
2023년 Web3 블록체인 보안 상황 및 자금세탁 방지 분석
글 작성: Beosin 연구팀 Mario, 전대협 Donny
본문은 『2023 Web3 블록체인 보안 현황, 자금세탁방지(AML) 분석 회고 및 암호화 산업 주요 규제 정책 종합』의 첫 번째 부분으로, 보고서의 보안 현황 부분만을 게재하며, 규제 정책 등의 내용은 『2023년 글로벌 Web3 가상자산 산업 규제 정책 및 사건 관찰』에서 확인할 수 있다.
서론
본 연구 보고서는 블록체인 보안 얼라이언스가 발족하고, 얼라이언스 회원사 Beosin, Web3 소율, Elven이 공동 집필하여, 2023년 글로벌 블록체인 보안 현황과 암호화 산업의 주요 규제 정책을 포괄적으로 다루기 위한 목적을 가지고 있다. 글로벌 블록체인 보안 현황에 대한 분석과 평가를 통해 현재 직면한 보안 위협과 도전 과제를 밝히고, 이를 해결하기 위한 방안과 최적의 실천 방법을 제시한다. 또한 각국 정부와 규제 기관의 암호화 산업에 대한 규제 입장과 정책 방향을 검토함으로써 독자들이 규제 환경의 동적 변화와 그 영향력을 이해하는 데 도움을 준다.
이 보고서를 통해 독자들은 Web3 블록체인 보안 현황의 역동적인 변화와 규제 정책의 핵심 요점을 더욱 포괄적으로 이해할 수 있게 된다. 이는 독자들이 블록체인 분야에서 마주하는 보안 도전 과제를 평가하고 대응하며, 규제 요건을 준수하는 전제 하에 산업의 지속 가능한 발전을 추진하는 데 기여할 것이다. 또한 본 보고서를 통해 보안 조치, 법규 준수 요구사항, 산업 발전 방향 등에 관한 유익한 조언을 얻어, 이 신생 분야에서 현명한 의사결정과 행동을 할 수 있도록 지원한다. 블록체인 보안과 규제는 Web3 시대 발전의 핵심 과제이다. 심층적인 연구와 논의를 통해 우리는 이러한 도전 과제를 보다 잘 이해하고 대응할 수 있으며, 블록체인 기술의 안전성과 지속 가능한 발전을 촉진할 수 있다.
1. 2023년도 Web3 블록체인 보안 현황 종합

블록체인 보안 감사 업체 Beosin 산하 EagleEye 플랫폼의 모니터링 결과에 따르면, 2023년 Web3 분야에서 해커 공격, 피싱 사기, 프로젝트 팀의 럭풀(Rug Pull)로 인한 총 손실액은 20.2억 달러에 달했다. 이 중 공격 사건은 191건, 총 손실 금액은 약 13.97억 달러; 프로젝트 팀의 럭풀 사건은 267건, 총 손실액은 약 3.88억 달러; 피싱 사기로 인한 손실은 약 2.38억 달러이다.

2023년에는 해킹 공격, 피싱 사기, 프로젝트 팀의 럭풀 사건 모두 2022년 대비 현저히 감소했으며, 총 손실 금액은 53.9% 줄었다. 특히 해킹 공격의 감소폭이 가장 커서, 2022년의 36억 달러에서 2023년 13.97억 달러로 약 61.2% 감소했다. 피싱 사기 손실은 2022년 대비 33.2% 감소했고, 럭풀 손실은 8.8% 감소했다.

