ChainCatcher 메시지, 보안 서비스 제공업체 Beosin이 발표한 바에 따르면, 해커가 초기 공격을 시작한 주소를 분석한 결과 Gas 비용이 바이낸스에서 발생한 것으로 나타났습니다. Beosin은 Bybit이 자오창펑과 허이에게 직접 연락하여 해커의 KYC 정보를 요청할 것을 권장합니다.

ChainCatcher 메시지, Beosin Alert가 X 플랫폼에 게시한 바에 따르면, 현재 약 2800개의 DEXX 피해자 주소가 수집되었으며, 도난 거래는 9000건 이상 발생했습니다. 일부 도난 주소의 자금에 대한 분석이 이루어졌으며, 도난 자금은 여전히 해커의 주소에 보관되어 있고 아직 전송되지 않은 것으로 확인되었습니다. 이는 동일한 해커의 소행일 가능성이 높으며, 해커가 피해자의 토큰 잔액에 따라 전송을 진행하고 가치를 기준으로 내림차순으로 정렬했을 것으로 추측됩니다.

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 및 경고에 의하면, 9월 25일 기준으로 2024년 Q3 Web3 분야에서 해커 공격, 피싱 사기 및 프로젝트 측 Rug Pull로 인한 총 손실이 7.3억 달러에 달했습니다. 이 중 주요 공격 사건은 23건으로, 총 손실 금액은 약 4.3억 달러; 프로젝트 측 Rug Pull 사건은 3건으로, 총 손실은 약 424만 달러; 피싱 사기의 총 손실 금액은 약 2.95억 달러입니다.공격받은 프로젝트 유형을 살펴보면, 손실이 가장 큰 프로젝트 유형은 CEX로, CEX를 대상으로 한 3건의 공격이 약 2.97억 달러의 손실을 초래했으며, 이는 모든 공격 손실 금액의 약 40.6%를 차지합니다.각 체인별 손실 금액을 보면, Ethereum이 여전히 손실 금액이 가장 높고 공격 사건이 가장 많은 체인입니다. Ethereum에서 발생한 21건의 공격 및 피싱 사건은 3.48억 달러의 손실을 초래했으며, 이는 총 손실의 약 47.6%를 차지합니다.공격 수법을 살펴보면, Q3 동안 총 5건의 개인 키 유출 사건이 발생하여 손실이 3.05억 달러에 달했으며, 이는 총 공격 손실 금액의 약 41.7%로 가장 높은 비율을 차지하는 공격 유형입니다.자금 흐름을 보면, 약 1690만 달러의 도난 자금만이 동결되거나 회수되었습니다. 대다수(약 78.9%)의 도난 자금은 여전히 공격자의 체인 주소에 저장되어 있습니다.2023년 동기 대비, 2024년 Q3 해커 공격, 피싱 사기, 프로젝트 측 Rug Pull로 인한 총 손실은 약간 감소하여 7.3억 달러에 달했습니다(2023년 Q3 이 숫자는 8.89억 달러였습니다). 2024년 Q3의 암호화폐 가격 하락 등의 요인이 총 금액 감소에 일정한 영향을 미쳤지만, 전반적으로 Web3 보안 분야의 상황은 여전히 낙관적이지 않습니다. Q3의 20건 이상의 공격 사건 중 여전히 18건이 계약 취약점 악용에서 발생했으며, 프로젝트 측은 출시 전에 전문 보안 회사에 감사를 요청할 것을 권장합니다.

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 결과 Bedrock 프로젝트 계약의 취약점이 공격을 받아 약 170만 달러의 자산이 도난당했습니다.분석에 따르면, 이번 공격의 근본 원인은 프로젝트의 mint 함수가 사용자가 담보로 제공한 ETH를 동일한 수량의 uniBTC로 발행하기 때문입니다. 두 자산 간의 가격 차이를 고려하지 않았습니다. 공격자는 모든 토큰을 ETH로 교환했습니다.

