2월 Web3 보안 사건 정리: 총 손실 4.04억 달러

작성자: 느린 안개 보안 팀

개요

느린 안개 블록체인 해킹 아카이브 (https://hacked.slowmist.io)에 따르면, 2024년 2월에는 총 28건의 보안 사건이 발생했으며, 총 손실액은 약 4.04억 달러에 달합니다. 사건의 원인은 계약 취약점, DDoS 공격, 플래시 론 공격, 개인 키 유출 및 계정 도용 등이 포함됩니다.

주요 사건

Phantom

2024년 2월 2일, 암호화폐 지갑 Phantom은 DDoS 공격을 받았다고 발표하며, 누군가 시스템을 과부하시키려 했고 일부 서비스가 일시 중단될 수 있다고 경고했습니다. 그러나 사용자 자산은 안전하다고 밝혔습니다. 이후 Phantom은 트위터에 모든 서비스가 정상적으로 복구되었다고 알렸습니다.

(https://twitter.com/phantom/status/1753100432145318116)

Starlay Finance

2024년 2월 8일, Polkadot 생태계의 대출 프로토콜 Starlay Finance가 공격을 받아 약 210만 달러의 손실을 입었습니다. 2월 9일, Starlay Finance는 초기 분석 결과 이번 공격이 유동성 지수 계산 오류를 이용한 것이라고 발표하며, 무단 인출이 발생했다고 밝혔습니다.

(https://twitter.com/starlay_fi/status/1755856271184654360)

PlayDapp

2024년 2월 10일, 블록체인 게임 플랫폼 PlayDapp이 공격을 받았으며, 해커의 주소가 발행자로 추가되어 2억 개의 PLA 토큰(약 3650만 달러)이 발행되었습니다. 사건 발생 직후 PlayDapp은 체인 상 거래를 통해 해커에게 메시지를 보내 도난당한 자금을 반환하고 100만 달러의 화이트 해커 보상을 제공하겠다고 요청했지만, 최종 협상은 실패했습니다. 2월 12일, PlayDapp은 두 번째 공격을 받아 해커가 15.9억 개의 PLA 토큰(약 2.539억 달러)을 추가로 발행하고 암호화폐 거래소를 통해 자금을 이동하기 시작했습니다. 통계에 따르면, 해커의 공격으로 약 2.9억 달러의 손실이 발생했습니다.

(https://twitter.com/playdapp_io/status/1756060784692736038)

Duelbits

2024년 2월 14일, 암호화폐 도박 플랫폼 Duelbits의 핫 월렛이 공격을 받아 약 460만 달러의 손실이 발생했으며, 도난의 원인은 개인 키 유출로 의심되고 있습니다.

(https://twitter.com/Duelbits/status/1758159495807541459)

FixedFloat

2024년 2월 17일, 체인 상 데이터에 따르면 암호화폐 거래 플랫폼 FixedFloat이 공격을 받아 약 2610만 달러의 비트코인과 이더리움을 잃었습니다. FixedFloat은 이번 공격 사건에 대해 해명하며, 이번 해킹 공격은 보안 구조의 취약점을 이용한 외부 공격으로, 직원에 의해 발생한 것이 아니며, 사용자 자금은 "외부 공격"의 영향을 받지 않았다고 밝혔습니다. 2월 18일, FixedFloat은 트위터에 "해킹 공격과 자금 도난이 실제로 발생했음을 확인했습니다. 우리는 이 사건에 대해 공개적으로 논평할 준비가 되어 있지 않으며, 모든 잠재적 취약점을 제거하고 보안을 강화하며 조사를 진행하고 있습니다. FixedFloat의 서비스는 곧 복구될 것이며, 이 사건에 대한 자세한 정보는 나중에 제공될 것입니다."라고 밝혔습니다.

(https://twitter.com/FixedFloat/status/1759216185185288653?s=20)

Blueberry Protocol

2024년 2월 22일, DeFi 대출 프로토콜 Blueberry Protocol이 공격을 받아 약 457.7 ETH(약 135만 달러)의 손실을 입었습니다. 이 공격은 화이트 해커 c0ffeebabe.eth에 의해 차단되었으며, 366 ETH가 Blueberry Protocol에 반환되었습니다. Blueberry Protocol의 사건 분석 보고서에 따르면, 이번 공격은 오라클 배포 오류로 인해 발생했습니다.

