2023 블록체인 보안 및 자금세탁방지 연례 보고서 개요
작성자: 만무 AML 팀
만무 테크놀로지(MslowMist)는 『2023 블록체인 보안 및 자금세탁방지 연간 보고서』를 발표합니다. 본 보고서가 독자들에게 유익한 정보를 제공하고, 업계 종사자와 사용자들이 블록체인 보안 현황과 해결 방안을 더욱 포괄적으로 이해하는 데 도움이 되기를 기대하며, 블록체인 생태계의 안전성 증진에 기여하고자 합니다. 분량 제한으로 인해 여기에서는 보고서의 핵심 내용만 요약하여 소개하며, 전체 내용은 링크를 클릭하여 확인할 수 있습니다.
일, 개요
2023년은 블록체인 산업에 있어 격동과 희망이 공존한 한 해였다. 이러한 배경 속에서 본 보고서는 2023년 블록체인 산업의 주요 규제 준수 정책 및 동향을 회고하고, 블록체인 보안 사건과 자금세탁방지 상황을 정리하며, 일부 자금세탁 도구에 대한 통계를 제시하고, 대표적인 보안 사건 및 피싱 사기 수법에 대해 심층 분석함으로써 예방 방안과 조치 권고안을 제시하고자 한다. 또한 Web3 반사기 플랫폼 Scam Sniffer에게 Wallet Drainer 관련 내용을 집필해 주었으며, 해커 그룹 'Lazarus Group'의 자금세탁 수법과 수익금에 대해서도 분석 및 통계를 수행하였다.
이, 블록체인 보안 현황
만무 블록체인 해킹 사건 아카이브(SlowMist Hacked)에 따르면, 2023년 총 464건의 보안 사건이 발생했으며, 총 피해 금액은 24.86억 달러에 달한다. 2022년(총 303건, 약 37.77억 달러 피해)과 비교하면 손실이 34.2% 감소했다.
-
블록체인 보안 사건 종합 현황
프로젝트 분야별로 보면, 여전히 DeFi가 가장 많이 공격받는 영역이다. 2023년 DeFi 보안 사건은 총 282건으로 전체 사건의 60.77%를 차지하며, 피해 금액은 7.73억 달러에 달한다. 이는 2022년(183건, 약 20.75억 달러 피해) 대비 손실이 62.73% 감소한 수치이다.
(2023년 각 분야별 보안 사건 분포 및 손실)
(2022년과 2023년 DeFi 보안 사건 분포 및 손실 비교)
생태계별로 보면, Ethereum의 손실이 가장 크며 4.87억 달러에 달한다. 다음으로 Polygon이 1.23억 달러의 손실을 기록했다.
(2023년 각 생태계별 보안 사건 분포 및 손실)
사건 원인별로 보면, 프로젝트 운영진의 횡령(Rug Pull) 사건이 가장 많았으며 117건 발생했고, 약 8300만 달러의 손실을 초래했다. 그 다음으로 계정 해킹에 의한 보안 사건이 많았다.
(2023년 보안 사건 유형 분포)
-
주요 공격 사건 사례
본 항목에서는 2023년 손실 금액 상위 10건의 보안 사건을 선정하여 소개한다. 자세한 내용은 문서 말미 PDF 파일을 참고하시기 바란다.
(2023년 손실 금액 상위 10건 보안 공격 사건)
Rug Pull
만무 블록체인 해킹 사건 아카이브(SlowMist Hacked)에 따르면, 2023년에는 무려 117건의 Rug Pull 사건이 발생했으며, 약 8300만 달러의 손실을 초래했다. 이 중 Base 생태계의 손실이 가장 컸으며 3250만 달러에 달한다. 다음으로 BSC 생태계가 2305만 달러의 손실을 기록했다.
(2023년 손실 금액 상위 10건 Rug Pull 사건)
(2023년 각 생태계별 Rug Pull 사건 분포 및 손실)
Rug Pull은 프로젝트 운영진이 악의적으로 자금을 횡령하는 사기 수법으로, 다양한 형태로 나타난다. 예를 들어 초기 유동성을 공급한 후 가격을 끌어올린 뒤 유동성을 회수하거나, 마케팅을 통해 사용자들의 투자를 유치한 후 적절한 시기에 갑작스럽게 투자금을 빼돌리고 암호화폐를 매도한 후 사라지는 경우, 또는 수십만 달러의 예금을 유치한 후 웹사이트를 폐쇄하거나, 프로젝트 내에 백도어 코드를 남기는 등 여러 가지 방법이 있다. 어떤 형태든 관계없이 모든 Rug Pull은 투자자들에게 손실을 입힌다.
