SharkTeam: 2024년 1분기 Web3 보안 보고서
글 작성: SharkTeam
일, 개요
2024년 1분기 해킹 공격, 러그풀(Rugpull) 사기, 피싱 공격 등 악의적 행위로 인해 총 4.62억 달러의 손실이 발생했으며, 이는 2023년 1분기(약 3.83억 달러) 대비 약 20.63% 증가한 수치이다. 본 보고서는 전 세계 2024년 1분기 Web3 산업의 보안 상태, 주요 사건 및 보안 동향을 정리·분석하여 독자들에게 유익한 정보와 새로운 시각을 제공하고, Web3의 안전하고 건강한 발전에 기여하고자 한다.
이, 보안 사건 분석
SharkTeam의 체인 상 보안 분석 플랫폼 ChainAegis 데이터에 따르면, 2024년 1분기 Web3 분야에서는 총 280건의 보안 사건이 발생했으며(그림 1 참조), 누적 손실 금액은 4.62억 달러를 초과했다(그림 2 참조). 전년 동기 대비 보안 사건 발생 빈도는 약 32.70% 증가했고, 손실 금액은 약 20.63% 증가했다.
Figure 1:2024년 1분기 보안 사건 총 발생 건수
Figure 2:2024년 1분기 보안 사건 총 손실 금액
2024년 1분기 해킹 공격은 총 60건 발생했으며, 전년 동기 대비 140% 증가했고, 손실 금액은 3.85억 달러에 달하며 전체 손실의 83%를 차지한다(그림 3 참조). 이는 2023년 1분기(3.62억 달러) 대비 약 6.35% 증가한 수치이다.
러그풀(Rug Pull)은 총 127건 발생했으며, 전년 동기(30건) 대비 무려 323.33% 급증했지만, 손실 금액은 59.44% 감소한 821만 달러로 전체 1분기 손실의 2%를 차지했다.
피싱 공격은 1분기 동안 총 93건 발생했으며, 전년 대비 증가했고, 손실 금액은 약 6866만 달러로 전체의 약 15%를 차지했다.
Figure 3:2024년 1분기 공격 유형별 손실 금액
Figure 4:2024년 1분기 공격 유형별 발생 건수
1분기를 월별로 나누어 살펴보면(그림 5 참조), 1월의 손실이 가장 심각하여 2.50억 달러를 초과했으며, 2월(7142만 달러)과 3월(1.40억 달러)보다 훨씬 높았다. 1월에는 보안 사건이 88건 발생했으며, 2월(72건)보다는 약간 많고, 3월(120건)보다는 약간 적다. 즉, 1월의 단건 평균 손실 금액이 가장 높다는 것을 알 수 있다. 1월의 큰 손실을 초래한 주된 원인은 해킹 공격으로, 총 20건의 해킹 공격이 발생하여 2.17억 달러의 손실을 일으켰다. 동시에 1월에는 피싱 공격도 다발적으로 발생했는데, 총 39건의 피싱 공격이 있었지만 손실 금액은 상대적으로 가장 낮아 약 2915만 달러였다. 2월은 전체적으로 사건 발생 빈도와 손실 금액 모두 1월과 3월에 비해 낮은 수준이었다.
Figure 5:2024년 1분기 Web3 보안 사건 개요
2.1 해킹 공격
1분기 동안 총 60건의 해킹 공격이 발생했으며, 총 손실 금액은 3.85억 달러에 달했다. 그 중에서도 1월의 손실이 가장 심각하여 2.17억 달러에 이르렀다. 주된 이유는 1월에 두 건의 대규모 자금 유출 사건이 발생했기 때문이다.
(1) 2024년 1월 1일, 크로스체인 브릿지 프로젝트 Orbit Chain이 네트워크 공격을 받아 약 8150만 달러 상당의 암호화폐가 도난당했다. 해당 사건은 5건의 독립적인 거래로 이루어졌으며, 각 거래는 서로 다른 지갑 주소를 가리키고 있었다. 무단 자금 이동에는 5000만 달러 규모의 스테이블코인이 포함되었으며(USDT 3000만 달러, DAI 1000만 달러, USDC 1000만 달러), wBTC 231개(약 1000만 달러 상당), 이더리움 9500개(약 2150만 달러 상당)도 포함되었다.