(https://medium.com/@blueberryprotocol/2-22-24-exploit-post-mortem-6f6be7c1dcc3)

BitForex

2024년 2월 23일, 홍콩에 본사를 둔 BitForex 암호화폐 거래 플랫폼이 의심스러운 자금 유출이 발생한 후 플랫폼 접근을 차단했습니다. 체인 상 탐정 ZachXBT는 이 거래소의 출금 이상을 처음으로 주목하며, 해당 거래 플랫폼이 출금 처리를 중단했으며 고객에게 응답하지 않았다고 지적했습니다. 이 회사는 2023년 중반 일본에서 무허가 운영으로 인해 규제 조사를 받았으며, 거래량을 과장한 혐의를 받고 있습니다. CEO는 1월에 사임했으며, 새로운 팀이 인수할 것이라고 약속했습니다.

(https://twitter.com/zachxbt/status/1762028433574650347)

Jihoz

2024년 2월 23일, Axie Infinity 공동 창립자 Jihoz는 트위터에 개인의 두 주소가 유출되었다고 발표했습니다. 이번 공격의 범위는 그의 개인 계정에 국한되며, Ronin 체인의 검증 또는 운영과는 무관하다고 밝혔습니다. 또한 유출된 키는 Sky Mavis의 운영과 관련이 없다고 강조했습니다. 그는 모든 체인 관련 활동에 대해 엄격한 보안 조치를 취하고 있다고 보장했습니다. 통계에 따르면, 이번 공격으로 약 1000만 달러의 손실이 발생했습니다.

(https://twitter.com/Jihoz_Axie/status/1760845078757511562)

Seneca

2024년 2월 28일, 전 체인 CDP 프로토콜 Seneca가 계약 취약점으로 인해 해킹을 당했습니다. 해커는 구성된 calldata 매개변수를 이용해 transferfrom을 호출하여 해당 프로젝트 계약에 권한이 부여된 토큰을 자신의 주소로 전송한 후, 이를 ETH로 교환했습니다. Seneca는 해커에게 1900개 이상의 ETH를 도난당했으며, 이는 약 650만 달러에 해당합니다. 2월 29일, Seneca 해커는 1537개의 ETH(약 530만 달러)를 Seneca 배포자 주소로 반환했습니다.

(https://twitter.com/SlowMist_Team/status/1762865505042645010)

Shido Network

2024년 2월 29일, 이더리움 체인에서 탈중앙화된 크로스 체인 프로토콜 Shido Network가 의심스러운 상황에 처했습니다. SHIDO 토큰 스테이킹 계약의 소유자가 먼저 스테이킹 계약을 업그레이드한 후 대량의 SHIDO를 인출하고, 마지막으로 692개의 ETH(약 210만 달러)의 가격으로 대량의 SHIDO를 매각했습니다.

요약

이번 달 28건의 주요 보안 사건 중 2개 프로젝트(Blueberry Protocol 및 Seneca)가 총 약 638만 달러의 도난 자금을 회수했습니다. 이번 달 3건의 개인 키 유출 사건의 손실은 약 3.04억 달러에 달하며, 이는 이번 달 보안 사건 총 손실의 75%에 해당합니다. 느린 안개 보안 팀은 사용자와 프로젝트 측에 개인 키 보호 조치를 강화할 것을 권장하며, 예를 들어 하드웨어 지갑, 오프라인 저장 등의 방법을 통해 개인 키의 안전성을 높일 것을 권장합니다. 이번 달 4건의 계약 취약점 이용 사건으로 약 725만 달러의 손실이 발생했으며, 느린 안개 보안 팀은 프로젝트 측에 항상 경계를 유지하고 정기적으로 보안 감사를 실시하며 새로운 보안 위협과 취약점을 추적하고 해결하여 프로젝트와 자산의 안전을 최대한 보장할 것을 권장합니다. 마지막으로, 본 문서에 수록된 사건은 이번 달 주요 보안 사건이며, 개인 사용자의 도난 사건은 통계에 포함되지 않았습니다.