ChainCatcher 메시지에 따르면 Beosin Alert 모니터링 결과, Indodax 거래소가 해킹당했으며 해커는 약 1,700만 달러의 암호 자산을 획득했습니다.해킹 수법: 공격자는 알 수 없는 방법으로 Indodax 거래소의 핫 월렛 접근 권한을 획득하였고, 해당 권한을 이용하여 이더리움, Polygon, Optimism 체인에서 대량의 자산을 여러 주소로 전송하였으며, 그 중 대부분의 자산은 이더리움 체인에서 ETH로 교환되었습니다.영향을 받은 블록체인: 이더리움, Polygon, Optimism

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 결과 Pendle에 구축된 DeFi 프로토콜 Penpie가 해킹당해 약 2700만 달러의 암호 자산이 도난당했습니다. Beosin은 이번 사건에 대해 다음과 같이 간략히 분석했습니다:공격자는 market 계약의 claimRewards 함수의 재진입을 이용하여 staking 계약 잔액을 증가시키고, 이후 taking 계약의 여분의 토큰과 스테이킹 자산을 인출하여 이익을 얻었습니다.공격자는 먼저 공격 계약을 생성하고, 공식 factory를 통해 해당 market 계약을 구축합니다.staking 계약의 batchHarvestMarketRewards 함수를 호출하여 해당 market의 보상을 업데이트합니다.보상을 업데이트할 때 공격 계약의 claimRewards 함수가 콜백되어, 이 함수가 재진입하여 플래시 론으로 얻은 자산을 스테이킹하게 되어 staking 계약의 자산 수량 차이가 발생하고, 여분의 자산을 인출합니다.공격자는 스테이킹한 자산을 인출하고 플래시 론을 상환하여 이익을 얻습니다.

ChainCatcher 메시지에 따르면, 블록체인 보안 감사 회사 Beosin Alert의 모니터링 결과, Ronin Bridge 프로젝트에서 이상한 크로스 체인 자산 인출 행동이 발생했습니다. Beosin 보안 팀의 분석에 따르면, 이번 이상 행동의 근본 원인은 프로젝트 측이 계약을 업그레이드할 때 크로스 체인 거래 확인에 필요한 operator 가중치를 정상적으로 초기화하지 않아 계약 내 minimumVoteWeight 매개변수가 0이 되어, 누구의 서명도 크로스 체인 검증을 통과할 수 있게 된 것입니다.현재 Ronin bridge는 3,996 ETH가 유출되었으며, 자금은 0xc6a로 시작하는 주소에 보관되고 있습니다 (이 주소는 MEV 봇으로, 화이트 해커의 행동일 가능성이 있습니다). Beosin은 현재 프로젝트 측과 협력하여 이번 사건을 처리하고 있습니다.

ChainCatcher 메시지에 따르면, 블록체인 보안 감사 회사 Beosin Alert의 모니터링 결과, 2024년 7월 다양한 보안 사건으로 인한 손실 금액이 6월에 비해 크게 증가했습니다. 2024년 7월에는 전형적인 보안 사건이 20건 이상 발생했으며, 해커 공격, 피싱 사기 및 Rug Pull로 인한 총 손실 금액은 2.86억 달러에 달하며, 6월에 비해 약 56.3% 증가했습니다.그중 공격 사건은 약 2.71억 달러로, 약 92.2% 증가했습니다; 피싱 사기 사건은 약 1210만 달러로, 약 67.6% 감소했습니다; Rug Pull 사건은 약 358만 달러로, 약 13.1% 감소했습니다.7월 해커 공격의 최대 사건은 인도 거래소 WazirX에서 발생했으며, 손실은 약 2.3억 달러로, 당월 공격 사건 금액의 85%를 차지했습니다. 두 번째로 큰 공격 사건은 LI.FI의 계약 취약점으로 인한 약 1160만 달러의 손실입니다. 이번 달에도 백만 달러를 초과하는 피싱 사기 및 rug pull 사건이 여러 건 발생했으며, 사용자들은 여전히 경계를 강화해야 합니다.

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 경고에서 Terra 체인이 긴급 업그레이드로 인해 중단되었다고 합니다. 누군가 IBC 취약점을 이용하여 Terra 체인에서 여러 개의 토큰을 발행한 것으로 보이며, 그 중에는 ASTRO가 포함되어 있습니다.Beosin 보안 팀의 분석에 따르면 공격자는 Terra에서 계약을 인스턴스화한 후, ibc-hooks의 타임아웃 콜백의 재진입 취약점을 이용하여 약 6000만 개의 ASTRO, 350만 개의 USDC, 50만 개의 USDT 및 2.7개의 BTC를 이전했으며, 총 가치는 약 528만 달러에 달합니다.이 취약점은 올해 4월에 이미 공개되었으며, cosmos 기본 라이브러리의 취약점에 해당하지만 Terra는 이를 수정하지 않았습니다.