(2) 2024년 1월 31일 리플(Ripple) 공동 창시자 크리스 라슨(Chris Larsen)의 네 개 지갑이 공격을 받아 총 2.37억 개의 XRP(약 1.125억 달러)가 도난당했다. ChainAegis 체인 상 분석에 따르면, 도난된 자금은 MEXC, Gate, Binance, Kraken, OKX, HTX, HitBTC 등을 통해 이체되었다. 이는 2024년 들어 지금까지 가장 큰 암호화폐 절도 사건이며, 암호화폐 역사상 20번째로 큰 절도 사건이다. 사건 발생 후 24시간 내 XRP 가격은 약 4.4% 하락했다.
2.2 러그풀 & 사기
아래 그림(그림 6)에서 볼 수 있듯이, 러그풀 & 사기 사건은 1월에 29건 발생했으며, 이후 매월 증가하여 3월에는 약 63건 발생했다. 1월 손실 금액은 약 451만 달러, 2월은 약 149만 달러였다. ChainAegis 분석에 따르면, 사건은 메인넷인 이더리움(Ethereum)과 BNB 체인에 집중되어 있으며, BNB 체인의 프로젝트에서 발생하는 러그풀 사건의 빈도가 이더리움보다 훨씬 높다.
또한, 2월 25일에는 블라스트(Blast) 생태계의 게임파이(GameFi) 프로젝트 RiskOnBlast가 러그풀을 당했다. ChainAegis 분석에 따르면, RiskOnBlast의 주소 0x1EeB963133f657Ed3228d04b8CD9a13280EFC558은 22일부터 24일 사이에 총 420개의 ETH(약 125만 달러 상당)를 모금한 후, 이를 DAI로 교환하여 ChangeNOW, MEXC, Bybit 등의 거래소 예금 주소로 이체하며 현금화했다.
Figure 6:2024년 1분기 월별 러그풀 & 사기 사건 개요
2.3 피싱 공격
아래 그림(그림 7)에서 볼 수 있듯이, 피싱 공격은 1월에 가장 많이 발생하여 총 39건, 손실 금액은 약 2915만 달러였다. 2월에는 가장 적게 발생하여 총 21건, 손실 금액은 약 1134만 달러였다. SharkTeam은 사용자들에게 경고한다. 강세장에서는 시장 활동이 활발하고 에어드랍 기회도 많지만, Angel Drainer, Pink Drainer 등 활발한 피싱 조직의 공격을 받지 않도록 경계해야 하며, 송금 및 권한 부여 시 반드시 거래 정보를 꼼꼼히 확인해야 한다.
Figure 7:2024년 1분기 월별 피싱 공격 개요
삼, 주요 사례 분석
3.1 계약 정밀도 계산 오류
2024년 1월 30일, MIM_SPELL이 플래시론 공격을 받아 정밀도 계산 오류로 인해 650만 달러의 손실을 입었다. 공격 원인은 프로젝트팀의 스마트 계약이 대출 변수 계산 시 정밀도 오류가 발생하여 핵심 변수 elastic과 base의 값이 조작되면서 비율이 깨지고, 담보물과 대출량 계산에 문제가 생겨 결국 과도한 MIM 토큰이 대출되는 결과를 초래한 것이다.
공격받은 계약(0x7259e1520)의 borrow 함수와 repay 함수는 elastic과 base 두 변수의 계산 시 모두 올림 방식을 사용했다.
공격자(0x87F58580)는 먼저 다른 사용자의 대출금을 상환함으로써 elastic 변수와 base 변수를 각각 0과 97로 설정했다.
이후 amount 매개변수를 모두 1로 하여 borrow 함수와 repay 함수를 반복적으로 호출했다. 처음 borrow 함수를 호출할 때 elastic=0이므로 위 if 로직을 실행하고 add 함수로 돌아간다. 이로 인해 elastic = 1, base = 98이 된다.
