CertiK: 2023년 제2분기 Web3.0 산업 안전 보고서 발표

저자：CertiK

요약

• 해커 등 악의적인 행위자들이 2023년 2분기 Web3.0 산업에서 3억 1천만 달러의 가치를 착취했습니다.
• 이 숫자는 1분기의 2억 달러 손실과 비슷하며, 2022년 2분기의 7억 4천5백만 달러 손실보다 58% 감소했습니다.
• CertiK는 총 212건의 보안 사건을 발견했으며, 이는 2분기 사건당 평균 손실이 148만 달러임을 의미합니다. 이 숫자는 1분기 사건당 평균 손실 156만 달러보다 약간 감소한 수치입니다.
• 98건의 탈퇴 사기가 투자자들로부터 7,035만 달러를 훔쳤으며, 이는 1분기 탈퇴 사기로 인한 3,100만 달러 손실보다 두 배 이상 증가한 수치입니다.
• 54건의 플래시 론 공격 및 오라클 조작 사건으로 공격자들은 2,375만 달러를 벌어들였습니다. 이는 1분기의 52건 오라클 조작 총 손실 2억 2천만 달러에 비해 크게 감소한 수치입니다. 물론, 지난 분기 Euler Finance로 인한 손실이 컸기 때문에, 이 하나의 취약점이 지난 분기 총 금액의 85%를 차지했습니다.
• 또한, 업계에서는 몇 가지 "온체인" 대사건이 발생하고 있습니다: 미국 증권 거래 위원회가 가상 화폐 최대 두 거래소에 대해 고발했으며, 세계 최대 자산 관리 회사가 비트코인 ETF 신청서를 제출했습니다.
• 동시에, CertiK의 보안 연구원들은 주요 블록체인 프로토콜 및 애플리케이션에서 Sui 검증자 노드와 ZenGo의 MPC 지갑에서의 보안 위험을 포함한 몇 가지 중대한 취약점을 발견했습니다.

부분 데이터 전시

소개

2023년 2분기 Web3.0 분야에서 기록된 총 손실은 313,566,528 달러로, 이전 분기와 거의 동일하며, 지난해 같은 기간에 비해 58% 감소했습니다. 사건당 평균 손실도 약간 감소했습니다.

2분기를 통틀어, 오라클 조작 사건의 수는 눈에 띄게 감소했지만, 탈퇴 사기의 총 손실은 증가하여 악의적인 행위자들이 채택한 전술이 변화했음을 나타냅니다.

업계의 발전과 함께 MEV 로봇에 대한 공격 및 Sui 블록체인에서 발견된 "햄스터 휠" 보안 위협과 같은 사례는 지속적인 심층 연구, 선제적 조치 및 지속적인 경계의 중요성을 입증합니다. 하나의 도전을 극복할 때마다 우리는 더 안전한 Web3.0 공간에 한 걸음 더 가까워집니다.

자세한 내용 및 데이터는 보고서에서 확인하세요. (문말에서 보고서 다운로드 링크 확인)

MEV 로봇의 악의적 이용

4월 초, MEV 로봇이 이더리움의 16964664 블록에서 해커에 의해 이용당했습니다. 한 악의적인 검증자가 여러 MEV 거래를 대체하여 약 2,538만 달러의 손실을 초래했습니다. 이 사건은 지금까지 MEV 로봇에 대한 최대 공격입니다. 이 사건은 이더리움 블록 16964664에서 발생했으며, 8개의 MEV 거래가 악의적인 검증자에 의해 이용되었습니다. 이 검증자는 2023년 3월 15일에 외부 주소(EOA) 0x687A9에 의해 설립되었으며, 선점 거래를 방지하는 Flashbot에 침투하는 데 성공했습니다.

그러나 MEV-boost-relay의 한 취약점으로 인해 악의적인 검증자가 거래를 재구성할 수 있었고, MEV 로봇의 일부 중간 전략, 특히 역 거래를 가로챌 수 있었습니다. 위의 취약점으로 인해 검증자는 상세한 거래 정보를 볼 수 있었습니다. 이러한 상세한 거래 정보를 통해 악의적인 검증자는 자신의 블록을 생성하고 최초의 MEV 로봇 거래 이전에 자신의 선행 거래를 삽입할 수 있었습니다.

