베오신 연례 보고서: 2023년 Web3 블록체인 보안 태세, AML 분석

이 보고서는 보신, 엘프, 풋프린트 애널리틱스에서 제작했으며, 이 챕터는 보신 연구팀 마리오와 티안 전사 도니가 작성했습니다

*공간 제약으로 인해 이 게시물은 보고서의 보안 태세 부분만 보여드리며, 규제 정책 및 기타 내용은 추후에 게재할 예정입니다.

서문

이 연구 보고서는 블록체인 보안 얼라이언스에서 시작하여 얼라이언스 회원사인 Beosin, Web3 Little Law, Elven이 공동 집필했으며, 2023년의 글로벌 블록체인 보안 역학 관계와 암호화폐 업계의 주요 규제 정책을 종합적으로 살펴보기 위해 마련되었습니다. 이 보고서는 글로벌 블록체인 보안 현황을 분석하고 평가함으로써 현재 직면한 보안 과제와 위협을 밝히고 솔루션과 모범 사례를 제공할 것입니다. 동시에 암호화폐 산업 규제에 대한 각국 정부와 규제 기관의 입장과 정책 방향을 살펴봄으로써 독자들이 규제 환경의 역동적인 변화와 가능한 영향을 이해하는 데 도움을 줄 것입니다.

이 보고서를 통해 독자들은 웹3.0 블록체인 보안 태세의 역동적인 변화와 규제 정책의 핵심 사항을 보다 포괄적으로 이해할 수 있을 것입니다. 이를 통해 독자들은 블록체인 업계가 직면한 보안 과제를 평가하고 해결하며 규제 요건을 준수하면서 지속 가능한 업계 성장을 도모할 수 있을 것입니다. 또한, 독자들은 이 보고서를 통해 보안 조치, 규정 준수 요건, 업계의 방향성에 대한 유용한 조언을 얻어 이 새로운 영역에서 정보에 입각한 결정과 행동을 내리는 데 도움을 받을 수 있을 것입니다. 블록체인 보안과 규제는 웹3.0 시대 발전의 핵심 이슈입니다. 심도 있는 연구와 토론을 통해 이러한 과제를 더 잘 이해하고 해결하며 블록체인 기술의 보안과 지속 가능한 발전을 도모할 수 있습니다.

1. 2023년 웹3 블록체인 보안 태세 개요

블록체인 보안 감사 기관인 베오신의 자회사 이글아이 플랫폼의 모니터링에 따르면, 2023년 해킹, 피싱 사기, 프로젝트 측 러그풀로 인한 웹3.0 분야의 총 손실은 다음과 같습니다. 2023년 20억 2천만 달러에 달했습니다. 191건의 공격으로 인한 총 손실액은 약 13억 9,700만 달러, 267건의 프로젝트 측 러그 풀로 인한 총 손실액은 약 3억 8,800만 달러, 피싱 사기로 인한 총 손실액은 약 2억 3,800만 달러에 달했습니다.

해킹, 피싱 사기, 프로젝트 측 러그 풀 사고는 모두 2022년에 비해 2023년에 크게 감소했습니다. 2022년에는 총 53.9%로 크게 감소했습니다. 해킹 사고는 2022년 36억 달러에서 2023년 13억 9,700만 달러로 약 61.2% 감소하여 가장 큰 감소폭을 보였습니다. 피싱 사기 피해액은 2022년 대비 33.2% 감소했으며, 러그 풀 피해액은 2022년 대비 8.8% 감소했습니다.

2023년에 1억 달러 이상의 손실을 낸 공격은 4건, 1천만 달러에서 1억 달러 사이의 손실을 낸 공격은 17건이 발생했습니다. 1천만~1억 달러 범위의 손실을 입은 공격은 17건입니다. 상위 10대 보안 사고의 총 피해액은 약 10억 달러로, 연간 전체 공격 피해액의 71.5%를 차지했습니다.

2023년에 공격받은 프로젝트 유형은 2022년에 비해 더 광범위해졌으며, 디파이, CEX, DEX, 퍼블릭 체인, 크로스체인 브리지, 지갑, 결제 플랫폼, 게임 플랫폼, 암호화폐 중개자, 인프라, 암호화폐 관리자, 개발 도구, MEV 봇, TG 봇 등이 포함되었습니다.