2023년 한 해 손실액이 1억 달러를 초과한 공격 사건은 4건 발생했으며, 손실액이 1000만~1억 달러 사이인 공격 사건은 17건 발생했다. 상위 10대 보안 사건의 총 손실액은 약 10억 달러로, 연간 공격 사건 총 손실액의 71.5%를 차지했다.
2023년 공격을 당한 프로젝트 유형은 2022년보다 더욱 다양해졌으며, DeFi, CEX, DEX, 공용 블록체인, 크로스체인 브리지, 지갑, 결제 플랫폼, 도박 플랫폼, 암호화 브로커, 인프라, 비밀번호 관리자, 개발 도구, MEV 로봇, Telegram(TG) 로봇 등 다양한 유형이 포함되었다. DeFi가 공격 빈도와 손실 금액 면에서 가장 높았으며, 총 130건의 DeFi 공격으로 약 4.08억 달러의 손실이 발생했다.
2023년에는 공용 블록체인에 대한 공격이 더욱 잦아졌다며, 여러 체인에서 동시에 자산이 탈취된 사례도 다수 발생했다. Ethereum은 여전히 손실 금액이 가장 큰 공용 블록체인이며, 71건의 공격으로 7.66억 달러의 손실을 기록했고, 이는 연간 총 손실의 54.9%에 해당한다.
공격 수법 측면에서 보면, 총 30건의 개인키 유출 사건으로 약 6.27억 달러의 손실이 발생했으며, 이는 전체 손실의 44.9%로 가장 큰 피해 원인이 되었다. 계약서 취약점 이용은 발생 빈도가 가장 높은 공격 방식으로, 191건의 공격 사건 중 99건이 계약서 취약점 이용으로, 비중은 51.8%에 달했다.
연간 약 2.95억 달러의 탈취 자산이 회수되었으며, 이는 전체 탈취 자산의 약 21.1%로, 2022년 대비 크게 증가했다. 연간 약 3.3억 달러의 탈취 자산이 믹서(mixer)로 이체되었으며, 총 탈취 자산의 23.6%를 차지했다.
반면 체인 내 해킹 공격, 피싱 사기, 프로젝트 팀의 럭풀 금액은 현저히 감소한 것과 달리, 2023년 체인 외 암호화 분야의 범죄 데이터는 크게 증가했다. 2023년 세계 암호화 산업의 범죄 금액은 무려 656.88억 달러에 달했으며, 2022년의 137.6억 달러 대비 약 377% 증가했다. 금액 순위 상위 3개 범죄 유형은 온라인 도박, 자금세탁, 사기였다.

