크는 24시간 내에 모든 기능을 복구하였다. 네트워크 정체의 원인은 서비스 거부 공격이었다. UTC 시간 12:00, Grape Protocol은 Raydium에서 IDO를 시작하였고, 로봇이 생성한 거래가 네트워크를 혼잡하게 만들었다. 이러한 거래는 메모리 오버플로우를 초래하여 많은 검증 노드가 다운되었고, 네트워크가 느려지고 결국 중단되었다.

느린 안개 관점

공공 블록체인의 보안 취약점은 손실이 적지만, 전체 체인 생태계에 미치는 영향은 막대하다. 따라서 공공 블록체인은 출시 전에 반드시 전문적인 보안 감사를 받아야 한다. 공공 블록체인 팀은 신뢰할 수 있고 전문적인 보안 팀과 깊이 협력하여 지역에 맞는 보안 조치를 배치하고, 보안 문제를 일으킬 가능성을 최소화하여 전체 공공 블록체인의 안전을 보장할 것을 권장한다.

2 거래소

Cryptopia 다시 해커의 공격을 받다

2월 20일, 뉴질랜드 거래소 Cryptopia는 다시 해커의 공격을 받았으며, 조사 결과 해커는 2019년 1월 해킹 이후 휴면 상태에 있던 지갑에 접근하였다. 해당 지갑은 Stakenet에 속하며, Cryptopia의 청산인 Grant Thornton이 관리하고 있다. 조사 결과에 따르면, 휴면 지갑은 약 196만 달러 가치의 Xtake를 보유하고 있었다.

Liquid 핫 월렛 공격당함

8월 19일, 일본 암호화 거래 플랫폼 Liquid는 자사의 핫 월렛이 공격받았다고 밝혔다. 느린 안개 AML 팀은 자사의 MistTrack 반자금세탁 추적 시스템을 이용하여 분석한 결과, Liquid는 총 약 9,135만 달러(사건 발생 당시 가격 기준)를 잃었으며, 도난된 암호화폐는 BTC, ETH, ERC20 토큰, TRX, TRC20 토큰, XRP 등 70종이 넘는다. 이처럼 다양한 암호화폐와 막대한 금액에 놀라움을 금치 못하게 된다.

느린 안개 관점

거래소의 보안 문제는 거래소와 사용자 모두가 가장 주목하는 문제로, 심지어 거래소의 생존을 결정짓는 중요한 요소가 되었다. 특히 올해 4분기에는 다양한 거래소가 연이어 공격을 받아 막대한 손실을 입었다.

거래소가 빈번히 공격받는 이유는 다음과 같다: (1) 거래소는 대량의 자금을 집중하고 있어 해커의 표적이 되기 쉽다; (2) 거래소는 대부분의 경우 방어가 취약하여 보안 취약점이 발생하기 쉽고, 해커가 약점을 통해 침투하기 용이하다; (3) 사용자가 충분한 보안 인식을 가지고 있지 않다; (4) 내부 범죄가 발생할 수 있다.

거래소에 대해, 각 거래소는 내부 관리 및 기술 메커니즘을 강화하고, 보안 감사 메커니즘, 제로 트러스트 메커니즘, 핫/콜드 자산 보안 솔루션 등을 도입하여 디지털 자산의 보안 보장을 강화할 것을 권장한다. 또한, 규제를 적극적으로 수용해야 한다. 사용자에 대해서는 반드시 보안 인식을 강화하고, 어떤 경우에도 개인 키를 다른 사람에게 누설하지 말아야 하며, 공식 플랫폼을 인식하여 피싱 사건을 방지해야 한다.

3 지갑

Ledger 지갑 여러 차례 유출 사건 발생

6월 18일, 비트코인 하드웨어 지갑 제공업체 Ledger는 최근 사용자의 자산을 속이기 위해 위조된 Ledger 하드웨어 지갑을 이용한 새로운 사기가 발생했다고 사용자에게 경고하였다. 일부 1년 전 정보가 유출된 사용자는 하드웨어 지갑을 교체하라는 요구가 담긴 소포를 받았다. 해당 소포에는 위조된 공식 서신과 변조된 Ledger 하드웨어 지갑이 포함되어 있었다.