디파이는 공격 빈도와 손실액이 가장 높은 프로젝트 유형으로, 130건의 디파이 공격으로 인해 약 4억 8천만 달러의 손실이 발생했습니다.

p>2023년에 공격을 받은 퍼블릭 체인의 유형은 더 빈번했으며, 여러 체인이 도난당하는 보안 사고가 여러 건 발생했습니다. 이더리움은 여전히 손실액이 가장 많은 퍼블릭 체인으로, 71건의 이더리움 공격으로 7억 6,600만 달러의 손실이 발생했으며, 이는 한 해 동안 발생한 총 손실액의 54.9%를 차지했습니다. 54.9퍼센트.

공격 방법론 측면에서는 개인키 탈취 공격이 총 30건으로 약 6억 2,700만 달러의 손실을 발생시켜 전체 손실의 44.9%를 차지하며 가장 많은 손실을 초래한 공격 방법이었다. 계약 취약점 익스플로잇이 가장 빈번한 공격으로, 191건의 공격 중 99건(51.8%)이 계약 취약점 익스플로잇으로 발생했습니다.

한 해 동안 약 2억 9,500만 달러(약 21.1%)의 탈취 자금이 회수되었으며, 이는 2022년에 비해 크게 증가한 수치입니다. 한 해 동안 약 3억 3천만 달러의 도난 자금이 코인 믹서에게 이체되었으며, 이는 전체 도난 자금의 23.6%에 해당합니다.

온체인 해킹, 피싱 사기, 프로젝트 측 러그 풀(Rug Pull)의 규모가 크게 감소한 것과 달리 2023년에는 오프체인 암호화폐 분야의 범죄가 크게 증가했습니다. 2023년 전 세계 암호화폐 업계 범죄는 무려 656억 8,800만 달러로 2022년의 137억 6,000만 달러에서 약 377% 증가했습니다. 범죄 금액 기준으로 상위 세 가지 범죄 유형은 온라인 도박, 자금 세탁, 사기였습니다.

2, 2023년 웹3.0 상위 10대 보안 사고

2023년에 1억 달러 이상의 피해를 입힌 공격은 Mixin Network(2억 달러), Euler Finance(1억 9700만 달러), Poloniex( 1억 2,600만 달러), HTX 및 헤코 브리지(1억 1,000만 달러)입니다. 상위 10개 대형 보안 사고의 피해액은 총 10억 달러로, 연간 전체 공격의 71.5%를 차지했습니다.

1위: 믹스인 네트워크

손실: 2억 달러

공격 방식: 클라우드 서비스 제공업체 데이터베이스 공격

공격 유형: 클라우드 서비스 제공업체 데이터베이스 공격

공격: 클라우드 서비스 제공업체 데이터베이스 공격 strong>

9월 23일 새벽, 믹스인 네트워크의 클라우드 서비스 제공업체 데이터베이스가 해킹당해 메인 네트워크의 일부 자산이 손실되었으며 약 2억 달러가 손실되었습니다. 9월 25일, 믹스인 창업자는 사건에 대한 라이브 방송에서 피해 자산은 주로 비트코인 핵심 자산이었으며 BOX와 XIN 자산은 심각하게 도난당하지 않았다고 공개적으로 설명했습니다. 피해는 주로 비트코인 핵심 자산에 대한 것이었으며 BOX, XIN 및 기타 자산은 심각하게 도난당하지 않았으며 공격의 구체적인 내용은 아직 공개할 수 없다고 밝혔습니다.

2위 오일러 금융

손실액: 1억 9,700만 달러

손실액: 1억 9,700만 달러< br>

공격 유형: 컨트랙트 취약성 및 비즈니스 로직 문제

3월 13일, 디파이 대출 프로토콜인 Euler Finance가 공격을 받아 약 1억 9,700만 달러의 손실이 발생했습니다. 공격의 근본 원인은 사용자가 실제로 보유한 토큰의 수와 기부 후 사용자 장부의 상태를 제대로 확인하지 못한 컨트랙트 때문이었습니다. 공격자들은 이 사건으로 탈취한 자금을 모두 반환했습니다.

3번 폴로닉스

손실액: 1억 2,600만 달러

손실액: 1억 2,600만 달러

공격 수법.

