2023년 최악의 암호화폐 해킹을 정리한 기사

저자: 다니엘 필립스, 코인마켓캡 번역: 굿오바, 골든파이낸스

2023년이 다가오면서 비트코인과 암호화폐 시장 전체는 극심한 약세장에서 강력한 회복세를 보였다는 점에서 획기적인 한 해로 기억될 것입니다. 그러나 올해에만 약 24억 달러가 도난당하는 등 암호화폐 도난은 여전히 흔한 일입니다.

블록체인 보안 및 분석 기업 Certik의 보고서에 따르면 올해 3분기는 암호화폐 도난이 가장 기승을 부린 시기로, 총 184건의 사건으로 7억 달러에 가까운 손실이 발생한 것으로 알려져 있습니다. 3분기에만 도난당한 금액이 1, 2분기를 합친 것보다 더 많았습니다.

이 수치는 우려스러운 수준이지만, 작년의 총 35억 달러에 비해서는 감소한 수치입니다.

슬로우미스트에 따르면 2023년 현재까지 450건의 암호화폐 도난이 확인되었으며, 이더리움 및 BNB 스마트 체인의 탈중앙화 프로토콜이 가장 흔한 표적이었습니다.

많은 블록체인 플랫폼은 오픈소스 소프트웨어를 기반으로 구축되며, 이는 투명성과 커뮤니티 협업을 촉진하는 데 도움이 될 수 있지만, 부주의한 사람들이 악용할 수 있는 취약점을 노출할 수도 있습니다.

대부분의 경우 법적 처벌이 미미하고 사후적으로 포상금이 지급될 가능성도 있기 때문에 기술 지식을 가진 사람들이 불법적인 목적으로 기술을 사용할 가능성이 높습니다.

유감스럽게도 이러한 상황은 암호화폐 거래소, 플랫폼, 프로토콜, 그리고 궁극적으로 보안 허점으로 가득 찬 이러한 공격의 피해를 입는 사용자들이 명백한 표적이 될 수밖에 없습니다. 실제로 아래 나열된 도난 사건에서 도난당한 자금의 대부분은 복구가 불가능할 가능성이 높습니다.

2023년 최악의 해킹 사례를 살펴봅시다.

사이버 네트워크: 5,470만 달러

2023년 11월에 사이버 네트워크에 영향을 미치는 보안 사고가 발생했습니다. 공격자들은 이동성과 관련된 취약점을 악용하여 KyberSwap Elastic에서 약 5,470만 달러를 훔쳤습니다.

해커들은 새로운 토큰의 발행 기능에서 재입력 취약점을 악용하여 상당한 자금 손실과 플랫폼 잠금을 초래한 후, Arbitrum, 이더리움, 옵티미즘, 폴리곤 등 여러 블록체인 네트워크에 걸쳐 있는 카이버스왑의 유동성 풀을 노렸습니다. 총 가치(TVL) 90% 하락.

예기치 않게도 해커는 일련의 요구 사항이 충족되면 훔친 자금을 돌려주겠다고 제안했습니다. 무엇보다도 공격자는 카이버 네트워크에 대한 완전한 통제권과 모든 온/오프체인 회사 자산의 완전한 항복을 요구했습니다.

해커들은 12월 10일까지 자신들의 요구를 충족시키지 않으면 조건이 무효화될 것이라고 요구했습니다.

출처:Etherscan

카이버의 개발팀은 공격자에게 굴복하는 대신 피해 사용자들에게 금전적 지원을 포함한 보상 계획을 추진하고 있는 것으로 보입니다.

커브: 7,350만 달러

커브는 해킹에 익숙하며, 2023년 7월 공격자들은 여러 개의 바이퍼 0.02.15 스테이블코인 풀에서 결함이 있는 재귀적 재귀 잠금을 이용하여 자금을 빼돌렸습니다. 자금이 부족해지자 커브가 또다시 악용되었습니다.

이 공격의 영향을 받은 주요 프로토콜과 풀은 Alchemix, JPEG'd, MetronomeDAO, deBridge, Ellipsis 및 CRV/ETH 풀이었습니다.