Ledger는 '기존 하드웨어 지갑을 교체하여 자금을 보호해야 한다'는 내용이 사기라고 밝혔다. 동봉된 Ledger Nano도 가짜이며, 사용자가 서신에 따라 시드 단어를 입력하면 사용자의 암호화 자산이 도난당할 것이라고 경고하였다.

여러 Chivo 지갑 도난당함

Chivo 지갑은 엘살바도르 정부가 비트코인 법안을 추진하기 위해 9월 7일 발표한 국가급 디지털 지갑으로, 엘살바도르는 다운로드 및 인증된 Chivo 지갑 사용자에게 30달러의 비트코인 보상을 제공하겠다고 약속하였다. 이로 인해 이 엘살바도르 공식 지갑은 1개월 내에 사용자 수가 200만 명을 초과하였다. 그러나 10월 9일부터 10월 14일 사이, 엘살바도르 인권 단체 Cristosal은 755건의 엘살바도르인이 Chivo 지갑의 신원이 도난당했다고 보고한 통지를 받았다.

느린 안개 관점

올해 지갑과 관련된 사건 수는 다소 감소했지만, 가짜 지갑 앱을 다운로드하여 도난당한 사건 수는 매우 많았다. 느린 안개 11월 보고서에 따르면, 가짜 지갑 앱으로 인해 수만 명이 도난당했으며, 손실액은 13억 달러에 달한다. 안전 인식을 확립하고 올바른 방법을 숙지해야만 진정으로 자산을 보호할 수 있다. 첫째, 공식 웹사이트를 인식하고, 공식 외의 링크는 클릭하지 말아야 한다; 둘째, 지갑 백업을 잘 하고 개인 키 및 복구 문구를 안전하게 보관해야 한다; 마지막으로, 항상 의심의 마음을 유지하고, 세상에 공짜 점심은 없다는 것을 명심해야 한다.

4 DApp, DeFi, NFT, 크로스 체인

(1) ETH 생태계

SushiSwap 다시 공격당함

1월 27일, SushiSwap은 다시 공격을 받아 81 ETH의 손실을 입었다. 이번 공격은 SushiSwap의 첫 번째 공격과 유사하며, 거래 쌍의 환율을 조작하여 이익을 얻는 방식이었다. 이번 공격은 DIGG가 WETH 거래 쌍에 대해 조작되지 않았음을 이용하여 공격자가 이 거래 쌍을 생성하고 초기 거래 가격을 조작하여 수수료 환전 과정에서 큰 슬리피지를 발생시켰다. 공격자는 소량의 DIGG와 WETH를 제공하여 초기 유동성을 확보하고 막대한 이익을 얻었다.

SIL 도난 후 1,215만 달러 회수

3월 19일, DeFi 집합 재무 서비스 SIL.Finance 계약에서 고위험 취약점이 발견되었다. 이후 SIL.Finance는 이번 사건이 스마트 계약 권한 취약점으로 인해 발생했다고 발표하였다. 이 취약점은 일반적인 선행 거래 봇이 일련의 거래를 제출하여 이익을 얻도록 유도하였다. 스마트 계약이 고위험 취약점으로 인해 출금할 수 없게 된 후, 느린 안개 등 여러 측의 36시간의 노력 끝에 1,215만 달러를 성공적으로 회수하였다.

(2) BSC 생태계

Compound 취약점 및 제안

9월 30일, 탈중앙화 대출 프로토콜 Compound는 트위터를 통해 62번 제안을 실행한 후 유동성 채굴에서 COMP 토큰 배포에 이상이 발생했다고 확인하였다. Compound Labs와 커뮤니티 구성원은 조사를 진행 중이다. Compound는 현재 예치금과 대출 자금에서 위험이 발견되지 않았다고 밝혔다. Compound 창립자 Robert Leshner는 발생한 문제는 62번 제안에 따라 COMP 토큰 배포 속도의 초기 설정 오류로 인해 과도한 COMP 토큰이 배포되었다고 말했다. 10월 4일, Compound가 취약점을 수정하려고 시도하는 동안, 또 다른 6,880만 달러 가치의 COMP 토큰(총 202,472개 COMP)이 drip() 함수 호출로 인해 이미 존재하는 취약점의 유동성 채굴 토큰 배포 계약으로 들어갔다.

