
3월 Web3 보안 사건 리뷰: 총 손실 약 1.39억 달러
글: 만무 보안 팀
개요
매체 SlowMist 블록체인 해킹 아카이브에 따르면, 2024년 3월 한 달 동안 총 33건의 보안 사고가 발생했으며, 누적 손실액은 약 1.39억 달러에 달한다. 원인은 스마트 계약 취약점, 내부자 악용, 플래시론 공격, 개인키 유출, 계정 탈취 등 다양하다.
주요 사건
WOOFi
2024년 3월 5일, DEX WOOFi의 Arbitrum 네트워크 상에서 거래 가격을 조절하는 sPMM 알고리즘이 악용당했다. 이번 공격은 일련의 플래시론으로 이루어졌으며, 공격자는 낮은 유동성을 이용해 WOO 토큰의 가격을 조작한 후 저렴한 가격으로 플래시론을 상환했다. 공격자는 극히 짧은 시간 내에 이 과정을 세 차례 반복하며 약 875만 달러의 수익을 얻었다.

(https://twitter.com/_WOOFi/status/1765150687166415129)
Unizen
2024년 3월 9일, DeFi 거래 플랫폼 Unizen이 스마트 계약 외부 호출 취약점을 악용당해 약 210만 달러 상당의 USDT를 도난당했다. 3월 12일, Unizen의 CTO 마틴 그란스트룀(Martin Granström)은 트위터를 통해 네 명의 해커로부터 도난 자금 중 약 18.5만 달러를 회수했다고 밝혔다.

(https://twitter.com/SlowMist_Team/status/1766311510362734824)

(https://twitter.com/MartinGranstrom/status/1767279080380973084)
Mozaic
2024년 3월 15일, DeFi 프로젝트 Mozaic가 공격을 당해 약 200만 달러를 도난당했다. Mozaic 측에 따르면 이번 도난은 개발자 한 명이 핵심 팀원들의 개인키를 확보하면서 발생한 것으로, 약 90%의 도난 자산이 MEXC 거래소에서 이미 동결된 상태라고 밝혔다.

(https://twitter.com/Mozaic_Fi/status/1768754080271196178)
Remilia
2024년 3월 17일, 밀레디(Milady)의 모회사 레밀리아(Remilia)의 핫월렛과 멀티시그 금고가 해킹되어 여러 공식 지갑의 자산이 이체 및 매각되었다. 밀레디 창시자 샬롯 팡(Charlotte Fang)은 자신의 계정이 해킹당했다고 트윗했다. 회사의 재무 시스템은 멀티시그를 사용하고 있었으나, 개인키는 비밀번호 관리 도구에 저장되어 있었고, 이 도구가 해킹된 것으로 확인되었다. 공격자는 약 490 ETH(약 180만 달러), 5.8만 달러 상당의 USDC, 130개 이상의 Milady NFT, 320개의 Remilio NFT, 그리고 NFTX 플랫폼에서 발행된 수백 개의 파생 토큰을 훔쳐갔으며, 최저 시세 기준으로 가치는 600만 달러를 초과한다.

(https://twitter.com/CharlotteFang77/status/1769128702561198519)
Dolomite
2024년 3월 20일, Arbitrum 생태계 내 분산형 거래 프로토콜 Dolomite의 이더리움 메인넷상 구버전 계약이 취약점으로 인해 공격을 받아 약 187명의 피해자가 발생했으며, 총 약 180만 달러(1,245,271 USDC, 94,423 DAI, 165.9 WETH)의 자산을 잃었다. 3월 24일 기준으로, SlowMist 보안 팀을 포함한 여러 협력자의 지원 하에 Dolomite는 도난 자금의 90%를 회복했다. Dolomite 팀은 이 과정에서 SlowMist 보안 팀에게 감사를 표했다.

(https://twitter.com/Dolomite_io/status/1773845966707454026)
Super Sushi Samurai
2024년 3월 22일, Blast L2 기반 신규 블록체인 게임 Super Sushi Samurai의 토큰 계약 취약점이 악용되어 약 460만 달러의 손실이 발생했다. 도난 직후 공격자는 해당 프로젝트에 연락하여 자신이 화이트햇이라고 주장했으며, 이후 Super Sushi Samurai는 자금이 모두 반환되었고, 이 중 5%를 버그 바운티로 지급했다고 확인했다.