ChainCatcher 메시지에 따르면 Beosin Alert 모니터링 경고에서 인도 거래소 wazirx가 공격을 받았으며, 공격자는 거래소 다중 서명 지갑 관리자의 서명 데이터를 획득하여 지갑의 논리 계약을 수정하고 잘못된 논리를 실행하여 자산을 도난당했습니다.공격자 주소: 0x6eedf92fb92dd68a270c3205e96dccc527728066피해 주소: 0x27fd43babfbe83a81d14665b1a6fb8030a60c9b4공격자의 공격 행동을 기반으로, 다중 서명 지갑 관리자의 개인 키 유출이 원인으로 추측되며, Beosin은 공격 원인을 간략히 분석했습니다:공격자가 공격 계약을 배포했습니다: 0x27fd43babfbe83a81d14665b1a6fb8030a60c9b4. 해당 계약의 기능은 본 계약에서 지정한 토큰 자산을 인출하는 것입니다.공격자는 wazirx 다중 서명 지갑 관리자의 서명 데이터를 획득하여 지갑의 논리 계약을 이미 배포된 공격 계약으로 수정했습니다. 해당 거래는:https://etherscan.io/tx/0x48164d3adbab78c2cb9876f6e17f88e321097fcd14cadd57556866e4ef3e185d공격자는 wazirx 다중 서명 지갑에 토큰 인출 거래를 제출했습니다. 대리자 모드의 메커니즘으로 인해 지갑 계약은 delegatecall을 사용하여 공격 계약의 관련 함수를 호출하고 지갑의 토큰을 전송합니다.도난당한 자금 일부의 흐름도입니다. 현재로서는 해커가 일부 자금을 Changenow 및 Binance 거래소로 이전한 것으로 보입니다.

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 경고에서 크로스 체인 프로토콜 LI.FI가 공격을 받았다고 합니다. 주로 공격자는 프로젝트 계약의 call 주입을 이용하여 계약에 권한을 부여한 사용자 자산을 이동시켰습니다. Beosin Trace는 도난당한 자금을 추적한 결과, 손실 금액은 633.59만 USDT, 319.19만 USDC, 16.95만 DAI로 약 1000만 달러에 해당합니다.공격은 ETH 및 Arbitrum 두 체인에서 발생했으며, 현재 대부분의 자금은 ETH로 전환되었고 새로운 동향은 없습니다. Beosin은 해커 관련 주소를 KYT 블랙리스트에 추가했으며, 향후 지속적으로 추적 및 관심을 유지할 것입니다.

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 경고에서 크로스 체인 프로토콜 LI.FI가 공격을 받았다고 합니다. Beosin 보안 팀은 공격자가 프로젝트 계약의 call 주입을 이용하여 계약에 권한을 부여한 사용자의 자산을 이동시킨 취약점을 발견했습니다. LI.FI 프로젝트 계약에는 지정된 토큰을 플랫폼 토큰으로 교환하고 GasZip 계약에 예치할 수 있는 depositToGasZipERC20 함수가 존재하지만, 교환 로직의 코드에서 call 호출 데이터에 대한 제한이 없어 공격자가 이 함수를 이용해 call 주입 공격을 수행하고 계약에 권한을 부여한 사용자의 자산을 추출할 수 있게 되었습니다.공격자 주소: 0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3피해 계약: 0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaE현재까지 손실 금액은 633.59만 USDT, 319.19만 USDC, 16.95만 DAI로, 약 1000만 달러에 해당합니다.Beosin Trace는 도난당한 자금을 추적하고 있습니다.

