SlowMist: 블록체인 보안에 대한 리뷰

이 기사는 Coinlive 및 SlowMist의 원본 Web3 연간 리뷰입니다. 콘텐츠를 복제하려는 경우 출처를 인용하십시오.

해킹 사건 수에 대한 SlowMist Hacked의 아카이브 저장소에 따르면 2022년에 총 295건의 보안 사고가 발생했으며 최대 37억 2800만 달러의 손실이 발생했습니다. 2021년 97억9500만 달러와 비교하면 62% 감소한 것이다. 다만, 시장의 혼란으로 인한 손실자산은 제외한다.

다양한 DeFi 생태계, 교차 체인 브리지 및 NFT에는 최소 245개의 보안 사고가 있습니다. 그 외에도 거래소, 퍼블릭 블록체인, 지갑 등과 관련된 각각 10개, 11개, 5개 및 24개 이상의 보안 사고가 있습니다.

시간적으로 보면 공격은 5월과 10월에 가장 자주 발생하며 최대 38건에 이릅니다. 3월에는 약 7억 달러의 손실이 가장 많이 발생합니다.

1) 블록체인 생태계 보안 개요

퍼블릭 블록체인

퍼블릭 블록체인은 Web3 분야에서 가장 기본적인 인프라이자 업계에서 가장 경쟁력 있는 인프라 중 하나입니다. 2022년 가장 놀라운 사건은 다름 아닌 테라 사건이다. 2022년 5월 8일, 암호화폐 시장은 역사상 가장 파괴적인 붕괴를 보였습니다. 2억 8,500만 달러에 달하는 테라 네트워크의 알고리즘 스테이블 코인인 UST가 엄청난 양의 덤프가 발생했습니다. 이것은 일련의 연쇄 반응을 촉발시켰고, Terra의 고유 토큰인 LUNA의 가격은 예고 없이 갑작스러운 유성 충돌을 경험했습니다. 단 하루 만에 LUNA의 시장 가치는 거의 400억 달러로 떨어졌고 TVL 생태계는 거의 전무 상태가 되었습니다. 이 사건은 2022년 암호화폐 겨울의 방아쇠가 되었을 수 있습니다.

DeFi/크로스 체인 브리지

DeFi Llama의 통계에 따르면 12월 말까지 DeFi의 총 가치는 미화 398억 달러입니다. 이는 전년 대비 75% 감소한 수치다. 이더리움이 DeFi TVL의 58.5%(233억 달러)를 차지하며 선두를 달리고 있습니다. TRON은 미화 43억 달러의 TVL로 그 뒤를 바짝 추격하고 있으며, BNB(BNB Chain)는 미화 42억 달러를 차지합니다. 흥미롭게도 2022년 5월 DeFi에서 이더리움 TVL의 비율은 35% 감소한 반면 TRON의 TVL 비율은 47% 증가했습니다.

SlowMist Hacked의 통계에 따르면 2022년 BNBChain에서 발생한 보안 사고는 최소 90건입니다. 총 손실액은 약 7억 8,500만 달러로, 개별 플랫폼에서의 손실액 중 1위를 차지했습니다. 반대로 이더리움에서는 50건 이상의 보안 사고가 발생했으며 총 손실액은 미화 5억 2,800만 달러에 이릅니다. 약 11건의 보안 사고가 발생하여 총 1억 9,600만 달러의 손실을 입은 Solana도 있습니다.

듄 애널리틱스의 통계에 따르면 이더리움 크로스체인 브릿지의 TVL은 83억 9000만 달러로 상반기 대비 31% 감소했다. 현재 Polygon Bridges는 가장 높은 TVL(미화 30억 달러)을 보유하고 있습니다. 2위는 Arbitrum Bridges(12억 8천만 달러), Optimism Bridges(8억 5천만 달러)입니다. 교차 체인 브리지를 통해 사용자는 암호화 자산을 한 체인에서 다른 체인으로 이동할 수 있으며 주로 다중 체인 확장 문제를 해결할 수 있습니다. 그러나 크로스체인 브릿지의 스마트 컨트랙트는 자금이 많고 보안 감사가 부족하여 해커들의 주목을 받고 있습니다.