공격: 개인 키 유출/APT 공격

11월 10일, 쑨위첸이 소유한 거래소 폴로닉스와 관련된 주소에서 도난당한 것으로 의심되는 대량의 자산이 계속 이체되고 있었습니다. 곧바로 쑨위첸과 폴로닉스는 소셜 미디어 플랫폼에 공지를 통해 도난 사실을 확인했습니다. 바오신 보안팀이 사용하는 바오신 추적 추적 시스템에 따르면 폴로닉스가 도난당한 자산은 총 1억 2,600만 달러에 달합니다.

4위: HTX, 헤코, 브리지

손실 금액: 1억 1,000만 달러

공격: 개인 키 유출

11월 22일, 선유천의 거래소 HTX와 크로스체인 브릿지 헤코 브릿지가 해킹을 당해 총 1억 1천만 달러의 손실이 발생했으며, 이 중 헤코 브릿지 손실은 8660만 달러, HTX 손실은 약 2340만 달러에 달했습니다.

No.5 Curve/ Vyper

손실: $73 000,000

공격: 계약 취약성 - 10,000,000

공격: 계약 취약성 - 10,000,000

공격: 계약 취약점

이더리움 프로그래밍 언어인 바이퍼는 7월 31일 새벽 트위터를 통해 바이퍼 버전 0.2.15, 0.2.16, 0.3.0에 재진입 잠금 장치에 취약점이 있으며, 네이티브 이더리움이 송금 시 콜백을 호출할 수 있다는 사실과 함께 이들 버전과 재진입 공격이 발생할 수 있습니다. 이후 커브는 공식 트위터를 통해 재진입 잠금 실패로 인해 바이퍼 0.2.15를 사용하는 많은 스테이블코인 풀(alETH/msETH/pETH)이 공격을 받았다고 밝혔습니다. 이 사건으로 인한 손실은 약 7,300만 달러에 달했습니다.

6번 코인엑스

손실액: 70만 달러

공격 방식: 개인키 공개/APT 공격

공격 방식: 개인키 공개/APT 공격

이 공격은 9월에 수행되었습니다.

9월 12일, 암호화폐 거래소 코인엑스는 성명을 통해 바람 제어 시스템이 플랫폼의 거래 자산을 임시로 보관하는 데 사용되는 핫월렛에서 의심스러운 대량의 인출을 감지했으며, 특별팀을 구성해 사건 초기 대응에 나섰다고 밝혔으며, 주로 이더리움, 트론, 폴리곤의 토큰 자산이 관련되어 있으며 총 도난 금액은 약 7천만 달러에 달한다고 전했습니다.

7번 아토믹 지갑

손실액: $67,000,000

.

공격: 개인 키 유출/APT 공격

보신의 보안 위험 모니터링, 조기 경보 및 차단 플랫폼인 EagleEye에 따르면 6월 초에 아토믹 월렛이 공격을 받았으며, 보신 팀에 따르면 이 공격은 월렛에 큰 위협이 되었다고 밝혔습니다. 베오신 팀에 따르면, 알려진 피해자들이 체인에 보고한 정보에 따르면 이 공격으로 인해 최소 6,700만 달러의 피해가 발생했다고 합니다.

8위 알파포

손실액: $60 000,000

손실액: $60 000,000

손실 금액입니다. p>

공격 방식: 개인 키 공개/APT 공격

7월 23일, 암호화폐 결제 서비스 제공업체 알파포의 핫월렛이 도난당해 총 6천만 달러의 손실이 발생했습니다. 이 사건은 북한 해커 그룹 라자루스의 소행으로 밝혀졌습니다.

9위: 사이버스왑

손실: 5,470만 달러

공격: 계약상 취약점 -& && nbsp;비즈니스 로직 문제

11월 22일, 탈중앙 거래소 프로젝트인 카이버스왑이 공격을 받아 총 약 5470만 달러의 손실을 입었습니다.카이버 네트워크는 이번 해킹이 탈중앙 금융 역사상 가장 정교한 해킹 중 하나였으며, 공격자는 일련의 정밀한 온체인 작업을 수행해야 했다고 말했습니다. 공격자는 취약점을 악용하기 위해 일련의 정밀한 온체인 작업을 수행해야 했습니다.

