Web3 보안 경보: 2024년 가장 영향력 있는 공격 상위 10가지

2024년 블록체인 업계는 기술 혁신과 생태계의 확장과 함께 점점 더 심각한 보안 문제에 직면하고 있습니다. 보안 감사 회사 Beosin의 일부인 Alert 플랫폼의 모니터링에 따르면, 보도 시점을 기준으로 해킹, 피싱 사기, 프로젝트 측 러그 풀로 인한 웹3.0 분야의 총 손실액은 2024년에 24억 9,100만 달러에 달할 것으로 예상됩니다.

이러한 사건들은 개인 키 관리 및 스마트 컨트랙트 취약성과 같은 기술적 결함을 드러냈을 뿐만 아니라 사회 공학 및 내부 관리의 잠재적 위험도 부각시켰습니다. 이번 포스팅에서는 2024년에 가장 많이 발생한 웹3.0 보안 사고 10가지를 살펴보고, 이를 통해 업계가 교훈을 얻고 향후 보안 위협에 더 잘 대처할 수 있도록 돕고자 합니다.

No.1 DMM. 비트코인

손실 금액: 3억 4천만 달러

공격: 개인 키 유출

2024년 5월 31일, 일본의 베테랑 암호화폐 거래소인 DMM 비트코인이 역사적인 공격을 받았습니다. 공격자들은 유출된 개인 키를 사용하여 3억 달러 상당의 비트코인을 직접 이체하고 훔친 자금을 10곳 이상의 다른 주소로 빠르게 분산시켰습니다. 이 공격으로 DMM 비트코인의 개인 키 관리와 다계층 보안에 심각한 결함이 노출되었습니다. 거래소는 온체인 모니터링과 자금 동결을 통해 해커를 추적하려 했지만, 탈취한 비트코인의 분산된 전송과 암호화폐 혼합 도구를 사용한 세탁으로 인해 추적이 매우 어려웠습니다.

12월 24일, 일본 경찰은 DMM 비트코인 도난이 북한 해커 그룹 라자루스 그룹의 소행이라고 판단했습니다.

No.2. PlayDapp

손실: 2억 9천만 달러

공격: 개인 키 탈취

2024년 2월 9일, 해커들이 개인 키를 탈취하여 초기 가치 3,650만 달러에 달하는 20억 개의 PLA 토큰을 발행하면서 PlayDapp은 큰 타격을 입었습니다. 프로젝트와 해커 간의 협상이 실패하자 해커들은 단기간에 2억 5,390만 달러에 해당하는 159억 개의 PLA 토큰을 추가로 발행했습니다. 이 토큰 중 일부가 게이트 거래소에 유입된 후, 플레이댑은 PLA 계약을 중단하고 PDA 토큰 계약으로 마이그레이션해야 했습니다. 이 사건은 블록체인 프로젝트의 개인 키 보호와 사고 대응 측면에서 단점을 부각시켰습니다.

3번 와지르엑스

손실액: 2억 3,500만 달러

공격 방법: 사이버 공격 및 피싱

2024년 7월 18일, 인도 최대 암호화폐 거래소인 와지르엑스의 다중 서명 지갑인 세이프 월렛이 해커의 정밀 공격을 받았습니다. 공격자들은 소셜 엔지니어링을 통해 다중 서명자가 계약 업그레이드 거래에 서명하도록 유도한 다음, 업그레이드된 계약 권한을 사용하여 지갑의 자산을 지갑 밖으로 이동시켰습니다. 이 사건은 관리 권한 구성과 운영 투명성 측면에서 다중 서명 지갑의 잠재적 위험을 강조하며, 프로젝트의 내부 위험 통제 및 보안 메커니즘에 대한 업계의 심도 있는 성찰을 촉발하는 계기가 되었습니다.

4번 갈라 게임

손실 금액: 2억 1,600만 달러

공격: 접근 제어 취약점

2024년 5월 20일, 토큰 컨트랙트에서 토큰을 한 번에 발행하는 민트 함수를 호출하여 Gala Games의 권한 있는 주소가 해킹당했습니다. 공격자들은 토큰 컨트랙트의 발행 함수를 호출하여 50억 개의 GALA 토큰을 한 번에 발행했습니다. 해커는 추가 토큰을 일괄적으로 이더리움으로 교환하여 2억 1,600만 달러의 직접적인 손실을 입었습니다. 갈라 게임즈 팀은 블랙리스트 기능으로 해커의 일부 계정을 차단하고 사법적 수단을 통해 손실을 복구했습니다.