SlowMist Hacked의 통계에 따르면 2022년 크로스 체인 브리지의 보안 사고는 15건입니다. 손실액은 12억1000만 달러로 2022년 전체 손실의 32.45%를 차지한다.

결론적으로, 프로젝트의 경우 취약성을 제거하고 보안 위험을 최대한 줄이려면 이를 위해 효과적으로 작업해야 합니다. 즉, 프로젝트가 실행되기 전에 종합적이고 심층적인 보안 감사를 수행해야 합니다. 동시에 프로젝트는 다중 서명 메커니즘을 통해 자산 보호를 강화하는 것이 좋습니다. 프로토콜 간에 상호 작용하거나 코드를 포팅할 때 프로젝트는 포팅된 계약의 프레임워크와 자체 프로젝트 프레임워크의 디자인을 충분히 이해해야 합니다. 두 프로토콜이 호환되면 금전적 손실을 초래하는 상황의 발생을 방지하기에 충분합니다. 사용자 입장에서는 블록체인을 가지고 노는 방법이 다양해짐에 따라 사용자는 투자를 진행하기 전에 프로젝트의 배경을 잘 이해해야 합니다. 프로젝트에 참여하기 전에 경계하고 프로젝트의 위험을 기록하고 프로젝트가 오픈 소스이고 감사를 받는지 확인하십시오.

NFT

2022년 NFT의 성과는 매우 눈길을 끈다. NFTScan의 통계에 따르면 올해 이더리움 NFT의 총 거래 건수는 무려 1억 9,800만 건에 이릅니다. 이는 2020년과 2021년의 데이터보다 분명히 더 높습니다. BNBChain의 NFT 거래 건수는 1년에 3억 4,500만 건에 이르며 Polygon의 NFT 거래 건수는 7,930억 건입니다.

반면 SlowMist Hacked의 불완전한 통계에 따르면 NFT 측면에서 56건의 보안 사고가 발생했습니다. 피해 금액은 6억 5,430만 달러를 넘어섰고, 피해액의 40%(22건)를 차지하는 피싱 공격이 대부분을 차지했다. 둘째, 러그풀은 12건에서 21%를 차지한다.

지갑/거래소

2월 8일, 미국 법무부(DOJ)는 36억 달러 상당의 비트코인을 회수했다고 발표했습니다. 이 비트코인은 2016년 암호화폐 거래소 비트파이넥스(Bitfinex)에 발생한 해커 사건과 관련이 있다. 34세의 Ilya Lichtenstein과 그의 아내인 31세의 Heather Morgan은 뉴욕에서 체포되어 두 사람 모두 범행을 공모한 혐의로 기소되었다. 돈세탁 및 사기. 이는 미국 법무부의 역사상 최대 규모의 금융 압수이기도 하다.

11월 6일, 바이낸스의 설립자 CZ는 장부에 남아 있는 모든 FTT를 청산하겠다는 결정을 트위터에 게시하여 두 주요 거래소 간의 대립을 촉발시켰습니다. Alameda의 CEO와 FTX의 CEO에도 불구하고 SBF는 일련의 트윗으로 사용자의 신뢰를 안정시키고 이전에 노출된 뉴스를 반박하려는 시도를 합니다. 그러나 여전히 FTX의 유동성 풀이 고갈되어 파산했습니다. FTX는 결국 무너졌고 SBF는 체포되었습니다. 투명성 부족은 신중한 규제 부족 문제를 강조하면서 중앙 집중식 교환에 대한 사용자들 사이의 신뢰 위기를 촉발했습니다. 소비자 보호에 더욱 신경을 쓰든, 제도에 대한 규제를 강화하든 규제의 속도는 더욱 빨라질 것이다.