2. 2023년 Web3 생태계 10대 보안 사건
2023년 한 해 손실액이 1억 달러를 초과한 공격 사건은 총 4건 발생했다: Mixin Network(2억 달러), Euler Finance(1.97억 달러), Poloniex(1.26억 달러), HTX & Heco Bridge(1.1억 달러). 상위 10대 보안 사건의 총 손실액은 약 10억 달러로, 연간 공격 사건 총 손실액의 71.5%를 차지했다.
No.1 Mixin Network
손실 금액: 2억 달러
공격 방식: 클라우드 서비스 제공업체 데이터베이스 공격
9월 23일 새벽, Mixin Network의 클라우드 서비스 제공업체 데이터베이스가 해커의 공격을 받아 메인넷 일부 자산이 유실되었으며, 관련 자금은 약 2억 달러에 달했다. 9월 25일, Mixin 창립자는 라이브 방송을 통해 이번 사건을 공개적으로 설명하며, 피해를 입은 자산은 주로 비트코인 핵심 자산이며, BOX 및 XIN 등의 자산은 심각한 탈취 사례가 없었으며, 구체적인 공격 상황은 아직 밝힐 수 없다고 말했다.
No.2 Euler Finance
손실 금액: 1.97억 달러
공격 방식: 계약서 취약점 - 비즈니스 로직 문제
3월 13일, DeFi 대출 프로토콜 Euler Finance가 공격을 받아 약 1.97억 달러의 손실을 입었다. 근본적인 원인은 계약서가 사용자의 실제 보유 토큰 수량과 기부 후 사용자 장부의 건전성 상태를 올바르게 점검하지 않았기 때문이다. 이 사건의 모든 탈취 자금은 공격자가 모두 반환했다.
No.3 Poloniex
손실 금액: 1.26억 달러
공격 방식: 개인키 유출 / APT 공격
11월 10일, 저우위청(孫宇晨) 소유 거래소 Poloniex 관련 주소에서 대규모 자산이 지속해서 출금되며, 탈취 의혹이 제기되었다. 이후 저우위청과 Poloniex가 소셜 미디어를 통해 탈취 사실을 공식 인정했다. Beosin 보안 팀이 Beosin Trace를 활용해 추적한 결과, Poloniex의 탈취 자산 누적 금액은 약 1.26억 달러에 달했다.
No.4 HTX & Heco Bridge
손실 금액: 1.1억 달러
공격 방식: 개인키 유출
11월 22일, 저우위청 소유 거래소 HTX 및 크로스체인 브리지 Heco Bridge가 해커의 공격을 받아 총 손실액은 1.1억 달러에 달했다. 이 중 Heco Bridge의 손실은 8660만 달러, HTX의 손실은 약 2340만 달러였다.
No.5 Curve/Vyper
손실 금액: 7300만 달러
공격 방식: 계약서 취약점 - 재진입(Reentrancy)
7월 31일 새벽, 이더리움 프로그래밍 언어 Vyper는 트위터를 통해 Vyper 0.2.15, 0.2.16 및 0.3.0 버전에 재진입 잠금장치 취약점이 있다고 발표했다. ETH 전송 시 callback 호출이 가능해 이들 버전과 ETH가 조합된 LP 풀이 재진입 공격에 노출될 수 있었다. 이후 Curve 공식 트위터는 재진입 잠금장치 오류로 인해 Vyper 0.2.15를 사용하는 많은 스테이블코인 풀(alETH/msETH/pETH)이 공격을 받았다고 밝혔다. 이번 사건의 손실 금액은 약 7300만 달러에 달했다.
No.6 CoinEx
손실 금액: 7000만 달러
공격 방식: 개인키 유출 / APT 공격
9월 12일, 암호화폐 거래소 CoinEx는 리스크 관리 시스템이 플랫폼 거래 자산을 일시 보관하는 핫월렛에서 의심스러운 대규모 인출 활동을 감지했다고 발표했으며, 즉시 특별 대응팀을 구성해 조치를 취했다. 이번 사건에서는 주로 ETH, TRON, Polygon 등의 토큰 자산이 관련되었으며, 탈취 금액은 약 7000만 달러였다.
No.7 Atomic Wallet
손실 금액: 6700만 달러
공격 방식: 개인키 유출 / APT 공격
Beosin 산하 EagleEye 보안 리스크 모니터링·경보·차단 플랫폼의 모니터링 결과에 따르면, Atomic Wallet은 6월 초 공격을 당했으며, Beosin 팀의 통계에 따르면 체인상에서 확인된 피해자 신고 정보를 종합하면 이번 공격으로 인한 손실은 적어도 약 6700만 달러에 달했다.
No.8 Alphapo
손실 금액: 6000만 달러
공격 방식: 개인키 유출 / APT 공격
7월 23일, 암호화폐 결제 서비스 업체 Alphapo의 핫월렛이 해킹되어 총 6000만 달러의 손실을 입었다. 이 사건은 북한 해커 조직 라자루스(Lazarus) 소행이다.
No.9 KyberSwap
손실 금액: 5470만 달러
공격 방식: 계약서 취약점 - 비즈니스 로직 문제
11월 22일, DEX 프로젝트 KyberSwap이 공격을 받아 약 5470만 달러의 손실을 입었다. Kyber Network는 이번 해킹 공격이 DeFi 역사상 가장 복잡한 공격 중 하나였으며, 공격자가 해당 취약점을 이용하려면 일련의 정교한 체인상 작업을 수행해야 한다고 밝혔다.
No.10 Stake.com
손실 금액: 4130만 달러
공격 방식: 개인키 유출 / APT 공격
9월 4일, 암호화 도박 플랫폼 Stake.com이 해커의 공격을 받았다. 공격 발생 후 Stake.com은 ETH 및 BSC 상의 핫월렛에서 무단 거래가 발생했으며, 조사를 진행 중이며, 지갑이 완전히 안전하게 확보된 후 즉시 입출금 서비스를 재개할 예정이라고 밝혔다. 이 사건 역시 북한 해커 조직 라자루스 소행이다.
3. 공격 대상 프로젝트 유형
2022년과 비교해 2023년 공격을 당한 프로젝트 유형은 더욱 다양해졌으며, 손실 금액도 특정 몇 가지 유형에 집중되지 않았다. DeFi, CEX, DEX, 공용 블록체인, 크로스체인 브리지, 지갑 등 일반적인 유형 외에도, 2023년에는 결제 플랫폼, 도박 플랫폼, 암호화 브로커, 인프라, 비밀번호 관리자, 개발 도구, MEV 로봇, TG 로봇 등 다양한 프로젝트 유형에서도 해킹 사건이 발생했다.