Cream Finance 세 번 공격당함

10월 27일, DeFi 대출 프로토콜 Cream Finance가 공격을 받아 약 1.3억 달러의 손실을 입었다. 도난당한 자금은 주로 Cream LP 토큰과 기타 ERC-20 토큰이었다. 이는 역사상 세 번째로 큰 DeFi 해킹 공격으로 알려져 있다. 또한, Cream Finance는 이전에 여러 차례 플래시 론 공격을 당했으며, 2월에는 3,750만 달러, 8월에는 1,900만 달러를 잃었다.

(3) EOS 생태계

flash.sx 스마트 계약 재진입 공격당함

5월 14일 11:28 UTC부터 flash.sx 플래시 론 스마트 계약은 '재진입' 공격 취약점에 노출되어 약 120만 EOS와 46.2만 USDT가 도난당했다. 공식 발표에 따르면, EOS Nation 소속의 플래시 론이 해커의 공격을 받은 후, 프로젝트 측은 제안서를 제출하여 해커의 EOS 계정 권한을 직접 변경하여 자산을 반환하였다.

PIZZA 해커 공격당함

12월 8일 오후 8시, 해커 계정 itsspiderman은 오버플로우 취약점을 이용하여 eCurve에서 tripool 유동성 증명서를 무단으로 발행하고, PIZZA 스테이킹 및 대출 프로토콜에서 대부분의 토큰을 빌렸다. 이후 해커는 130만 개 이상의 계정을 생성하고 도난 자산을 분산시켰다. PIZZA 프로토콜은 이번 공격에서 약 500만 달러의 손실을 입었다.

(4) Polygon 생태계

알고리즘 스테이블코인 프로젝트 SafeDollar 공격당함

6월 28일, Polygon 상의 알고리즘 스테이블코인 프로젝트 SafeDollar가 해커의 공격을 받은 것으로 보이며, 확인되지 않은 계약이 25만 달러의 USDC와 USDT를 빼낸 것으로 보인다.

PolyYeld Finance 계약 이용당함

수익 농사 프로토콜 PolyYeld Finance가 공격을 받아 프로젝트 계약이 이용되어 4.9조 개의 YELD 토큰이 발행되고 2차 시장에서 덤핑되었다.

(5) HECO 생태계

HSO 3만 HT 도난 후 도주

3월 10일, 후오비 생태계 HECO의 오라클 프로젝트 HSO가 IDO 후 3만 HT를 도난당하고 도주하였다. 웹사이트와 텔레그램 모두 열리지 않았다. 이후 HECO 핵심 코드 기여 팀인 성천 실험실, HECO 기술 커뮤니티 및 HECO 화이트햇 보안 연합 등 관련 당사자의 전폭적인 지원으로 24,823개의 HT가 회수되었다.

XDX Swap 공격당함

7월 2일, Heco 체인 상의 크로스 체인 탈중앙화 거래소 DDEX의 XDX Swap(DDEX)이 공격을 받아 공격자가 85.17 ETH(약 17.6만 달러)를 획득하고 이를 모두 이더리움으로 크로스 체인하였다. DDEX 코드에 백도어가 존재하는 것으로 의심된다. DDEX 및 성천 실험실, HECO 화이트햇 보안 연합 등의 지원과 협력으로 XDX Swap은 이번 공격 사건에 관련된 대부분의 자금을 회수하였으며, 총 가치는 500만 달러를 초과하였다.