전반적으로 이 악의적인 검증자는 5개의 MEV 로봇으로부터 약 2,500만 달러를 훔치는 데 성공했으며, 이는 현재까지 CertiK가 발견한 MEV 로봇 손실 금액 중 가장 큰 사건 중 하나입니다. 지난 12개월 동안 6개의 MEV 로봇의 취약점만 발견되었으며, 이번 사건만으로도 총 손실 2,750만 달러의 92%를 차지합니다. 악의적인 검증자는 MEV-boost-relay의 취약점을 이용해 유효하지만 올바르게 서명된 블록을 제출하여 공격을 시작했습니다. 블록 내의 거래를 본 후, 검증자는 이를 재구성하여 MEV 로봇으로부터 자산을 요구할 수 있었습니다. 이 취약점은 이후 수정되었습니다.

MEV 로봇 및 샌드위치 공격에 대한 자세한 내용은 보고서에서 확인하세요. (문말에서 보고서 다운로드 링크 확인)

Atomic Wallet 해킹

올해 6월 초, 5,000명 이상의 Atomic Wallet 사용자가 이번 분기 최대 보안 사건을 겪었으며, 손실은 1억 달러를 초과했습니다. 처음에 Atomic Wallet은 월간 활성 사용자 중 1% 미만이 이번 사건의 피해자라고 밝혔으나, 이후 0.1% 미만으로 수정했습니다. 이와 같은 규모의 공격과 막대한 손실은 지갑 애플리케이션 내 보안 취약점의 심각성을 부각시킵니다. 공격자는 사용자 개인 키를 목표로 하여 그들의 자산에 대한 완전한 통제권을 얻었습니다. 키를 확보한 후, 그들은 자산을 자신의 지갑 주소로 이전하고 피해자의 계좌를 비울 수 있었습니다.

소액 투자자들이 보고한 손실 금액은 다양하며, 그 중 최고는 795만 달러에 달합니다. 다섯 명의 손실이 가장 큰 소액 투자자들의 누적 손실은 1,700만 달러에 이릅니다. 손실을 회복하기 위해, Atomic Wallet은 공격자에게 제안을 공개했으며, 도난당한 자금의 10%를 포기하는 대가로 90%의 도난된 토큰을 회수하겠다고 약속했습니다. 그러나 Lazarus Group의 역사적 기록과 도난당한 자금이 이미 세탁되기 시작했기 때문에, 자금을 회수할 희망은 매우 희박합니다.

Atomic Wallet 및 "배후 세력"에 대한 분석은 보고서에서 확인하세요. (문말에서 보고서 다운로드 링크 확인)

Sui "햄스터 휠" 신형 취약점

이전에 CertiK 팀은 Sui 블록체인에서 일련의 서비스 거부 취약점을 발견했습니다. 이 취약점 중 하나는 특히 심각한 영향을 미치는 신형 취약점으로 주목받고 있습니다. 이 취약점은 Sui 네트워크 노드가 새로운 거래를 처리할 수 없게 만들어, 전체 네트워크가 완전히 중단된 것과 같은 효과를 가져옵니다. CertiK는 이 중대한 보안 취약점을 발견하여 Sui로부터 50만 달러의 취약점 보상을 받았습니다. 미국의 권위 있는 미디어 CoinDesk가 이 사건을 보도한 후, 여러 주요 미디어도 관련 뉴스를 보도했습니다.

이 보안 취약점은 "햄스터 휠"로 비유되며, 독특한 공격 방식은 현재 알려진 공격과 다릅니다. 공격자는 약 100바이트의 페이로드를 제출하기만 하면 Sui 검증 노드에서 무한 루프를 발생시켜 새로운 거래에 응답하지 못하게 합니다. 또한, 공격으로 인한 피해는 네트워크 재시작 후에도 지속될 수 있으며, Sui 네트워크 내에서 자동으로 전파되어 모든 노드가 햄스터가 휠에서 끝없이 달리는 것처럼 새로운 거래를 처리할 수 없게 됩니다. 따라서 우리는 이 독특한 공격 유형을 "햄스터 휠" 공격이라고 부릅니다.