FTX가 무너진 후 하드웨어 지갑 판매가 급증했습니다. 사용자가 가장 많은 지갑인 메타마스크의 월 활성 사용자는 3억 명에 달했습니다. Finbold의 통계에 따르면 상위 21개 암호화폐 저장 애플리케이션을 기준으로 2022년 1월부터 10월까지 Android와 iOS 모두에서 암호화폐 지갑 다운로드가 1억 2백만 건이 있었습니다. , 여전히 다른 해보다 높습니다. 월별 통계에 따르면 연초 암호화폐 지갑 다운로드 수가 감소하고 있습니다. 그러나 Terra/LUNA의 충돌과 FTX의 붕괴 이후 상당한 증가를 경험했습니다.

기타

블록체인 기술의 비가역성과 익명성은 프라이버시를 효과적으로 보호할 뿐만 아니라 사이버 범죄에 대한 "보호 우산"을 제공합니다. 메타버스 및 NFT와 같은 개념의 인기로 인해 암호화폐 도난 및 사기가 가끔 발생합니다. 많은 범죄자들이 사기를 저지르기 위해 블록체인으로 위장한 "암호 자산"을 보냅니다. 그러한 제작물의 발전과 전문성은 우리의 상상을 훨씬 뛰어넘습니다.

중국인민은행 지급결제부 자료에 따르면 2021년 사기성 지급결제 수단 중 암호화폐 사용액은 은행 송금에 이어 2위로 7억5000만 달러에 이른다. 반면 2020년과 2019년에는 각각 미화 1억 8천만 달러와 3천만 달러에 불과했습니다. 해마다 증가하는 추세가 뚜렷하다. 주목할 점은 로맨스 스캠의 암호화폐 송금이 급증하고 있다는 점이다. 2021년 로맨스 스캠으로 인한 총 사기 금액 중 암호화폐를 통해 지불된 금액은 1억 3,900만 달러로 2020년과 2019년에 비해 각각 5배와 25배 증가했습니다.

미국 연방거래위원회(FTC)의 보고서에 따르면 2021년 초부터 1년여 만에 암호화폐 사기를 당했다고 신고한 사람이 이미 4만6000명을 넘어섰다. 손실액은 10억 달러를 넘어섰다. 보고서에 따르면 암호화폐 사기의 가장 일반적인 유형은 투자와 관련이 있으며 전체 10억 달러 중 5,750억 달러를 차지합니다. 사기꾼들에게 가장 일반적인 결제 수단은 BTC(70%), USDT(10%) 및 ETH(9%)입니다.

2) 공격 방법

295건의 보안 사고에서 공격 방식은 크게 3가지로 분류할 수 있다. 1) 프로젝트 자체 설계 결함 및 계약 내 다양한 취약점으로 인한 공격, 2) 러그 풀, 피싱, 수법 등 사기 유형 , 3) 개인키 유출로 인한 자산 손실.

2022년 가장 일반적인 공격 방법은 프로젝트 자체 설계 결함과 계약의 다양한 취약성으로 인해 발생합니다. 이러한 경우는 약 92건으로 총 손실액은 10억 6천만 달러이며 전체 공격의 40.5%를 차지합니다. 이러한 공격의 주요 원인은 총 6억 1,330만 달러의 손실을 입은 약 19건의 플래시 론 때문입니다. 다른 원인으로는 재진입, 가격 조작, 검증 문제 등이 있습니다.

개인 키 유출로 인한 자산 손실 확률은 약 6%이지만 총 손실액은 7,460억 달러에 이른다. 계약 취약성으로 인한 악용에 이어 개인 키 도난으로 인한 가장 큰 손실은 Ronin 사건에서 발생했으며 Harmony가 그 뒤를 이었습니다. 그들은 모두 교차 사슬 다리에서 왔습니다.