공격자(0x87F58580)는 다시 borrow 함수를 호출하고 1을 전달하는데, elastic=1이므로 else 로직을 실행하고 반환값은 98이 된다. 이를 add 함수로 돌아가면 elastic=2, base 변수는 196이 된다.
하지만 공격자(0x87F58580)는 repay 함수를 호출하고 1을 전달하는데, elastic=2이므로 else 로직을 실행하고 계산된 elastic 변수는 원래 1*2/98 = 0이 되어야 하지만, 아래에 올림 처리 단계가 있어 반환값이 1이 되고, sub 함수로 돌아갈 때 elastic 변수는 다시 1이 되며, base 변수는 195가 된다.
한 번의 borrow-repay 순환 후 elastic 변수는 변하지 않고 base 변수는 거의 두 배가 된 것을 알 수 있다. 이 취약점을 이용해 공격자는 빈번하게 borrow-repay 함수 순환을 수행한 후 마지막에 repay 함수를 한 번 더 호출함으로써 결국 elastic=0, base = 120080183810681886665215049728이 되었다.
elastic과 base 변수 간 비율이 심각하게 깨진 후, 공격자(0x87F58580)는 극소량의 담보물을 추가하기만 하면 대량의 MIM 토큰을 대출할 수 있게 되어 공격을 완료했다.
3.2 DeGame 피싱 공격 사건과 Pink Drainer 사기 조직
2024년 3월, 한 Web3 사용자가 자신의 지갑을 해킹당한 DeGame 공식 트위터 계정에서 발행한 피싱 링크를 모르고 클릭하여 손실을 입었다.
사건 후, 해당 사용자는 DeGame이 이를 방조했다고 오해하고 트위터에 이 사실을 공개했으며, 이를 몰랐던 많은 KOL, 언론 및 다수의 사용자들이 이를 확산시키면서 DeGame의 브랜드 이미지와 플랫폼 평판에 큰 타격을 입혔다.
사건 발생 후, DeGame은 비상 대응 계획을 가동하여 피해 사용자의 자산 회수를 시도했으며, DeGame 피싱 공격 사건의 경과는 다음과 같다:
(1) 3월 14일 오전 4시부터 오전 9시 30분 사이, DeGame 공식 X 계정(@degame_l2y)이 에어드랍 관련 트윗 4건을 게시했는데, 모든 에어드랍 링크가 DeGame 공식 사이트를 모방한 피싱 웹사이트였다. 한 사용자가 이 에어드랍 링크를 클릭한 후 약 57 PufETH를 손실했다고 신고했다.
(2) DeGame 공식 트위터 운영진은 오전 9시 30분 이후 피싱 링크를 발견하고 삭제했다. 동시에 DeGame은 공식 소셜 미디어와 커뮤니티를 통해 모든 사용자에게 이 사실을 알렸으며, 경고 공지를 발표했다.
(3) 피해 사용자는 DeGame 공식 트위터 계정이 이상 징후를 보였던 시간대에 피싱 웹사이트 링크와 공격자가 게시한 설명문을 보았고, 이를 DeGame 공식이 다른 프로젝트와 함께 진행하는 토큰 에어드랍 행사라고 오해한 채 링크를 클릭하고 공격자가 미리 설정한 지침에 따라 작업을 수행한 결과 자산을 잃게 되었다.
(4) 사용자가 피싱 웹사이트에 접속하고 지갑을 연결하면, 웹사이트는 자동으로 지갑 주소에 자산이 있는지 여부를 검사한다. 자산이 있을 경우, Permit Token Approval 거래 서명을 바로 팝업한다. 일반적인 거래 서명과 달리 이 서명은 체인에 올라가지 않으며 완전히 익명 상태로, 부정한 목적에 사용될 가능성이 매우 높다. 또한 사용자는 미리 권한을 부여하지 않아도, 추가적인 승인 서명(Permit)을 통해 애플리케이션 계약과 상호작용할 수 있다.