이 취약점을 발견한 후, CertiK는 Sui의 취약점 보상 프로그램을 통해 Sui에 보고했습니다. Sui는 즉시 효과적으로 대응하여 이 취약점의 심각성을 확인하고, 메인넷 시작 전에 문제를 수정하기 위한 조치를 적극적으로 취했습니다.

특정 취약점을 수정하는 것 외에도, Sui는 이 취약점이 초래할 수 있는 잠재적 피해를 줄이기 위한 예방적 완화 조치를 시행했습니다. CertiK 팀의 책임 있는 공개에 감사하기 위해, Sui는 CertiK 팀에 50만 달러의 보상을 수여했습니다.

자세한 내용은 보고서에서 텍스트 및 비디오 내용을 확인하세요. (문말에서 보고서 다운로드 링크 확인)

MPC 지갑 기반 서버 수준 취약점

다중 당사자 계산(MPC)은 여러 참가자가 자신의 입력 함수에 대해 계산을 수행하면서 이러한 입력의 프라이버시를 보호할 수 있는 암호화 방법입니다. 그 목표는 이러한 입력이 제3자와 공유되지 않도록 하는 것입니다. 이 기술은 프라이버시 보호 데이터 마이닝, 안전한 경매, 금융 서비스, 안전한 다중 당사자 기계 학습, 안전한 비밀번호 및 기밀 공유 등 다양한 응용 프로그램이 있습니다.

CertiK의 Skyfall 팀은 현재 인기 있는 다중 당사자 계산(MPC) 지갑인 ZenGo에 대한 예방적 보안 분석을 수행하는 과정에서 이 지갑의 보안 아키텍처에 "장치 분기 공격"이라는 심각한 취약점이 존재함을 발견했습니다. 공격자는 이를 이용해 ZenGo의 기존 보안 방어를 우회하여 사용자 자금을 통제할 기회를 얻을 수 있습니다. 이 공격의 핵심은 API의 취약점을 이용해 새로운 장치 키를 생성하여 ZenGo 서버를 속여 실제 사용자의 장치로 인식하게 만드는 것입니다.

책임 있는 공개 원칙에 따라, Skyfall 팀은 신속하게 ZenGo에 이 취약점을 보고했습니다. 문제의 심각성을 인식한 후, ZenGo의 보안 팀은 신속하게 수정 조치를 취했습니다. 공격 가능성을 방지하기 위해, 이 취약점은 서버의 API 레벨에서 수정되었으며, 클라이언트 코드 업데이트가 필요하지 않았습니다. 취약점 수정이 완료된 후, ZenGo는 이러한 발견을 공개적으로 인정하고 CertiK가 MPC 지갑의 보안성과 신뢰성을 강화하는 데 중요한 역할을 했음을 감사했습니다.

"다중 당사자 계산은 광범위한 전망을 가지고 있으며, Web3.0 분야에서 많은 중요한 응용 프로그램이 있습니다. 비록 MPC 기술이 단일 실패 지점의 위험을 줄이지만, MPC 솔루션의 구현은 암호화폐 지갑 설계에 새로운 복잡성을 초래할 수 있습니다. 이러한 복잡성은 새로운 보안 위험을 초래하며, 포괄적인 감사 및 모니터링 방법이 필수적임을 보여줍니다."------ 리강 교수, CertiK 최고 보안 책임자

자세한 내용은 보고서에서 텍스트 및 상세 분석을 확인하세요. (문말에서 보고서 다운로드 링크 확인)

보고서 일부 내용 전시

다운로드 방법

1. 링크를 복사하여 브라우저에 붙여넣기: http://certik-2.hubspotpagebuilder.com/2023-q2-web3-cn-0 즉시 다운로드.

2. CertiK 공식 WeChat 계정에 "2023 2분기 보고서"라고 메시지를 보내면 PDF 다운로드 링크를 받을 수 있습니다.