No.5. 크리스 라센(크리스 라센, 리플의 공동 설립자)

손실: 1억 1,200만 달러

공격 방식: 개인 키 탈취

공격 방식: 개인 키 탈취

2024년 1월 31일, 리플 공동 창립자 Chris Larsen의 개인 지갑 4개가 해킹당해 1억 1,200만 달러의 XRP가 도난당했습니다. 해당 지갑은 하드웨어 장치에 이중 보호 기능이 없기 때문에 표적이 된 것으로 추정됩니다. 사건 발생 후 코인섹은 420만 달러 상당의 XRP를 동결하고 라센의 도난 자산 추적을 지원했지만, 대부분의 자금은 탈중앙화 거래소와 암호화폐 혼합 서비스를 통해 이미 세탁된 상태였습니다.

6번 뭉쳐블

손실 금액: 6250만 달러

공격 유형: 소셜 엔지니어링 공격

2024년 3월 26일, Blast 기반 웹3 게임 플랫폼인 Munchables가 드문 내부 침입 공격을 받았습니다. 블록체인 개발자로 위장한 북한 해커들이 장시간의 침입을 통해 핵심 코드와 민감한 키에 접근한 공격자들이었습니다. 공격으로 인한 막대한 손실에도 불구하고 해커들은 결국 커뮤니티와 팀의 압력으로 인해 훔친 자금을 모두 반환했습니다. 이 사건은 특히 타사 개발에 의존하는 블록체인 프로젝트에서 공급망 보안의 중요성을 보여줍니다.

7위 BtcTurk

손실 금액: 5,500만 달러

공격 방식: 개인키 탈취

2024년 6월 22일, 터키 최대 암호화폐 거래소인 BtcTurk가 개인키 탈취 공격을 받아 5,500만 달러 이상의 암호화폐 자산이 손실되었습니다. 코인섹 팀의 도움으로 도난당한 자금 중 530만 달러는 성공적으로 동결되었지만 다른 자산은 아직 회수하지 못했습니다. 이 사건으로 인해 중앙화된 거래소의 개인 키 관리에 대한 시장의 우려가 깊어졌습니다.

BtcTurk의 공격에 대한 공식 발표< /p>

8위 래디언트 캐피탈

손실 금액: 5,300만 달러

피해 금액: 5,300만 달러

BtcTurk의 공격 공식 발표< align: left;">공격: 개인 키 유출

2024년 10월 17일, 래디언트 캐피탈의 다중 서명 지갑이 해킹당했습니다. 해커는 낮은 임계값과 3/11 서명 검증 모델 때문에 서명자 3명의 개인 키를 탈취하여 오프체인 서명을 시작했고, 지갑의 계약 소유권을 악성 주소로 이전하여 결국 5,300만 달러를 도난당했습니다. 이 공격은 다중 서명 지갑 설계와 거버넌스 메커니즘에 대한 업계의 성찰을 촉발했습니다.

래디언트 캐피털은 이 공격 이전에 계약 취약점으로 인해 450만 달러를 잃고 1,900개 이상의 이더리움을 도난당했습니다. Web3 프로젝트 당사자들은 여전히 보안에 더 많은 주의를 기울여야 합니다.

9번 헤지 파이낸스

손실 금액: 4470만 달러

공격 방법: 컨트랙트 취약성

2024년 4월 19일, 헤지 파이낸스는 여러 온체인 컨트랙트를 노린 공격에 당했습니다. <해커들은 클레임캠페인 컨트랙트의 승인 취약점을 악용하여 이더리움과 아비트럼 체인에서 토큰을 성공적으로 탈취했으며, 총 4,470만 달러의 손실을 입었습니다. 이 사건은 코드 감사, 특히 토큰 승인 로직에 대한 엄격한 검증의 중요성을 보여줍니다.

No.10. BingX

손실 금액: 4470만 달러

공격 방식: 개인 키 탈취

2024년 9월 19일, 이더리움, BNB 체인, 트론 등 여러 퍼블릭 체인이 포함된 BingX 거래소의 핫월렛이 해킹당했습니다. 거래소는 신속하게 자산 이체 및 출금 동결 메커니즘을 활성화했지만 해커들은 4470만 달러 상당의 자산을 인출해갔습니다. <이번 공격은 중앙화된 거래소의 핫월렛 관리의 고위험성을 반영하며, 업계가 보다 안전한 자산 보관 솔루션을 모색해야 한다는 점을 더욱 강조하고 있습니다.

2024년 보안 공격의 빈도는 보안 에스코트 없이는 블록체인 산업이 성장할 수 없음을 다시 한 번 상기시켜줍니다. 개인 키 유출부터 계약 취약점, 내부 관리 감독 소홀부터 외부 공격 방법의 확대에 이르기까지, 각 사건은 깊은 교훈을 가져다주었습니다. 점점 더 정교해지는 공격 위협에 대응하기 위해 업계의 모든 당사자는 기술 연구 개발, 관리 표준화, 위험 예방 및 통제에 대한 투자를 지속적으로 강화해야 합니다. 앞으로 업계의 협력과 기술 혁신을 통해 더욱 안전한 블록체인 생태계를 구축하고 사용자와 투자자를 더욱 안정적으로 보호할 수 있기를 기대합니다.