(5) 이번 도난 사건에서 피싱 해커는 피해 사용자가 피싱 계약 주소 0xd560b5325d6669aab86f6d42e156133c534cde90에 제출한 Permit Token Approval 거래 서명을 획득했으며, 공격 거래에서 Permit을 호출하여 Approve를 통해 토큰 권한을 취득한 후 자금을 이체했다.
(6) 피싱 도구를 제공한 것은 해커 사기 조직 Pink Drainer였다. Pink Drainer는 '악성 소프트웨어 서비스(Malware-as-a-Service, MaaS)' 형태로, 공격자가 빠르게 악성 웹사이트를 구축하고 불법 자산을 획득할 수 있도록 지원한다. 이번 도난 거래에서 약 25%의 도난 자금이 PinkDrainer: Wallet 2, 즉 피싱 조직 PinkDrainer의 2번 지갑 주소로 이체되었는데, 이는 피싱 실행자가 PinkDrainer의 피싱 도구를 사용한 후 자동으로 PinkDrainer에게 분배한 수수료이다.
3.3 대량 러그풀로 인한 사건 건수 급증
2024년 러그풀 사건 건수의 급증은 러그풀 공장 계약이 대량으로 러그풀 토큰을 생성한 것과 밀접한 관련이 있다. SharkTeam 보안 연구팀은 이러한 러그풀 사건들을 상세히 분석했다. 분석 과정에서 우리는 BNB 체인 상의 러그풀 공장 계약이 지난 한 달간 70건 이상의 러그풀을 시작했음을 발견했으며, 대량 러그풀 사건은 일반적으로 다음과 같은 행동 특성을 갖는다:
(1) 이러한 토큰들은 모두 토큰 공장 계약을 통해 createToken 작업으로 생성된다. createToken 함수에서 토큰 생성 시 다음 매개변수를 입력해야 한다: 토큰 이름, 토큰 심볼, 정밀도, 공급량, 토큰 소유자 주소, 토큰 페어 생성 공장 계약 주소 및 BUSD-T 스테이블코인 주소. 여기서 토큰 페어 생성 공장 계약은 PancakeSwap의 공장 계약을 사용하며, 각 토큰은 서로 다른 소유자 주소를 갖는다.
(2) 토큰 소유자는 다른 주소를 활용하여 러그풀 토큰을 대량으로 매수 및 매도한다. 매수 및 매도 작업을 통해 토큰의 유동성이 명확히 증가하고, 가격도 점차 상승한다.
(3) 피싱 등의 방법으로 홍보하여 다수의 사용자를 유인해 구매하게 하며, 유동성이 증가하면서 토큰 가격이 두 배로 오른다.
(4) 토큰 가격이 일정 수준에 도달하면, 토큰 소유자가 매도(sell) 작업을 통해 러그풀을 시행한다.
이 일련의 행동 뒤에는 역할 분담이 명확한 Web3 사기 조직이 존재하며, 이는 이슈 수집, 자동 토큰 발행, 자동 거래, 허위 홍보, 피싱 공격, 러그풀 수확 등 단계를 포함하는 암시장 산업 사슬을 형성하고 있다. 발행된 러그풀 허위 토큰들은 모두 업계의 최신 이슈와 밀접하게 연관되어 있어 강한 오해 가능성과 선동성을 지닌다. 사용자들은 항상 경계를 늦추지 말고 이성적으로 판단하여 손실을 피해야 한다.
사, 결론
2024년 1분기 보안 사건으로 인한 총 손실은 4.62억 달러에 달했다. 본 분기 동안 암호화폐 가격 상승 등의 요인이 총 손실 금액 증가에 일부 영향을 미쳤지만, 전반적으로 Web3 보안 상황은 낙관할 수 없는 상태이다. 스마트 계약 논리 오류, 러그풀 암시장 산업 사슬, 피싱 공격 등이 사용자 암호화 자산의 안전을 위협하는 주요 원인이다. Web3 사용자와 프로젝트팀 모두 보안 의식을 조속히 높여 손실을 줄이기를 바란다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