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 및 경고에 의하면 2024년 상반기 Web3 분야에서 해킹 공격, 피싱 사기 및 프로젝트 측 Rug Pull로 인한 총 손실이 15.4억 달러에 달했습니다. 이 중 주요 공격 사건은 78건이며, 43건은 계약 취약점 이용으로 발생하여 총 손실 금액은 약 11.93억 달러입니다; 프로젝트 측 Rug Pull 사건은 64건으로 총 손실은 약 1.19억 달러; 피싱 사기로 인한 총 손실 금액은 약 2.32억 달러입니다.2024년 상반기에는 손실 금액이 1억 달러를 초과하는 안전 사건이 3건 발생했습니다. 5월의 총 손실 금액은 4.5억 달러에 달해 2024년 상반기 손실 금액이 가장 높은 달이었습니다.공격받은 프로젝트 유형을 보면, 손실이 가장 큰 프로젝트 유형은 CEX로, CEX를 대상으로 한 4회의 공격이 약 3.92억 달러의 손실을 초래하여 모든 공격 손실 금액의 32.8%를 차지합니다.각 체인별 손실 금액을 보면, Ethereum이 여전히 손실 금액이 가장 크고 공격 사건이 가장 많은 체인입니다. 32회의 Ethereum에서의 공격 사건이 4.7억 달러의 손실을 초래하여 총 손실의 39.4%를 차지합니다.공격 수법을 보면, 상반기에는 총 22회의 개인 키 유출 사건이 발생하여 손실이 8.94억 달러에 달하며, 이는 총 공격 손실 금액의 약 75%를 차지하여 비율이 가장 높은 공격 유형입니다.자금 흐름을 보면, 약 4.7억 달러(39.3%)의 도난 자금이 동결되거나 회수되었습니다. 이 비율은 2023년에 비해 상당히 증가했습니다.

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 결과 DMM Bitcoin 해커가 6월 12일에 500 BTC(약 3,400만 달러)를 두 개의 새로운 주소로 전송했습니다: 300 BTC는 bc1qc6로 시작하는 주소로, 200 BTC는 bc1qln으로 시작하는 주소로 전송되었습니다.

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 결과, 일본 암호화 거래 플랫폼 DMM Bitcoin에서 도난당한 4502.9 BTC(약 3.059억 달러)가 1B6rJRfjTXwEy36SCs5zofGMmdv2kdZw7P 주소로 전송된 후 현재 10개의 주소로 분배되었습니다.

ChainCatcher 메시지에 따르면, 블록체인 보안 감사 회사 Beosin Alert의 모니터링 결과 2024년 5월 각종 보안 사건의 손실 금액이 4월에 비해 증가했습니다. 2024년 5월에는 27건 이상의 전형적인 보안 사건이 발생했으며, 해킹 공격, 피싱 사기 및 Rug Pull로 인한 총 손실 금액은 1억 5400만 달러에 달하며, 4월에 비해 약 52.5% 증가했습니다. 이 중 공격 사건은 약 5451만 달러로 약 3.7% 증가했으며, 피싱 사기 사건은 약 9740만 달러로 약 754% 증가했습니다. Rug Pull 사건은 약 204만 달러로 약 94.5% 감소했습니다.이번 달에는 손실이 천만 달러를 초과하는 해킹 공격 사건이 2건 발생했습니다: 게임 플랫폼 Gala Games는 개인 키 유출로 2250만 달러를 잃었고, Sonne Finance는 계약 취약점으로 2000만 달러를 잃었습니다. 이번 달 피싱 사기 사건이 대폭 증가하여 손실 금액이 백만 달러를 초과하는 여러 건의 피싱 사건이 발생했으며, 그 중 7200만 달러의 손실을 초래한 주소 중독 사기도 포함되어 있습니다. 이번 달 암호화 범죄 사건이 지속적으로 증가하고 있으며, 여러 건의 범죄에서 관련 금액이 1억 달러를 초과했습니다.

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 경고에서 OP 체인上的 Sonne Finance 프로토콜이 해커의 플래시 론 공격을 받았으며, 공격자는 여러 차례에 걸쳐 공격을 감행하여 약 2000만 달러의 손실을 초래했습니다.Beosin 보안 팀의 분석에 따르면 공격자는 플래시 론을 통해 VELO Token을 차입하고, 이를 soVELO 계약으로 전송한 후 여러 번 새로운 계약을 생성하여 Sonne Finance 프로토콜의 다양한 토큰을 차입하고 VELO Token을 상환하는 방식으로 반복적으로 작업하여 모든 자금을 탈취했습니다.현재 공격자는 자금을 주로 다음 주소에 보관하고 있습니다:0x02FA2625825917E9b1F8346a465dE1bBC150C5B90x5D0D99e9886581ff8fCB01F35804317f5eD80BBb0xae4A7cDe7C99fb98B0D5fA414aa40F0300531F43Beosin Trace는 도난당한 자금의 동향을 계속 모니터링할 것입니다.