(6) 기타 생태계

NEAR 생태계 Ref.Finance 계약 오류로 이용당함

8월 15일, NEAR 생태계 Ref.Finance 팀은 UTC 시간 8월 14일 오후 2시경 REF-NEAR 거래 쌍의 비정상적인 행동을 발견하였고, 최근 배포된 계약의 수정 프로그램에서 오류가 발견되었으며, 이 오류가 여러 사용자에 의해 이용되어 약 100만 개의 REF와 58만 개의 NEAR가 영향을 받았다.

Solana 생태계 Solend 해커 공격당함

8월 19일, Solana 생태계 대출 프로토콜 Solend는 베이징 시간 8월 19일 20:40에 해커의 공격을 받았으며, 공격자는 UpdateReserveConfig 함수에서 안전하지 않은 신원 검사를 우회하여 모든 계좌를 청산할 수 있게 되었다. 또한, 해커는 빌린 자금의 APY를 250%로 설정하였다. 이 기간 동안 5명의 사용자의 자금이 잘못 청산되었다. Solend는 이번 공격으로 자금이 도난당하지 않았다고 밝혔으며, 이후 보안 보상 규모를 늘리고 더 나은 모니터링 및 경고 시스템을 구축할 것이라고 밝혔다.

폴카 생태계 IDO 플랫폼 Polkatrain 공격당함

4월 5일, 폴카 생태계 IDO 플랫폼 Polkatrain에서 사고가 발생하였으며, 느린 안개 분석에 따르면, 이번 문제의 계약은 Polkatrain 프로젝트의 POLT_LBP 계약으로, 이 계약에는 swap 함수가 존재하며 리베이트 메커니즘이 있다. 사용자가 swap 함수를 통해 PLOT 토큰을 구매할 때 일정량의 리베이트를 얻으며, 이 리베이트는 계약 내의 _update 함수를 호출하여 사용자에게 전송된다. 그러나 _update 함수는 풀의 최대 리베이트 수량을 설정하지 않았고, 리베이트를 지급할 때 총 리베이트 금액이 소진되었는지 판단하지 않아 악의적인 차익 거래자가 swap 함수를 반복 호출하여 계약의 리베이트 보상을 착취할 수 있게 되었다.

Avalanche 체인 상 대출 프로토콜 Vee.Finance 도난당함

9월 20일, Avalanche 체인 상의 대출 프로토콜 Vee.Finance 팀은 여러 차례 비정상적인 이체를 발견하였고, 추가 모니터링 결과 총 8,804.7 ETH와 213.93 BTC가 도난당하였다(총 가치 3,500만 달러 초과). 스테이블코인 부분은 이번 공격의 영향을 받지 않았다.

Fantom 체인 상 GrimFinance 플래시 론 공격당함

12월 19일, Fantom 체인 상의 복합 수익 플랫폼 GrimFinance가 플래시 론 공격을 받아 손실이 3,000만 달러를 초과하였다. 공격자는 GrimFinance의 보험금 전략 중 'beforeDeposit()' 함수를 이용하여 공격하였으며, 악의적인 Token 계약을 입력하였다.

(7) 크로스 체인 시스템

크로스 체인 거래 프로토콜 THORChain 세 번 공격당함

6월 29일, THORChain은 '가짜 충전' 공격을 받아 약 35만 달러의 손실을 입었다; 7월 16일, THORChain은 두 번째 '가짜 충전' 공격을 받아 약 800만 달러의 손실을 입었다; 7월 23일, THORChain은 세 번째 공격을 받아 약 800만 달러의 손실을 입었다.

크로스 체인 브릿지 Chainswap 도난당해 여러 플랫폼에 영향

7월 11일, 크로스 체인 브릿지 프로젝트 Chainswap이 다시 해커의 공격을 받았으며, 해당 브릿지에 배포된 스마트 계약의 20개 이상의 프로젝트 토큰이 해커에게 도난당하였다. 예상 총 손실은 400만 달러로, DeFi 역사상 가장 큰 범위의 안전 사고로 기록되었다. Chainswap 조사에 따르면, 토큰 크로스 체인 할당 코드의 오류로 인해 체인 상의 교환 브릿지 할당이 서명 노드에 의해 자동으로 증가되었으며, 이는 인위적인 제어 없이 더욱 탈중앙화되기 위한 목적이었다. 그러나 코드의 논리 결함으로 인해 화이트리스트에 없는 무효 주소의 수량이 자동으로 증가하는 취약점이 발생하였다. 이전 7월 2일, Chainswap도 해커의 공격을 받아 일부 사용자 토큰이 ChainSwap과 상호작용하는 지갑에서 자발적으로 인출되었으며, 예상 총 손실은 80만 달러였다.