Web3 세계에서는 사용자의 보안 인식이 다른 경우가 많기 때문에 사용자에 대한 다양하고 빈번한 피싱 공격이 과도하게 발생합니다. 예를 들어 공격자는 악의적인 수단을 사용하여 프로젝트의 공식 소셜 미디어 플랫폼(예: Discord, Twitter)을 탈취하거나 공식 소셜 미디어 계정으로 위장합니다. 그런 다음 민트와 에어드롭을 위한 피싱 링크를 게시하고 때로는 실제 공식 계정을 다시 게시하여 사용자를 혼란스럽게 합니다. 예를 들어 검색 엔진에 광고를 사용하여 가짜 웹사이트 또는 공식 웹사이트와 매우 유사한 도메인 이름 및 콘텐츠를 홍보하여 믿을 수 있도록 합니다. 여기에는 이메일 모방, 사용자가 함정에 빠지게 만드는 매력적인 경품 만들기가 포함됩니다. 다른 예로는 가짜 애플리케이션 다운로드 링크를 제공하기 위해 신규 사용자의 정보 부족을 이용하는 것이 있습니다. 그것이 무엇이든 가장 중요한 것은 인식을 높이는 것입니다. 동시에 그들의 함정에 빠졌다는 것을 알게 되면 즉시 자산을 이전하여 적시에 손실을 방지하고 증거를 보관하십시오. 필요한 경우 업계 보안 기관의 도움을 받으십시오.

최악의 경우는 러그 당김에서 비롯됩니다. Rug pulls는 일반적으로 창업자가 자금을 가지고 프로젝트를 포기하고 도망치는 경우를 말합니다. 또한 프로젝트에 나쁜 의도가 있는 경우가 더 많습니다. 깔개 당김은 여러 가지 방법으로 발생할 수 있습니다. 예를 들어 개발자가 초기 유동성을 시작하면 가격이 상승합니다. 그런 다음 유동성을 인출하고 암호 프로젝트를 생성합니다. 다양한 마케팅 수단을 통해 암호화폐 사용자의 투자를 유도하고 적절한 시기에 사용자의 투자 자금을 예고 없이 빼낼 것입니다. 그들은 이러한 암호화 자산을 매각하고 결국 사라질 것이며 프로젝트에 투자한 사용자는 막대한 손실을 입을 것입니다. 또 다른 예는 웹 사이트를 공개하지만 수만 건 이상의 입금을 받고 닫는 것입니다. 2022년에만 러그 풀이 50건 발생하여 1,880억 달러의 손실이 발생했습니다. 그들은 BSC 생태계와 NFT에서 가장 빈번합니다.

2022년의 새로운 방법에는 프런트 엔드 악성 공격, DNS 공격 및 BGP 하이재킹이 포함됩니다. 가장 기괴한 경우는 사람의 구성 및 운영 오류로 인한 자산 손실입니다.

3) 피싱/사기 수법

이 부분은 SlowMist가 공개한 엄선된 피싱/사기 기술만 보여줍니다.

Discord 토큰을 훔치는 악성 웹 브라우저 북마크

요즘 브라우저에는 모두 고유한 북마크 관리자가 있지만 편리함을 제공하는 동시에 공격자의 손쉬운 대상이기도 합니다. 악의적으로 생성된 피싱 페이지를 통해 저장된 북마크에 JavaScript 코드를 삽입할 수 있습니다. 이를 통해 Discord의 webpackChunkdiscord_app 프런트 엔드 패키지를 통해 정보를 얻는 것을 포함하여 기본적으로 모든 작업을 수행할 수 있습니다. Discord 사용자가 이를 클릭하면 악성 JavaScript 코드가 사용자의 Discord 도메인 내에서 실행되기 시작합니다. 그것은 당신의 Discord 토큰을 훔칠 것이고, 그 후에 공격자는 프로젝트를 관리하기 위해 Discord 계정과 관련된 관련 권한을 직접 자동으로 탈취할 수 있습니다. Discord 토큰을 받는 것은 Discord 계정에 로그인하는 것과 유사합니다. Discord 웹후크 봇 생성, 채널에 가짜 공지 게시 피싱 수행 등 로그인한 계정으로 할 수 있는 모든 작업을 수행할 수 있습니다. 다음은 피해자가 피싱 북마크를 클릭하는 모습을 보여줍니다.

아래는 토큰을 받은 공격자가 작성한 자바스크립트 코드와 피해자의 개인정보를 나타낸 것입니다. Discord 서버의 웹후크를 통해 수신됩니다.

그림과 같이 사용자가 웹 Discord에 로그인하고 피해자가 이미 피싱 페이지에서 악성 북마크를 저장했다고 가정하면 Discord 웹에 로그인하고 북마크를 클릭하면 악성 코드가 트리거됩니다. 결과적으로 피해자의 토큰 및 기타 개인 정보는 공격자가 설정한 Discord 웹후크를 통해 공격자의 채널로 전송됩니다.