해커들이 10%의 소급 화이트햇 현상금을 수락한 후 도난당한 자금의 대부분이 커브 파이낸스에 반환되었고, 메트로놈과 알케미믹스는 여러 화이트햇 해커들의 노력으로 각각 600만 달러와 1300만 달러를 회수하면서 상황이 호전되고 있는 것으로 보입니다. 여러 화이트햇 해커의 노력으로 Metronome과 Alchemix는 각각 600만 달러와 1,300만 달러를 회수했습니다.

커브는 해킹이 발생한 지 약 2주 후, 공정한 리소스 분배를 위해 피해를 평가한 후 아직 피해를 입은 사람들에게 보상을 제공하기 위해 노력했습니다.

을러 파이낸스: 1억 9,700만 달러

올해 3월, Euler. Finance는 1억 9,700만 달러 규모의 해킹 피해를 입었으며, 이는 암호화폐 업계에서 올해 가장 기괴한 사건 중 하나로 기록되었습니다.

공격자들은 오일러의 스마트 컨트랙트의 취약점을 악용하여 플래시 대출 공격을 교묘하게 실행했습니다. 이러한 방식으로 공격자들은 1억 9,700만 달러 상당의 DAI, wBTC, stETH, USDC 등 다양한 암호화폐를 탈취하여 프로토콜의 자금을 거의 약탈해갔습니다.

그러나 오일러 파이낸스 팀은 공격자들을 추적하고 통신 라인을 구축하는 데 성공했습니다. 이를 통해 공격자들이 올바른 행동을 하지 못하도록 막고 "복구 가능한 모든 자금"을 신속하게 Euler 프로토콜 금고로 반환한 것으로 보입니다.

이후 오일러 팀은 상환 기능을 일반에 공개하여 사용자가 공격으로 손실된 자금을 회수할 수 있도록 했습니다. 오일러 프로토콜은 아직 비활성 상태이지만, 새로운 모듈형 오픈 대출 솔루션의 출시가 임박했음을 암시했습니다.

믹신 네트워크: 2억 달러

믹신 네트워크는 디지털 자산의 효율적인 크로스체인 거래를 촉진하기 위해 설계된 탈중앙화 네트워크입니다.

2023년 9월, 클라우드 기반 서비스에 대한 치명적인 공격을 받아 약 2억 달러 상당의 고객 자산이 도난당했습니다. 공격 직후 Mixin 네트워크는 중단되었습니다.

공식 발표에 따르면, Mixin 팀은 이러한 손실을 최소화하기 위해 최선을 다할 계획이라고 합니다.

이후 라이브 스트림에서 믹신 네트워크 설립자 샤오동 펑은 플랫폼이 도난당한 자산의 최대 50%까지만 환불할 수 있으며, 나머지는 궁극적으로 "토큰화된 책임 청구"를 통해 보상할 수 있다고 말했습니다. 미래의 이익을 사용하려고 시도합니다.

이 정도 규모의 해킹이 발생한 후 종종 그렇듯이, Mixin은 처음에 해커들이 나머지 자금을 반환하는 조건으로 소급 침해에 대해 2,000만 달러의 현상금을 제시했습니다. 안타깝게도 공격자들은 이미 훔친 USDT를 체인에서 동결되는 것을 막기 위해 DAI로 전환했기 때문에 이 제안은 귀에 들어오지 않았습니다.

멀티체인: 1억 2,600만 달러

당시 가장 인기 있는 크로스체인 브리징 프로토콜 중 하나였던 멀티체인은 2023년 7월 7일 해킹을 당해 1억 2,600만 달러 상당의 다양한 암호화폐를 도난당했습니다. 1억 2,600만 달러 상당의 다양한 암호화폐가 도난당했습니다.

역사상 가장 큰 규모의 암호화폐 해킹 중 하나였던 이 공격에는 팬텀, 문리버, 도지체인 등 여러 블록체인 네트워크와 다양한 암호화폐 자산이 관련되어 있었습니다.

