
Web3 보안 월간 리포트 | 5월 낚시 공격 빈발, 블록체인 도구는 어떻게 대응하고 있는가?
이번 달 전 세계 보안 사건으로 인한 손실은 전월 대비 27.27% 증가했으며, 피싱 및 사기 사건이 전체의 60% 이상을 차지했습니다. 보안 인식은 디지털 자산을 보호하는 첫 번째 방어선입니다. OKLink는 40개 이상의 주요 블록체인 브라우저와 원스톱 조회 포털을 제공하며, 주소 모니터링, 토큰 권한 조회, 주소 건강도 점수 등의 도구를 통해 귀하의 자산 보안을 든든하게 지원합니다.

1. 금월 전 세계에서 발생한 누적 손실액은 약 1.4억 달러로, 4월 대비 27.27% 증가했습니다.
2. 공식 소셜 미디어 채널을 대상으로 한 사기 및 피싱 사건은 총 27건 발생했으며, 이로 인한 손실 비중은 60.08%에 달합니다. 주로 X(트위터), 디스코드 및 다양한 피싱 웹사이트 채널을 통해 이루어졌습니다.
3. REKT 및 럭풀(RugPull) 사건의 손실 비중은 각각 16.89%, 1.37%이며, 기타 보안 사건의 손실 비중은 21.66%입니다.
사례 분석
5월 15일, Sonne Finance 프로토콜이 공격을 받아 약 2,000만 달러의 손실을 입었습니다. 공격 원인은 프로토콜이 투표를 통해 새로운 VELO 마켓을 추가했으나, 프로젝트 팀이 VELO 마켓에 초기 자금을 제때 충전하지 않아 해커가 고전적인 반올림 오류(rounding issue)를 이용해 VELO 마켓의 담보율을 조작하고 이득을 취한 것입니다.
OKLink는 해당 주소에 #Hack 태그를 부여하였습니다. https://www.oklink.com/zh-hans/optimism/address/0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43

공격 과정:
1) 공격자는 공격용 컨트랙트 0xa78aef를 호출하여 soVELO 마켓에 초기 예치금을 넣고 2 WEI의 soVELO를 획득합니다.

2) 주 공격 컨트랙트 0x02fa26이 선제적으로 timelock 컨트랙트를 호출하여 담보 계수를 설정함으로써 soVELO 마켓의 자산이 다른 마켓에서 담보로 사용되어 대출을 받을 수 있게 됩니다.

3) 플래시론을 통해 약 3,500만 VELO를 대출받아 soVELO 마켓 컨트랙트에 기부함으로써 환율을 조작합니다. 이를 통해 2 WEI의 soVELO가 실제 많은 양의 VELO를 의미하게 되며, 이는 막대한 담보 가치를 의미합니다.

4) 하위 공격 컨트랙트 0xa16388을 생성하고, 2 WEI의 soVELO를 이체한 후 265 WETH를 대출받습니다. 이후 1 WEI의 soVELO를 사용해 약 3,500만 VELO를 환매합니다. 이 과정에서 조작된 환율을 활용해 계산 상의 soVELO 수량이 약 1.9999 WEI가 되지만, 반올림 처리로 최종적으로 1 WEI로 간주됩니다.

5) 하위 공격 컨트랙트 0xa16388의 대출금을 정산하여 1 WEI의 soVELO를 회수하고 이를 주 공격 컨트랙트 0x02fa26으로 반환합니다. 이 시점에서 환율이 낮아진 상태이므로 소량의 WETH로도 1 WEI의 soVELO를 확보할 수 있습니다.

6) 다시 1 WEI의 soVELO를 민팅한 후 soVELO 마켓에 기부하여 환율을 재조작하고, 위 단계를 반복함으로써 더 많은 WETH, USDC 등의 자산을 대출받습니다.

문제 코드:

최대 보안 사건 - 럭풀(RugPull)
5월 23일, 가짜 TON 토큰 프로젝트에서 럭풀(RugPull)이 발생하여 약 60만 달러의 손실이 발생했습니다.
최대 보안 사건 - 피싱 및 사기
5월 3일, 거물급 사용자(Whale)가 피싱 공격을 당해 약 7,000만 달러(1,155 WBTC)를 잃었습니다. 그러나 5월 10일, 해커는 피해자에게 자금의 90%를 반환했습니다.
최대 보안 사건 - 개인키 유출
5월 21일, Gala Games가 공격을 받아 개인키가 유출된 것으로 추정됩니다. 공격자는 50억 개의 GALA 토큰을 발행하여 약 2억 달러의 가치를 창출했으며, GALA 토큰을 매각함으로써 최종적으로 약 2,100만 달러의 이익을 얻었습니다. 5월 22일, 공격자는 모든 자산을 반환했습니다.
OKLink 보안 팁
금월에는 피싱 공격과 개인키 유출 공격의 비중이 높았습니다. OKLink는 여러분께 개인정보 보호를 강력히 당부드립니다. 절대로 개인키나 복구 구문(멘emonic phrase)을 누구에게도 공유해서는 안 되며, 단순한 스크린샷 형태로 저장하는 것도 위험합니다. 또한 자금 이체 시 반드시 수취인 주소를 꼼꼼히 확인하시기 바랍니다. 거래 내역이나 채팅 기록 등에서 주소를 직접 복사하는 경우에도 정확성을 다시 한번 확인해야 합니다. 보안 인식은 Web3 세계에서 가장 강력한 방패이자 디지털 자산을 보호하는 첫 번째 방어선입니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News