또한 본 절에서는 스마트계약 저장소를 이용한 극도로 은밀한 Rug Pull 사례를 소개한다. 사례: 토큰 발행량 증가 기록이 전혀 없는 상황에서 악성 사용자가 미공개된 대량의 추가 발행된 토큰을 이용해 풀 내 자금을 빼돌리는 사례이다.
사기
최근 몇 년간 암호화폐 시장은 사기범들이 사기를 치는 비옥한 땅이 되었다. 사기범들은 유명 인사를 사칭하는 가짜 계정, 사랑을 가장한 사기(Love Scam), 허위 거래소 홍보, 폰지 사기 등의 수법을 사용하며, 기술 발전에 따라 인공지능 소프트웨어까지 활용해 사기를 더욱 설득력 있게 꾸민다. 본 절에서는 주로 홍콩 지역에서 발생한 암호화폐 사기인 JPEX 사건을 소개한다. 관련 주장에 따르면, JPEX 사건은 홍콩 역사상 최대 규모의 금융사기 사건이 될 가능성이 있다.
(JPEX 사건 타임라인)
-
피싱 / 사기 수법
본 절에서는 우리가 2023년에 공개한 주요 피싱 및 사기 수법들을 소개한다:
2. Permit 서명 피싱
6. Create2 피싱 리스크 (https://drops.scamsniffer.io/post/wallet-drainers-starts-using-create2-bypass-wallet-security-alert)
7. SIM 카드 교환 공격
삼, 자금세탁방지(Anti-Money Laundering) 현황
본 절은 자금세탁방지 및 규제 동향, 보안 사건 관련 자금세탁, 해커 그룹 프로파일링 및 동향, 자금세탁 도구 등 네 부분으로 나뉜다.
-
자금세탁방지 및 규제 동향
2023년에도 암호화폐 세계는 계속해서 혼란과 불안정을 겪었다. 이전 사이클의 암호화폐 호황기 당시 SBF와 CZ라는 두 산업 거물의 행동 하나하나가 시장에 큰 영향을 미쳤다. 그러나 11월, 연방 배심원단은 FTX 붕괴와 관련된 사기 및 공모 혐의로 SBF에게 유죄 판결을 내렸다. 그로부터 단 몇 주 후, 바이낸스(Binance)는 기소를 수용하고 43억 달러의 벌금을 납부했으며, CZ 역시 바이낸스 경영권 포기를 승인했다. 암호화폐 산업이 불안정한 '한파'와 약세장 사이를 오가면서 각국 정부와 국제기구들도 더욱 신중한 태도를 보이고 있으며, 각국의 암호화폐 규제 정책도 점차 형성되고 있다. 구체적인 정책 및 집행 조치는 문서 말미 PDF를 참조하십시오.
-
보안 사건 관련 자금세탁
1. 자금 동결 데이터
InMist 정보 네트워크 파트너들의 강력한 지원 아래, SlowMist는 2023년 고객, 파트너 및 공개된 해킹 사건과 관련하여 총 1250만 달러 이상의 자금을 동결 조치하는 데 협력했다.
2. 자금 반환 데이터
2023년 공격 후 전부 또는 일부 자금을 회수한 사건은 총 31건이었다. 이 31건 사건에서 도난된 자금은 약 3.84억 달러였으며, 이 중 2.97억 달러가 반환되어 도난 자금의 77%를 회복했다. 이 31건 중 10개 프로토콜의 자금이 완전히 반환되었다.