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 및 경고에 의하면 2024년 1분기 Web3 분야에서 해커 공격, 피싱 사기 및 프로젝트 측의 Rug Pull로 인한 총 손실이 7.78억 달러에 달했습니다. 이 중 주요 공격 사건은 39건으로, 총 손실 금액은 약 6.17억 달러; 프로젝트 측의 Rug Pull 사건은 43건으로, 총 손실은 약 7550만 달러; 피싱 사기의 총 손실 금액은 약 8624만 달러입니다.2024년 1분기 총 손실은 약 7.78억 달러로, 전년 동기 대비 약 126% 증가했으며, 전분기 대비 약 72% 증가했습니다. 이 중 해커 공격 사건의 손실 금액은 2023년의 어떤 분기보다도 높습니다. 2월의 총 손실 금액은 4.22억 달러로, 2024년 1분기 손실 금액이 가장 높은 달이었습니다.공격받은 프로젝트 유형을 보면, 게임 플랫폼이 처음으로 손실 금액이 가장 높은 프로젝트 유형이 되었습니다. Web3 게임 플랫폼에 대한 6회의 공격은 총 3.65억 달러의 손실을 초래했으며, 이는 모든 공격 손실 금액의 59%를 차지합니다. 각 체인별 손실 금액을 보면, Ethereum이 여전히 손실 금액이 가장 높고 공격 사건이 가장 많은 체인입니다. 18회의 Ethereum에서의 공격 사건은 3.42억 달러의 손실을 초래하여 총 손실의 55.4%를 차지합니다.공격 수법을 보면, 이번 분기에는 총 13회의 개인 키 유출 사건이 발생하여 4.58억 달러의 손실을 초래했으며, 이는 총 공격 손실 금액의 74.3%를 차지하여 비율이 가장 높은 공격 유형입니다. Beosin KYT 반자금세탁 분석 플랫폼의 모니터링에 따르면, 자금 흐름 측면에서 이번 분기 대부분의 도난 자산이 동결 및 회수되었습니다. 약 3.03억 달러(49.2%)의 도난 자금이 동결되었고, 7945만 달러(12.9%)의 도난 자금이 회수되었습니다. 감사 상황을 보면, 공격받은 프로젝트 중 감사받은 프로젝트의 비율이 증가했습니다.

ChainCatcher 메시지에 따르면 블록체인 보안 감사 회사 Beosin의 KYT 자금 세탁 방지 분석 플랫폼 모니터링 결과, 2024년 2월 각종 보안 사건의 손실 금액이 1월에 비해 크게 증가했습니다. 2024년 2월에는 전형적인 보안 사건이 19건 이상 발생했으며, 해킹 공격, 피싱 사기 및 Rug Pull로 인한 총 손실 금액은 4억 2200만 달러에 달하며, 1월에 비해 약 102% 증가했습니다. 이 중 공격 사건은 약 3억 4700만 달러로 약 110% 증가했으며; 피싱 사기 사건은 약 1608만 달러로 약 52% 감소했습니다; Rug Pull 사건은 약 5938만 달러로 약 440% 증가했습니다.2월 최대 공격 사건은 암호화 게임 플랫폼 PlayDapp이 개인 키 유출로 인해 공격을 받아 2억 9000만 달러의 손실을 입은 사건으로, 올해 들어 가장 큰 손실을 기록한 보안 사건입니다. 그 외에도 천만 달러 이상의 사건으로는 중앙화 거래소 FixedFloat가 공격을 받아 2610만 달러의 손실을 입었고; Axie Infinity 공동 창립자 Jihoz.ron의 개인 주소가 개인 키 유출로 인해 약 1000만 달러의 손실을 입었습니다. 또한, 홍콩 거래소 Bitforex에서 의심되는 Rug Pull 사건이 발생하여 핫 월렛에서 5650만 달러가 비정상적으로 유출되었습니다.

ChainCatcher 메시지에 따르면, Beosin KYT 반자금세탁 분석 플랫폼에서 Ronin 체인 상의 0x121ad060686848b196df8ca5c5e24722efe57115, jihoz.ron (0xa09a9b6f90ab23fcdcd6c3d087c1dfb65dddfb05) 주소가 개인 키 유출 의심을 받고 있으며, 여러 종류의 토큰이 0x39f817976c51a91b60145febad81067e69713105 주소로 전송된 후 ETH로 교환되어 이더리움으로 크로스 체인되었고, 이후 Tornado.cash로 직접 유입되었습니다.