No.10  Stake.com

손실: $41.3 ,000

공격 방법: 개인 키 공격

공격 유형: 개인 키 유출/APT 공격

9월 4일, 암호화폐 게임 플랫폼 스테이크닷컴이 해커의 공격을 받았습니다. 공격이 발생한 후 스테이크닷컴은 이더리움(ETH) 및 비트코인에스씨(BSC) 핫월렛에서 무단 거래를 조사 중이며, 지갑 보안이 완전히 강화되는 대로 입출금을 재개할 것이라고 밝혔습니다. 이 사건은 북한 해킹 그룹 라자루스의 소행으로 밝혀졌습니다.

3. 공격받은 프로젝트 유형

2023년에는 2022년에 비해 더 다양한 프로젝트 유형이 공격을 받았으며, 손실된 금액도 더 이상 몇몇 프로젝트 유형에 집중되지 않았습니다. 2023년에는 디파이, CEX, DEX, 퍼블릭 체인, 크로스체인 브리지, 지갑 등 일반적인 유형 외에도 결제 플랫폼, 게임 플랫폼, 암호화폐 브로커, 인프라, 암호화폐 관리자, 개발 도구, MEV 봇, TG 봇 및 기타 여러 프로젝트 유형에 대한 해킹이 발생했습니다.

2023년에 발생한 191건의 공격 중 디파이 프로젝트가 차지하는 비중은 130 (약 68%)를 차지하여 가장 많은 공격을 받은 프로젝트 유형이 되었습니다. 디파이 공격으로 인한 총 손실액은 약 4억 8천만 달러로 전체 손실액의 29.2%를 차지했으며, 손실액이 가장 높은 프로젝트 유형이기도 했습니다.

2위 손실 유형은 9건의 공격으로 2억 7,500만 달러의 손실을 초래한 중앙화된 거래소(CEX)였습니다. DEX(탈중앙화 거래소) 유형에서도 16건의 공격이 발생했으며, 총 손실액은 약 8,568만 달러에 달했습니다. 종합해보면, 2023년에는 거래소 유형에서 보안 사고가 많이 발생할 것으로 보이며, 거래소 보안이 탈중앙 금융 보안 다음으로 큰 도전 과제가 될 것으로 보입니다.

세 번째로 높은 손실액은 퍼블릭 체인으로, 약 2억 8천만 달러의 손실액을 기록했습니다. 2억 8천만 달러는 주로 2억 달러의 Mixin 네트워크 도난으로 인한 것입니다.

2023년에는 크로스체인 브리지 손실이 4위를 차지하며 전체 손실의 약 7%를 차지했습니다. 그리고 2022년에는 12건의 크로스체인 브리지 보안 사고로 인해 약 18억 9천만 달러의 손실이 발생했으며, 이는 그 해 전체 손실의 52.5%에 해당합니다.

2023년에는 크로스체인 브리지 보안 사고의 수가 현저히 줄었습니다.

5위는 암호화폐 결제 플랫폼으로, 두 건의 보안 사고(알파포와 코인스페이드)로 인해 총 약 9,730만 달러의 피해가 발생했으며, 두 사고 모두 북한의 APT 조직인 라자루스가 배후로 지목되었습니다.

4. 체인별 손실 금액

2023년에 공격을 받은 퍼블릭 체인의 유형도 2022년에 비해 더 광범위해졌는데, 이는 2023년에 여러 체인에서 여러 건의 CEX 프라이빗 키가 침해가 여러 체인에서 발생했기 때문입니다. 손실 금액 기준 상위 5개 체인은 이더리움, 믹신, 헤코, BNB 체인, 트론이었고, 공격 건수 기준 상위 5개 체인은 BNB 체인, 이더리움, 아리트럼, 폴리곤, 옵티미즘, 아발란치(공동 5위)였습니다. .

2022년과 마찬가지로 이더리움은 71회로 여전히 가장 많은 손실을 입은 퍼블릭 체인입니다. 이더리움에 대한 공격으로 인해 7억 6,600만 달러의 손실이 발생했으며, 이는 한 해 전체 손실의 54.9%를 차지했습니다.