현재까지 해킹의 근본 원인은 밝혀지지 않았지만, 해커가 멀티체인의 MPC 키를 탈취했을 가능성이 있습니다. 해킹은 내부자 소행("러그 풀"이라고도 함)으로 의심되고 있습니다.

2023년 5월 멀티체인의 CEO인 준 자오가 실종되고 이후 팀이 플랫폼에서 필요한 기술 유지보수를 수행하지 못하면서 이러한 의혹은 부분적으로 더욱 커졌습니다.

놀랍게도 멀티체인 프런트엔드는 오늘날에도 여전히 운영되고 있습니다. 사용자는 자신의 자산에 대한 브리지를 초기화할 수 있지만, 이 전송이 완료되지는 않습니다. 플랫폼 개발팀은 멀티체인 도메인 계정에 대한 액세스 권한이 없기 때문에 사이트나 서비스를 종료할 수 없다고 공개적으로 밝혔으며, 서비스 사용에 대해 경고하고 있습니다.

아토믹 월렛: 1억 달러 이상

2023년 6월, 당시 인기 있는 암호화폐 자체 호스팅 지갑이었던 아토믹 월렛은 대규모 보안 침해를 당했습니다. 이로 인해 약 0.1%의 사용자가 1억 달러 이상의 손실을 입었습니다.

악명 높은 북한 해커 그룹 라자루스의 소행으로 알려진 이 공격은 일반적으로 셀프 호스팅이 타사 호스팅보다 더 안전한 것으로 간주되기 때문에 올해 가장 예기치 못한 보안 사고 중 하나였습니다.

침해의 정확한 원인은 아직 밝혀지지 않았지만, 개인키 생성에 사용된 엔트로피 부족(즉, 개인키가 무차별 대입으로 깨졌을 수 있음), 공급망 공격 등 몇 가지 가능성이 제기되고 있습니다.

이 여파로 아토믹 월렛, 개발사 아토믹 시스템즈, 소유주 콘스탄틴 글래디치를 상대로 최소 3건의 소송이 제기되었습니다. 아토믹 월렛은 유출 사고의 근본 원인에 대한 조사가 "복잡하다"고 설명하며 피해 사용자 지원 계획에 대해 입을 굳게 다물고 있습니다.

지분: 4,100만 달러

2023년 9월, 잘 알려진 암호화폐 도박 플랫폼 스테이크는 "잘 계획된 침입"으로 인해 이더리움에 대한 침해가 발생했습니다. 이로 인해 이더, 폴리곤, BNB 스마트 체인 플랫폼에서 총 4,100만 달러의 자산 손실이 발생했습니다."라고 설명했습니다.

탈취된 자금에는 6,001 ETH, 390만 USDT, 110만 USDC, 90만 DAI가 포함되었으며, 공격 직후 공격자들은 체인 전반에서 자금을 이체하기 시작했고, 이 중 대부분은 결국 네이티브 비트코인(BTC)으로 전환되었습니다.

악명 높은 라자루스 해킹 그룹의 소행으로 의심되는 이번 공격은 스테이크의 핫월렛 개인키를 직접 손상시키지 않았다는 점에서 다른 사건과는 달랐습니다. 스테이크 설립자 에드워드 크레이븐에 따르면 해커들은 스테이크의 내부 거래 승인 시스템에 액세스하여 승인되지 않은 거래를 처리할 수 있었다고 합니다.

이 목록에 있는 다른 공격과 달리 스테이크 공격은 고객 자금에 영향을 미치지 않았습니다. 대신 해커들은 거액의 보너스를 지급하도록 설계된 핫월렛에 침입했습니다.

결론

탈중앙화된 금융 부문인 암호화폐 산업은 재정적 책임을 집행할 중앙화된 기관이 없기 때문에, 사용자는 자신의 자산을 보호하기 위해 자체 호스팅 솔루션과 암호화폐 보안 관행에 대한 최신 지식에 크게 의존하고 있습니다. 자산.

유감스럽게도 기술에 정통한 일부 개인을 포함한 수많은 암호화폐 사용자가 여전히 다양한 해킹과 사기의 희생양이 되고 있습니다.