Poly Network 6.1억 달러 도난 후 반환됨

8월 10일 발생한 Poly Network 공격 사건은 역사상 가장 큰 금액이 관련된 사이버 보안 사건으로, 6.1억 달러 이상의 암호 자산이 15일 이내에 도난당하고 반환되었다. 전체 블록체인 산업과 모든 관련자는 Poly Network와 함께 이 기복이 심한 과정을 겪었다. 현재 모든 관련 자산은 사용자에게 반환되었으며, 시스템 기능은 사건 이전 수준으로 거의 복구되었다.

(8) NFT

NFT 사기 확산

8월 2일, 'cryptopunksbot'이라는 사기꾼이 CryptoPunk의 Discord 서버에 게시하여 NFT 투자자에게 10개의 NFT 아바타를 얻을 기회를 제공하였다. NFT 프로젝트 창립자 Stazie는 가짜 제안의 포스터를 수락하여 16개의 CryptoPunk를 잃었으며, 이는 최소 100만 달러의 가치가 있다. 이후 사기꾼은 5개의 CryptoPunk를 149 ETH(385,000 달러)에 판매하였다.

느린 안개 관점

DeFi가 탄생한 이후, 수많은 위험이 동반되었다. 현재 많은 DeFi 프로젝트의 가치는 폭발적으로 증가하고 있지만, 해킹 사건도 더욱 심각해지고 있다. 느린 안개 통계에 따르면, DeFi에는 일반적으로 다음과 같은 공격 방식이 존재한다: (1) 플래시 론 공격; (2) 계약 취약점; (3) 호환성 또는 구조 문제; (4) 개인 키 유출 또는 프론트 엔드 공격; (5) 내부 범죄, 도주.

프로젝트 측에 있어, 가능한 한 취약점을 제거하고 보안 위험을 줄이기 위해서는 효과적인 노력이 필요하다. 즉, 프로젝트 출시 전에 철저하고 심층적인 보안 감사를 수행해야 한다. 또한, 각 DeFi 프로젝트 측은 다중 서명 메커니즘을 도입하여 자산 보호를 강화할 것을 권장한다. 한편, 각 DeFi 프로젝트는 프로토콜 간 상호작용 시 프로토콜 간의 호환성을 잘 확보해야 하며, 개발자는 다른 프로토콜의 코드를 이식할 때 이식 프로토콜의 구조와 자신의 프로젝트 구조 설계를 충분히 이해하여 자금 손실 상황이 발생하지 않도록 해야 한다. 사용자에게는 블록체인 분야의 플레이가 점점 다양해짐에 따라, 투자 전에 프로젝트 배경을 신중히 이해하고 해당 프로젝트가 오픈 소스인지, 감사가 이루어졌는지 확인해야 하며, 프로젝트에 참여할 때 경계를 높이고 프로젝트 위험에 주의해야 한다.

5 기타 유형

랜섬웨어

5월 7일, 미국 최대 석유 및 가스 송출 파이프라인 운영업체 Colonial Pipeline이 랜섬웨어의 표적 공격을 받아 운영을 중단하였고, 이후 75개의 비트코인을 지불하여 400만 달러 이상의 몸값을 지불하여 운영을 정상화하였다. 이번 랜섬웨어 공격은 국가적 주요 인프라에 관련되어 있어 전 세계의 주목을 받았다. 이에 대해 미국 법무부 관계자는 200만 달러 이상의 몸값을 성공적으로 회수했다고 밝혔다. 그러나 미국 정부 관계자는 '어떻게 개인 키를 확보하고 몸값을 회수했는지'에 대한 구체적인 과정을 설명하지 않았으며, 단지 이 조치가 미국이 랜섬웨어 공격에 대응하기 위해 최선을 다할 것임을 보여준다고 밝혔다.