2023년 총 191건의 공격 사건 중 DeFi 프로젝트가 130건(약 68%)으로 공격 횟수가 가장 많았다. DeFi 공격의 총 손실 금액은 약 4.08억 달러로, 전체 손실 금액의 29.2%를 차지하며, 손실 금액 면에서도 가장 많았다.
손실 금액 기준 2위는 CEX(중앙화 거래소)로, 9건의 공격으로 총 2.75억 달러의 손실을 입었다. 또한 DEX(탈중앙화 거래소) 유형에서는 16건의 공격이 발생했으며, 총 손실액은 약 8568만 달러였다. 종합적으로 보면, 거래소 유형은 2023년 보안 사건이 빈번하게 발생한 분야이며, 거래소 보안은 DeFi 보안 다음으로 두 번째로 큰 도전 과제이다.

손실 금액 기준 3위는 공용 블록체인으로, 손실 금액은 약 2.08억 달러이며, 주로 Mixin Network의 2억 달러 탈취 사건에서 기인했다.
2023년 크로스체인 브리지의 손실 금액은 4위를 기록하며, 전체 손실 금액의 약 7%를 차지했다. 반면 2022년에는 크로스체인 브리지 보안 사건이 12건 발생해 약 18.9억 달러의 손실을 입었으며, 당시 총 손실의 52.5%를 차지했다. 2023년에는 크로스체인 브리지 보안 사건이 현저히 감소했다.
5위는 암호화 결제 플랫폼으로, 2건의 보안 사건(Alphapo와 CoinsPaid)으로 총 약 9730만 달러의 손실을 입었으며, 이 두 사건의 배후 해커는 모두 북한 APT 조직 라자루스로 지목된다.
4. 각 블록체인별 손실 금액 현황
2022년과 비교해 2023년에는 공격을 당한 공용 블록체인의 종류도 더욱 다양해졌으며, 이는 주로 2023년 CEX의 개인키 유출 사건이 여러 체인에서 손실을 발생시켰기 때문이다. 손실 금액 기준 상위 5개 체인은 Ethereum, Mixin, HECO, BNB Chain, TRON이며, 공격 횟수 기준 상위 5개는 BNB Chain, Ethereum, Arbitrum, Polygon, Optimism 및 Avalanche(5위 공동)이다.

2022년과 마찬가지로, Ethereum은 여전히 손실 금액이 가장 큰 공용 블록체인이다. 71건의 Ethereum 공격으로 7.66억 달러의 손실이 발생했으며, 이는 연간 총 손실의 54.9%를 차지한다.
Mixin 체인의 손실은 2위를 기록하며, 단일 보안 사건으로 2억 달러의 손실이 발생했다. 3위는 HECO로, 손실액은 약 9260만 달러이다.

BNB 체인에서는 총 76건의 공격이 발생했으며, 전체 공격 사건의 39.8%를 차지해 공격 횟수 기준 모든 체인 플랫폼 중 가장 많았다. BNB 체인의 총 손실액은 약 7081만 달러이며, 대부분의 사건(88%)이 100만 달러 미만에 집중됐다.
5. 공격 수법 분석
2022년과 비교해 2023년의 공격 방식은 더욱 다양해졌으며, 특히 Web2 기반의 공격 방식이 추가되었다: 데이터베이스 공격, 공급망 공격, 제3자 서비스 제공업체 공격, 중간자 공격(MitM), DNS 공격, 프론트엔드 공격 등이다.

2023년에는 총 30건의 개인키 유출 사건으로 약 6.27억 달러의 손실이 발생했으며, 이는 전체 손실의 44.9%로 가장 큰 피해 원인이 되었다. 큰 손실을 초래한 개인키 유출 사건으로는 Poloniex(1.26억 달러), HTX & Heco Bridge(1.1억 달러), CoinEx(7000만 달러), Atomic Wallet(6700만 달러), Alphapo(6000만 달러) 등이 있다. 이 중 대부분의 사건은 북한 APT 조직 라자루스와 관련이 있다.