2위를 차지한 믹신 체인은 단일 보안 사고로 2억 달러의 손실을 입었습니다. 3위는 약 9,260만 달러의 손실을 기록한 HECO가 차지했습니다.

BNB 체인에 대한 공격 건수는 76건으로 전체 공격 건수의 39.8%를 차지하며 전체 체인 중 가장 많은 공격 건수를 기록했습니다. BNB 체인에서 발생한 총 손실액은 약 7,081만 달러였으며, 사고의 대부분(88%)이 100만 달러 미만에 집중되었습니다.

5. 공격 방식 분석

2023년의 공격 방식은 2022년에 비해 더욱 다양해졌으며, 특히 다음과 같은 다양한 웹2.0 공격이 추가되었습니다. 데이터베이스 공격, 공급망 공격, 써드파티 서비스 공급자 공격 및 기타 공격. 데이터베이스 공격, 공급망 공격, 써드파티 서비스 제공업체 공격, 중간자 공격, DNS 공격, 프런트엔드 공격 등이 있습니다.

2023년에는 30건의 개인 키 유출로 인해 6억 2,700만 달러의 손실이 발생했으며, 이는 전체의 44%를 차지했습니다. 2023년 전체 손실의 44.9%를 차지하며 가장 많은 손실을 유발하는 공격 방식입니다. 더 큰 손실을 초래한 개인 키 유출 사건은 폴로닉스(1억 2,600만 달러), HTX 및 헤코 브리지(1억 1,000만 달러), 코인엑스(7,000만 달러), 아토믹 월렛(6,700만 달러), 알파포(6,000만 달러)였습니다. 이러한 사건의 대부분은 북한 APT 그룹 라자루스와 관련이 있습니다.

계약 취약점 익스플로잇이 가장 빈번한 공격 유형으로, 191건의 공격 중 99건이 계약 취약점 익스플로잇을 통해 발생했습니다. 191건의 공격 중 계약 취약점 익스플로잇이 99건으로 51.8%를 차지했습니다. 계약 취약점으로 인해 발생한 총 손실액은 4억 3,000만 달러로, 두 번째로 높은 손실액을 기록했습니다.

취약점별로는 비즈니스 로직 취약점이 가장 빈번하고 손실 금액이 큰 취약점으로, 계약 취약점의 약 72.7%가 비즈니스 로직 취약점으로 인한 손실이며, 총 손실 금액은 약 3억 1,300만 달러에 달했습니다. 두 번째로 비용이 많이 드는 계약 취약점은 재진입 취약점으로, 13건의 재진입 취약점으로 인해 약 9347만 달러의 손실이 발생했습니다.

6. 전형적인 공격 사례 기동 분석

6.1 오일러 금융 보안 인시던트

< strong>인시던트 요약

3월 13일, 이더리움 체인의 대출 프로젝트인 오일러 파이낸스는 플래시 대출 공격으로 1억 9,700만 달러의 손실을 입었습니다.

3월 16일, 오일러 재단은 해커를 체포하고 도난당한 자금을 반환하는 데 도움이 될 만한 정보를 제공하면 100만 달러의 포상금을 지급하겠다고 발표했습니다.

3월 17일, Euler Labs의 CEO인 마이클 벤틀리는 트위터에 오일러는 "항상 보안에 민감한 프로젝트였다"고 말했습니다. 2021년 5월부터 2022년 9월까지 오일러 파이낸스는 할본, 솔리디파이드, ZK랩스, 서토라, 셜록, 옴니시카 등 6개의 블록체인 보안 업체로부터 10번의 감사를 받았습니다.

3월 18일부터 4월 4일까지 공격자들은 차례로 자금을 반환하기 시작했습니다. 이 기간 동안 공격자들은 온체인 메시지를 통해 "다른 사람의 돈, 다른 사람의 직업, 다른 사람의 삶을 망쳤다"고 사과하며 용서를 구했습니다.

4월 4일, 오일러 랩은 성공적인 협상 끝에 공격자가 훔친 자금을 모두 반환했다고 트위터에 올렸습니다. 자금.

취약점 분석

이번 공격에서 이토큰 컨트랙트의 donateToReserves 함수는 사용자가 실제로 보유한 토큰 수와 기부 후 사용자 원장의 상태를 제대로 확인하지 않았습니다. 공격자는 이 취약점을 악용하여 1억 개의 eDAI를 기부했지만, 실제로는 3천만 개의 DAI만 기부했습니다.