사기

8월 20일, 러시아 최대 암호화폐 사기의 창립자가 투옥되었으며, 혐의는 투자자들로부터 15억 달러 이상을 사취한 것이다. Finiko는 2019년 카잔에서 설립되었으며, 합법적인 BTC 투자 회사로 가장하였다. 2020년 12월, Finiko는 자사의 원주율 암호화폐 FNK를 발표하였다. 현지 보도에 따르면, 창립자는 투자자들로부터 BTC를 가져가고 FNK 토큰을 보상으로 지급하였다.

피싱

10월 15일, Sophos가 발표한 보고서에 따르면, 암호화 사기 앱 CryptoRom이 '슈퍼 서명 서비스'와 애플 개발자 기업 프로그램을 이용하여 140만 달러를 훔쳤다고 한다. 현재까지 이 사기와 관련된 비트코인 주소는 139만 달러 이상을 송금하였으며, 더 많은 주소가 이 사기와 관련이 있을 수 있다. 보고서에 따르면, 대부분의 피해자는 iPhone 사용자이다. 이 보고서는 CryptoRom이 App Store의 모든 보안 검사를 우회하였으며, 매일 활발히 활동하고 있다고 밝혔다. 보고서는 또한 애플이 '임시 배포 또는 기업 구성 시스템을 통해 애플이 검토하지 않은 앱을 설치하는 사용자에게 경고해야 한다'고 주장하였다.

느린 안개 관점

블록체인이 활발히 발전하는 과정에서, 블록체인이라는 이름으로 새로운 투자 사기가 우후죽순처럼 나타나고 있다. 랜섬웨어의 경우, 미국 재무부 금융 범죄 단속 네트워크가 발표한 보고서에 따르면, 2021년 상반기 발생한 랜섬웨어 관련 거래는 5.9억 달러에 달했다. 느린 안개는 사용자에게 출처가 불분명한 이메일 첨부파일을 열지 말고, 피싱 웹사이트를 신중히 구별하며, 항상 의심하고 조심하는 태도를 유지하고, 효과적으로 안티바이러스 소프트웨어를 활용할 것을 권장한다.

요약

비록 현재 많은 BTC를 대표하는 암호화폐의 시가 총액이 계속해서 신기록을 경신하고 있으며, 블록체인 산업의 현재 발전 추세가 점점 더 좋아지고 있지만, 암호화폐 범죄는 더욱 기승을 부리고 있다. 통계 데이터에 따르면, 보안 사건 발생 횟수가 많고 금액 손실이 큰 월은 주로 4월, 6월, 8월이다; 각 생태계에서 이더리움에서의 손실이 가장 많아 13억 달러를 초과하며, 그 다음은 BSC 생태계이다; 공격 분야에서 가장 많이 공격받는 것은 거래소와 DeFi이다.

프로젝트 측에 대해, 내부 관리 및 기술 메커니즘을 강화하고, 내부 보안 인력이 보안 관련 내용을 신속히 점검하여 누락된 부분을 보완할 것을 권장한다. 가장 중요하고 효과적인 방법은 프로젝트 출시 전에 철저하고 심층적인 보안 감사를 수행하여 보안 문제를 일으킬 가능성을 최소화하는 것이다.

사용자에게는 블록체인을 올바르고 이성적으로 바라보며, 올바른 화폐 관념과 투자 이념을 확립하고, 실제로 위험 방지 인식을 높여야 한다. 예를 들어, 투자 전에 스마트 계약이 오픈 소스인지, 플랫폼 자체가 보안 감사를 받았는지 확인해야 하며, 가장 중요한 것은 자신의 개인 키 및 복구 문구를 잘 보관하고, 어떤 경우에도 누설하지 말아야 한다.

마지막으로, 블록체인이 새로운 한 해에 더 큰 에너지를 발산하고, 더 많은 실용 응용이 등장하여 더 큰 가치를 창출하기를 기대한다.