계약서 취약점 이용은 발생 빈도가 가장 높은 공격 방식으로, 191건의 공격 사건 중 99건이 계약서 취약점 이용으로, 비중은 51.8%에 달했다. 계약서 취약점으로 인한 총 손실액은 4.3억 달러로, 손실 금액 순위 2위를 기록했다.
세부 취약점 분류에 따르면, 발생 빈도와 피해 금액 면에서 가장 큰 것은 비즈니스 로직 취약점으로, 계약서 취약점 사건 중 약 72.7%의 손실이 이에 해당하며, 총 손실액은 약 3.13억 달러이다. 손실 금액 순위 2위는 재진입 취약점으로, 13건의 재진입 취약점이 약 9347만 달러의 손실을 초래했다.

6. 주요 사례 공격 수법 분석
6.1 Euler Finance 보안 사건
사건 개요
3월 13일, 이더리움 체인 상의 대출 프로젝트 Euler Finance가 플래시론 공격을 받아 1.97억 달러의 손실을 입었다.
3월 16일, Euler 재단은 해커 체포 및 탈취 자금 반환에 도움이 될 정보를 제공하는 자에게 100만 달러의 현상금을 걸었다.
3월 17일, Euler Labs CEO 마이클 벤틀리는 트위터를 통해 "Euler는 항상 보안에 매우 신경 쓰는 프로젝트였다"라고 밝혔다. 2021년 5월부터 2022년 9월까지 Euler Finance는 Halborn, Solidified, ZK Labs, Certora, Sherlock 및 Omnisica 등 6개 블록체인 보안 업체로부터 총 10회의 감사를 받았다.
3월 18일부터 4월 4일까지 공격자가 차례로 자금을 반환하기 시작했다. 이 기간 동안 공격자는 체인상 메시지를 통해 자신이 "타인의 돈, 타인의 일, 타인의 삶을 어지럽혔다"며 용서를 요청했다.

4월 4일, Euler Labs는 트위터를 통해 성공적인 협상을 통해 공격자가 모든 탈취 자금을 반환했다고 발표했다.
취약점 분석
이번 공격에서 Etoken 계약서의 donateToReserves 함수는 사용자의 실제 보유 토큰 수량과 기부 후 사용자 장부의 건전성 상태를 올바르게 점검하지 못했다. 공격자는 이 취약점을 이용해 1억 개의 eDAI를 기부했는데, 실제로는 3000만 개의 DAI만 담보로 맡겼다.
기부 후 사용자 장부의 건전성 상태가 정산 조건을 충족하면서 대출 계약서가 정산을 위해 실행되었다. 정산 과정에서 eDAI와 dDAI가 정산 계약서로 이체된다. 그러나 부실채권 금액이 매우 크기 때문에 정산 계약서는 최대 할인율을 적용해 정산한다. 정산 후 정산 계약서는 3.1093억 개의 eDAI와 2.5931억 개의 dDAI를 보유하게 된다.
이 시점에서 사용자 장부의 건전성 상태는 회복되었으며, 사용자는 자금 인출이 가능하다. 인출 가능한 금액은 eDAI와 dDAI의 차이값이다. 하지만 풀에는 실제로 3890만 DAI만 존재하므로 사용자는 이 금액만 인출할 수 있다.

6.2 Vyper/Curve 보안 사건
사건 개요
7월 31일, 이더리움 프로그래밍 언어 Vyper는 트위터를 통해 Vyper 0.2.15, 0.2.16 및 0.3.0 버전에 재진입 잠금장치 취약점이 있다고 발표했다. Curve는 Vyper 0.2.15를 사용하는 여러 스테이블코인 풀(CRV/alETH/msETH/pETH)이 공격을 받아 총 손실액이 7300만 달러에 달했으며, 이후 약 5230만 달러가 해커에 의해 반환되었다고 밝혔다.

취약점 분석
이번 공격의 주요 원인은 Vyper 0.2.15의 재진입 방지 잠금장치가 무효화된 것이며, 공격자는 유동성 풀의 remove_liquidity 함수를 호출해 유동성을 제거할 때, add_liquidity 함수를 재진입하여 유동성을 추가했다. 잔고 업데이트가 add_liquidity 함수 진입 전에 이루어져 가격 계산에 오류가 발생했다.


7. 자금세탁방지(AML) 주
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News