기부 후 사용자 원장의 상태 상태가 청산 조건을 충족하면 대출 계약이 청산되도록 트리거됩니다. 청산 과정에서 eDAI와 dDAI는 청산 계약으로 이전됩니다. 그러나 대손 금액이 매우 크기 때문에 청산 계약은 청산 시 최대 할인을 적용합니다. 청산 종료 시 청산 계약의 eDAI는 3억 1,093만 개, dDAI는 2억 5,931만 개입니다.

이 시점에서 사용자 원장의 건전성이 회복되어 사용자는 자금을 출금할 수 있습니다. 출금할 수 있는 금액은 eDAI와 dDAI의 차액입니다. 그러나 실제로 풀에는 3,890만 DAI만 있으므로 사용자는 해당 금액만 출금할 수 있습니다.

6.2 . Vyper/Curve 보안 이벤트

이벤트 요약

7월 31일, 이더리움 프로그래밍 언어인 바이퍼는 트위터를 통해 바이퍼 0.2.15, 0.2.16, 0.3.0 버전에 재진입 잠금 취약점이 있다고 밝혔으며, 커브는 바이퍼 0.2.15를 사용하는 여러 스테이블코인 풀(( CRV/alETH/msETH/pETH)가 공격을 받아 총 손실액이 7,300만 달러에 달했으며, 이후 해커들이 약 5,230만 달러를 돌려받았다고 밝혔습니다.

취약점 분석

이 공격의 주요 원인은 다음과 같습니다. 바이퍼 0.2.15의 재진입 방지 잠금 기능의 실패로 인해 공격자가 유동성을 제거하기 위해 해당 유동성 풀의 remove_liquidity 함수를 호출할 때 add_liquidity 함수를 다시 입력하여 유동성을 추가하고, 이로 인해 add_liquidity 함수 재진입 전 잔액 업데이트로 인해 가격 계산에 오류가 발생하게 되는 취약점입니다.

7, 자금세탁방지 대표 사고 분석 검토

7.1, 지갑 지갑 도난

보싱의 이글아이 보안 위험 모니터링에 따르면, 베오신의 보안 위험 모니터링, 조기 경보 및 차단 플랫폼인 이글아이에 따르면 올해 6월 초에 아토믹 월렛이 공격을 받았으며, 베오신 팀의 통계와 알려진 피해자들이 보고한 정보를 종합한 결과 이 공격으로 인한 피해액은 최소 약 6,700만 달러에 달한다고 합니다.

베오신 팀의 분석에 따르면 이번 도난에는 BTC, ETH, TRX를 포함한 21개 체인이 연루되었습니다. 도난당한 자금은 주로 이더 체인에 집중되어 있습니다.

이더리움 체인에서 도난당한 자금은 16,262 ETH 상당의 가상 화폐, 즉 약 3,000만 달러로 확인되었습니다.

웨이브필드 체인웨이브필드 체인에서 도난당한 자금은 25,133,587.3208 TRX 상당의 가상 화폐, 즉 약 1,700만 달러에 달하는 것으로 알려져 있습니다.

BTC 체인BTC 체인은 1,260만 달러에 해당하는 가상 화폐 420.882 BTC 상당의 자금을 도난당한 것으로 알려져 있습니다.

BSC 체인 BSC 체인은 402억 6266만 BNB 상당의 가상화폐를 도난당한 것으로 알려져 있습니다.

그 외 나머지 체인 XRP: 1,676,015 XRP, 약 84만 달러 LTC: 2,839.873,689 LTC, 약 22만 달러 DOGE: 800,575.673,69797 DOGE, 약 5만 달러

이더 체인에서 도난당한 것으로 알려진 금액이 있습니다. strong>해커가 탈취한 자금을 운용하는 방식에 따라 이더리움 체인에서 자금세탁의 예를 들어보겠습니다

해커가 공격받은 이더리움 체인에서는 크게 두 가지 방식으로 자금세탁이 이루어집니다

아발란체인을 이용하여 컨트랙트를 통해 분산시킨 후 체인 전체에서 자금세탁을 하는 경우