가짜 주문 NFT 피싱

다음 피싱 웹 사이트를 예로 들면 시그니처 콘텐츠는 다음과 같이 구성됩니다.

메이커: 이용자의 주소

테이커: 0xde6135b63decc47d5a5d47834a7dd241fe61945a

교환: 0x7f268357A8c2552623316e2562D90e642bB538E5 (OpenSea V2 컨트랙트 주소)

이것은 일반적으로 볼 수 있는 NFT 피싱 기법으로, 사기꾼이 0ETH(또는 다른 통화)로 보유한 모든 NFT를 구매할 수 있습니다. 즉, 이 주문은 사용자가 자신의 NFT 판매에 서명하도록 속인다는 의미입니다. 사용자가 이 주문에 서명하면 사기꾼은 OpenSea를 통해 NFT를 직접 구매할 수 있습니다. 그러나 그들이 구매하는 가격은 사기꾼에 의해 결정되며, 이는 사기꾼이 한 푼도 지출하지 않고 사용자의 NFT를 "구매"할 수 있음을 의미합니다.

또한 서명은 본질적으로 공격자에 의해 저장됩니다. 서명을 승인 해제하기 위해 Revoke.Cash 또는 Etherscan과 같은 웹사이트를 통해 유효성을 취소할 수 없습니다. 그러나 주문을 나열할 수 있는 권한을 취소할 수 있으므로 근본적인 문제에서 이러한 피싱 위험을 방지할 수 있습니다.

레드라인 스틸러 트로이 목마

이러한 공격은 Discord를 통해 사용자를 새로운 게임 프로젝트의 베타 테스트에 참여하도록 초대합니다. "할인 제공", 그룹의 비공개 채팅 또는 다운로드할 프로그램을 보내는 방법으로 위장합니다. 그들은 일반적으로 약 800mb 상당의 .exe 파일을 추출하는 zip 파일을 보냅니다. 장치에서 실행하면 모든 파일을 검색하고 "지갑"이라는 단어와 기타 관련 키워드로 구성된 파일을 필터링합니다. 그런 다음 공격자의 서버에 업로드되고 암호 화폐를 훔치는 목적을 달성합니다.

Redline Stealer는 지하 포럼에서 별도로 판매되는 악성 트로이목마로 2020년 3월에 발견되었습니다. 이 악성코드는 브라우저에서 저장된 자격 증명, 자동 완성 데이터, 신용 카드와 같은 정보를 수집합니다. Redline의 새 버전에는 이미 설치된 암호화폐 지갑의 정보를 자동으로 스캔할 수 있는 암호화폐 탈취 기능이 추가되었습니다. 그런 다음 원격 제어 장치에 업로드됩니다. 이 맬웨어는 파일을 업로드 및 다운로드하고 명령을 실행하며 감염된 장치에 대한 정보를 주기적으로 다시 보낼 수 있습니다. 종종 암호 화폐 지갑 관련 디렉토리를 공격하여 지갑 파일을 스캔합니다.

백지 수표 eth_sign 피싱

지갑을 연결하고 "클레임"을 클릭하면 서명을 요청하는 팝업이 나타납니다. 동시에 MetaMask는 빨간색 경고 알림을 표시합니다. 그러나 이 팝업에서 이 서명 요청이 정확히 무엇을 요청하는지 파악하는 것은 불가능합니다. 이것은 본질적으로 Ethereum의 "백지 수표"인 매우 위험한 유형의 서명입니다. 이 피싱을 통해 사기꾼은 개인 키를 사용하여 거래를 수행할 수 있습니다.

이 eth_sign 메서드는 모든 해시에 서명할 수 있습니다. 당연히 이후에 bytes32에 서명할 수 있습니다. 따라서 공격자는 주소를 얻고 계정을 분석하고 쿼리하기 위해 연결하는 dApp만 필요합니다. eth_sign에 서명하기만 하면 모든 데이터(예: 기본 토큰 전송, 계약 호출)를 생성할 수 있습니다.

