8월 안전 월보｜피싱 사기가 2.9억 달러를 휘젓다, 블록체인 보안 공격과 방어의 비밀

저자: 오커클라우드체인

8월 전체 네트워크 체인 상의 보안 사건으로 인해 누적 손실이 약 3.16억 달러에 달하며, 전월 대비 9.3% 증가했습니다.

피싱 사기 사건으로 인한 손실은 총 손실의 93.37%를 차지하며, 손실액은 2.96억 달러를 초과합니다. 피싱 트윗에는 함정이 숨어 있으므로, 검증되지 않은 링크는 클릭하지 마세요. 사용자는 Web3 체인 상의 도구를 활용하여 위험을 회피하고, 자신의 안전한 작업 프로세스를 구축하여 엄격히 준수해야 하며, 자금의 안전을 보장해야 합니다. 비디오를 클릭하여 사기 방지 팁을 확인하세요.

REKT 사건의 손실 비율은 5.97%로, 총 손실액은 약 1,893만 달러입니다. RugPull 사건의 손실 비율은 0.19%로, 총 손실액은 약 59만 달러입니다.

최대 보안 사건 - 피싱 사기

8월 19일, 4,064 BTC가 관련된 의심스러운 이체가 발생하였으며, 이는 약 2.38억 달러에 해당합니다. 이후 해당 자금은 ThorChain, eXch 등 여러 계좌로 신속하게 이체되었습니다.

8월 27일 기준으로, 20.5만 달러가 회수되었습니다.

최대 보안 사건 - 개인 키 유출

8월 7일, Nexera는 계약 관리 증명이 악성 소프트웨어에 의해 획득되어 4,720만 NXRA 토큰이 도난당하였으며, 손실액은 약 150만 달러입니다.

최대 보안 사건 -REKT

8월 6일, 게임 블록체인 Ronin은 브릿지 구현 계약 업그레이드 후 올바르게 초기화되지 않아 공격을 받았으며, 공격자는 브릿지에서 약 4,000 ETH와 200만 USDC를 인출하였고, 이는 약 1,200만 달러에 해당합니다.

8월 7일 기준으로, 화이트 해커는 1,200만 달러의 자산을 반환하였고, 프로젝트 측으로부터 추가로 50만 달러의 버그 바운티를 받았습니다.

최대 보안 사건 -RugPull

8월 16일, Solana에서 SIGMA가 RugPull을 당하였으며, 배포자는 자신의 토큰을 판매하여 2,381.6 SOL을 얻었고, 손실액은 약 33만 달러입니다.

사례 분석

8월 6일, 게임 블록체인 Ronin이 공격을 받은 것으로 보이며, 공격자는 브릿지에서 약 4,000 ETH와 200만 USDC를 인출하였고, 이는 약 1,200만 달러에 해당합니다.

프로세스 분석:

1) Ronin 팀은 Axie Infinity: Ronin Bridge V2 계약을 잘못 업그레이드하여, 계약의 구현을 MainchainGatewayV3(구)에서 MainchainGatewayV3(신)으로 업그레이드하고, MainchainGatewayV3(신)의 initializeV4 메서드를 호출하여 초기화했습니다;

2) 공격자는 MainchainGatewayV3(신)의 _totalOperatorWeight가 초기화되지 않아 현재 0인 것을 발견하고, 자금을 인출할 때 서명 검증을 우회할 수 있었습니다. 공격자는 임의의 서명 데이터를 입력하여 3,996.09375 ETH를 직접 인출했습니다;

3) 두 번째 공격 거래에서, 공격자는 임의의 서명을 입력하여 1,998,046 USDC를 직접 인출했습니다;

4) 공격자는 Uniswap을 통해 1,998,046 USDC를 796 WETH로 교환했습니다.

OKLink 팁

8월에는 피싱 사기 사건으로 인해 막대한 손실이 발생했습니다. OKLink는 여러분에게 개인 키나 니모닉을 누구에게도 공개하지 말 것을 상기시킵니다. 지갑을 연결하기 전에 신중하게 생각하고, 권한 부여 전에 OKLink 토큰 권한 관리 도구를 사용하여 미리 예방하고, 계약 위험을 통제하며, 다중 보장을 확보하세요.