(2023년 도난 자금 전액 회수 사건)
-
해커 그룹 프로파일링 및 동향
1. 해커 그룹 Lazarus Group
2023년 공개 정보에 따르면, 6월까지 북한 해커 그룹 Lazarus Group에 의해 발생한 주요 암호화폐 도난 사건은 보고되지 않았다. 체인상 활동을 보면, 북한 해커 Lazarus Group은 주로 2022년에 도난한 암호화폐 자금을 정리하고 있었다. 여기에는 2022년 6월 23일 Harmony 크로스체인 브릿지 공격으로 약 1억 달러의 손실이 발생한 사건도 포함된다. Lazarus Group은 2022년 도난 자산의 자금세탁 외에도 다른 시간에는 한가롭지 않았으며, 이 해커 그룹은 어둠 속에 잠복하면서 APT(Advanced Persistent Threat) 관련 공격 활동을 은밀히 진행했다. 이러한 활동은 6월 3일부터 시작된 암호화폐 산업의 '암흑 101일'을 직접적으로 초래했다.
'암흑 101일' 기간 동안 총 5개 플랫폼이 해킹되었으며, 도난 금액은 3억 달러를 초과하였고, 대부분 피해 대상은 중앙화 서비스 플랫폼이었다.
우리의 분석에 따르면, 북한 해커 Lazarus Group의 자금세탁 방식은 시간이 지남에 따라 진화하고 있으며, 일정 주기마다 새로운 자금세탁 방식이 등장하고 있다. 자금세탁 방식 변화의 시간표는 문서 말미 PDF에서 확인할 수 있다.
2. 피싱 그룹 Wallet Drainers
참고: 본 소절은 Scam Sniffer가 특별히 작성해주었습니다. 이 자리에서 감사의 말씀을 전합니다.
Wallet Drainer는 암호화폐 관련 악성 소프트웨어로서 지난 1년간 눈부신 '성과'를 거두었다. 이 소프트웨어는 피싱 웹사이트에 배포되어 사용자가 악성 트랜잭션에 서명하도록 유도하고, 이를 통해 사용자의 암호화폐 지갑 자산을 훔친다. 이러한 피싱 활동은 다양한 형태로 일반 사용자들을 공격하며, 많은 사용자들이 악성 트랜잭션에 무의식적으로 서명한 후 막대한 재산 피해를 입고 있다. 지난 1년간 Scam Sniffer는 이러한 Wallet Drainer들이 약 32만 명의 피해자로부터 거의 2.95억 달러의 자산을 훔쳐갔음을 모니터링했다.
특히 주목할 점은, 3월 11일 하루에만 약 700만 달러가 도난당했다는 것이다. 대부분 USDC 환율 변동으로 인해 Circle을 사칭한 피싱 사이트에 노출되었기 때문이다. 또한 3월 24일경 Arbitrum의 Discord 해킹 및 이후 에어드랍과 관련해 도난 건수가 크게 증가하기도 했다.
각각의 도난 정점은 항상 관련 집단적 사건과 맞물려 있다. 에어드랍이나 해커 사건일 수 있다.
ZachXBT가 Monkey Drainer를 폭로한 후, 이들은 6개월간 활동한 끝에 활동을 종료했고, Venom이 대부분의 고객을 인수했다. 이후 MS, Inferno, Angel, Pink 등도 3월경에 등장하였다. Venom이 4월경 서비스를 중단하자 대부분의 피싱 그룹은 다른 서비스로 전환했다. 20%의 Drainer 수수료 기준으로, 이들 서비스 판매를 통해 최소 4700만 달러 이상의 수익을 얻었다.
-
자금세탁 도구
1. Sinbad 믹서
2. Tornado Cash
3. eXch
4. Railgun
사, 결론
본 보고서는 2023년 블록체인 산업의 주요 규제 준수 정책 및 동향을 정리하였으며, 전 세계적으로 암호화폐에 대한 규제 입장과 일련의 핵심 정책 변화를 포함한다. 동시에 2023년 블록체인 보안 사건과 자금세탁방지 동향을 요약하고, 일부 자금세탁 도구를 분석하였으며, 주요 보안 사건과 피싱 사기 수법에 대해 설명하고, 이에 따른 예방 및 대응 방안을 제시하였다. 본 보고서가 독자들에게 가치 있는 정보를 제공하고, 블록체인 산업의 보안 및 자금세탁방지 현황을 보다 포괄적으로 이해하는 데 도움이 되기를 바라며, 모든 산업 참여자들이 이로부터 혜택을 받고, 블록체인 생태계의 안전성 제고에 기여할 수 있기를 기대한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@SlowMist_Team