또 다른 유형의 피싱은 앞서 언급한 서명을 거부하면 자동으로 메타마스크에 또 다른 서명 팝업을 표시하여 경계를 늦추는 동안 서명하도록 속이는 것입니다. 서명 정보를 받은 후 SetApprovalForAll 메서드를 사용하여 "승인된 자산" 아래의 "모든 NFT"로 변경됩니다. 즉, 일단 서명하면 사기꾼이 제한 없이 모든 NFT를 훔칠 수 있습니다.

이러한 종류의 피싱 수법은 사용자에게 매우 혼란스럽습니다. 이전에는 인증 피싱이 발생하면 MetaMask는 공격자가 서명을 원한다는 것을 알리는 데이터를 객관적으로 보여줍니다. 그럼에도 불구하고 공격자가 eth_sign 방법을 사용하여 사용자가 서명하도록 할 때 MetaMask는 일련의 bytes32 해시만 표시합니다.

동일한 종료 코드 + TransferFrom 제로 전송 사기

사용자의 거래 내역에서 0USDT를 전송하는 알 수 없는 주소가 지속적으로 나타납니다. 이 거래는 TransferFrom 기능을 통해서도 완료됩니다. 이것은 주로 토큰 계약에서 TransferForm 기능이 승인된 이체 금액이 0보다 커야 한다고 요구하지 않기 때문입니다. 따라서 0USDT의 이체는 사용자의 계정 승인 없이 성공적으로 수행될 수 있습니다. 악의적인 공격자는 이 조건을 악용하여 TransferFrom을 시작하기 위해 활성 온체인 사용자를 지속적으로 목표로 삼습니다. 결과적으로 이는 Transfer 이벤트를 트리거합니다.

이와 같은 0USDT 이체에 의한 괴롭힘 외에 빈번하고 대규모로 거래하는 사용자를 대상으로 하는 공격자가 동반됩니다. 그들은 0.01USDT 또는 0.001USDT와 같은 소량의 토큰을 지속적으로 에어드롭할 것입니다. 공격자의 주소 끝은 사용자의 주소와 거의 동일합니다. 종종 사용자가 거래 내역에서 주소를 복사할 때 잘못 복사하여 자금 손실이 발생합니다.

위의 내용은 일반적으로 볼 수 있는 일부 공격 방법 및 상황의 예일 뿐입니다. 실제로 해커와 공격자는 모든 상황에서 끊임없이 새로운 방법을 찾습니다. 따라서 그들은 항상 새로운 방법을 제시할 것이고, 우리가 해야 할 일은 항상 끊임없이 지식을 얻는 것입니다.

개인 사용자의 경우 다음 안전 규칙 및 규정을 준수함으로써 대부분의 위험을 피할 수 있습니다.

2가지 주요 안전 규칙:

• 제로 트러스트. 간단히 말해서, 끊임없이 경계하고 항상 경계심을 유지하십시오.
• 지속적인 확인. 믿고 싶다면 자신의 의심을 확인하고 이 능력을 습관화할 수 있어야 합니다.

안전 규칙:

• 인터넷상의 지식은 항상 2개의 다른 참조와 상호 참조되어야 합니다. 그것들을 확증하고 항상 회의적입니다.
• 잘 격리시키십시오. 즉, 모든 계란을 한 바구니에 담지 마십시오.
• 중요한 자산이 있는 지갑의 경우 너무 함부로 업데이트하지 말고 충분하면 충분합니다.
• 당신이 보는 것은 당신이 서명하는 것입니다. 당신이 보는 것이 당신이 서명할 것으로 예상되는 것일지라도 일단 서명하면 다음에 일어날 일은 예상할 수 있어야 합니다.
• 시스템의 보안 업데이트에 주의하십시오. 새 보안 업데이트가 있으면 즉시 조치를 취하십시오.
• 프로그램을 급히 다운로드하지 마십시오.

이를 통해 저는 SlowMist의 Blockchain Dark Forest Selfguard Handbook을 읽고 마스터할 것을 강력히 권장합니다.