(https://twitter.com/SSS_HQ/status/1771054306520867242)
Curio Ecosystem
2024년 3월 24일, RWA 인프라 프로젝트 Curio Ecosystem이 공격을 당해 약 1600만 달러의 손실이 발생했다. 이번 공격은 MakerDAO 기반의 스마트 계약 내 권한 접근 로직의 결함으로 추정되며, 공격자는 이를 이용해 추가로 10억 개의 CGT 토큰을 민팅했다.

(https://twitter.com/curio_invest/status/1771635979192774674)
Munchables
2024년 3월 27일, Blast 생태 프로젝트 Munchables가 공격을 당해 약 6250만 달러를 잃었다. 같은 날, Blast 창시자 Pacman은 트위터를 통해 "Blast 핵심 기여자들이 멀티시그를 통해 9700만 달러를 확보했다"며, "이전 Munchables 개발자가 결국 모든 자금을 돌려주기로 결정한 것을 감사하게 생각한다. 어떤 몸값도 요구하지 않았다"고 밝혔다.

(https://twitter.com/PacmanBlur/status/1772871466935013701)
Prisma Finance
2024년 3월 28일, 분산형 대출 프로토콜 Prisma Finance가 공격을 당해 약 3257.7 ETH(약 1160만 달러)의 손실이 발생했다. 원인은 MigrateTroveZap 계약의 onFlashloan 함수에 입력 검증이 부족해, 공격자가 위조된 마이그레이션 데이터를 제출함으로써 무단 담보 이체를 수행할 수 있었기 때문이다. 이로 인해 정당한 Prisma Finance 사용자들이 피해를 입었다.

(https://twitter.com/PrismaFi/status/1773316945430852058)
같은 날, Prisma Finance 공격자로 지목된 주소(0x2d4로 시작)가 프로젝트 측에 "이번 행동은 화이트햇 구조 작전이었다. 환불을 위해 누구와 연락하면 되는가?"라는 메시지를 보냈다. 그러나 이후 양측의 소통은 원활하지 않은 것으로 보인다.

(https://etherscan.io/idm?addresses=0x2d413803a6ec3cb1ed1a93bf90608f63b157507a,0xd8531a94100f15af7521a7b6e724ac4959e0a025&type=1)
Solana
최근 Solana 생태계는 다수의 지갑 도난 문제에 직면해 있다. 정확한 원인이 아직 밝혀지지 않았으나, 일부 도난 사건은 Solareum과 유사한 트레이딩 봇과 관련이 있는 것으로 나타났다. 보안 연구원 Plum의 정보에 따르면, Solareum의 Telegram 트레이딩 봇 취약점으로 인해 약 100만 달러 상당의 SOL이 유출되었다.

(https://twitter.com/Plumferno/status/1774549022813872164)
정리
이번 달 발생한 33건의 보안 사건 중, Munchables, Super Sushi Samurai, Dolomite, Unizen 등 4개 프로젝트가 총 약 6846만 달러의 도난 자금을 회복했다.
이번 달 내부자 악용 사건 3건으로 인한 손실은 6540만 달러에 달하며, 전체 도난 금액의 46.9%를 차지한다. SlowMist 보안 팀은 프로젝트 팀들이 내부 보안 절차를 철저히 점검하고, 민감한 정보 및 자산에 대한 접근 통제를 강화할 것을 권고한다.
이번 달에는 스마트 계약 취약점 악용 사건이 8건 발생해 약 3689만 달러의 손실이 발생했다. SlowMist 보안 팀은 프로젝트 팀들이 항상 경계를 늦추지 말고 정기적인 보안 감사를 실시하며 새로운 보안 위협과 취약점을 지속적으로 추적하고 해결하여 프로젝트와 자산의 안전을 최대한 보호할 것을 권장한다.
끝으로 본 문서는 이번 달 주요 보안 사건들만을 정리한 것이며, 개인 사용자의 도난 사건은 집계에 포함되지 않았다. 더 많은 블록체인 보안 사건은 SlowMist 블록체인 해킹 아카이브 (https://hacked.slowmist.io/)에서 확인할 수 있으며, 원문 링크를 클릭하면 바로 이동할 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News










