8월 Web3 보안 사건 리뷰: 총 손실 약 3.16억 달러
글: 만무 기술
개요
2024년 8월, Web3 보안 사고로 인한 총 손실액은 약 3.16억 달러에 달했다. 그 중, 만무 블록체인 해킹 아카이브(https://hacked.slowmist.io) 통계에 따르면 해킹 사건은 총 28건 발생하여 약 2.53억 달러의 손실을 초래했으며, 이 중 1358만 달러가 반환되었다. 사고 원인은 스마트 계약 취약점, 계정 해킹, 프론트엔드 공격 등 다양하다. 또한 Web3 반사기 플랫폼 Scam Sniffer의 집계에 따르면, 해당 월에는 낚시 사기 피해자가 9145명 발생했고 총 손실액은 6293만 달러에 달했다.
(https://dune.com/scam-sniffer/august-scam-sniffer-2024-phishing-report)
주요 사건
Convergence Finance
2024년 8월 1일, Convergence Finance가 공격을 당했다. 공격자는 5800만 개의 CVG 토큰을 발행 및 매각하여 약 21만 달러를 획득했는데, 이는 스테이킹 보상용으로 할당된 전체 토큰 수량과 동일한 규모다. 또한 Convex에서 미수령한 약 2000달러 상당의 보상도 탈취당했다. Convergence Finance가 발표한 사고 분석 보고서에 따르면, 이번 사건의 근본 원인은 보상 배분 컨트랙트의 `claimMultipleStaking` 함수가 사용자 입력값에 대한 검증을 제대로 수행하지 않았기 때문이다.
(https://medium.com/@cvg_wireshark/post-mortem-08-01-2024-e80a49d108a0)
Ronin
2024년 8월 6일, 게임 블록체인 Ronin이 공격을 당해 Ronin Bridge 프로젝트에서 비정상적인 자산 인출이 발생했다. 만무 보안팀의 분석 결과, 이번 공격은 다중 서명 지갑의 권한 설정 값이 예기치 않게 변경되어, 어떤 다중 서명 확인 절차 없이도 자금이 인출될 수 있었기 때문이다. 공격자는 브리지에서 약 4000 ETH와 200만 USDC를 인출했으며, 이는 당시 시세 기준 약 1200만 달러에 달한다. 8월 7일까지, 화이트햇(윤리적 해커)이 1200만 달러 상당의 자산을 모두 반환하였으며, 50만 달러의 취약점 보상금을 받았다.
(https://x.com/slowmist_team/status/1820783952145355247?s=46&t=DLwbX9Nw4QECiyZQ0av-fg)
Nexera
2024년 8월 7일, 외부 공격자가 Nexera Fundrs 플랫폼의 스마트 계약 관리자 권한 정보를 탈취했다. 이를 이용해 공격자는 이더리움 상의 Fundrs 스테이킹 컨트랙트에서 NXRA 토큰을 이체하여 약 183만 달러의 손실을 초래했다. 탈취된 4724만 개의 NXRA 토큰 중 공격자는 약 44.9만 달러 상당의 1475만 개만을 매각했고, 나머지 3250만 개의 잔여 토큰은 Nexera 측이 공격자의 지갑에서 성공적으로 회수함으로써 추가 손실을 막았다.
Vow
2024년 8월 13일, Vow는 스마트 계약의 결함으로 인해 공격을 당해 약 120만 달러의 손실을 입었다. VOW 측에 따르면, 당시 팀은 새로운 대출 풀 및 오라클 기능을 위한 v$ 토큰 발행을 위해 v$ 계약의 USD 환율 설정 기능을 테스트 중이었다. 공격자는 이 짧은 시간 창과 환율 변동을 악용해 대량의 VOW 토큰을 구매한 후 계약에 전송함으로써 약 20억 개의 v$를 생성했으며, 이를 Uniswap 풀에 되팔아 이익을 실현했다.
(https://x.com/Vowcurrency/status/1823407231658025300)
User
2024년 8월 19일, 체인상 탐정 ZachXBT에 따르면, 4064 BTC(약 2.38억 달러)를 포함하는 의심스러운 송금이 한 잠재적 피해자로부터 발생한 것으로 보인다. 이후 자금은 곧바로 ThorChain, eXch, Kucoin, ChangeNow, Railgun, Avalanche Bridge 등으로 이체되었다. 8월 27일까지 이미 20.5만 달러가 회수된 상태다.
(https://x.com/zachxbt/status/1825499490956231021)
User
2024년 8월 21일, Scam Sniffer의 모니터링 결과, 한 사용자가 DeFi Saver Proxy 관련 피싱 거래에 서명한 후 5543만 달러 상당의 DAI를 잃었다. MistTrack 분석 결과, 해당 자금은 여러 주소로 분산되어 대부분 ETH로 교환되었다.
(https://x.com/MistTrack_io/status/1826273448626356697)
Aave
2024년 8월 28일, DeFi 대출 플랫폼 Aave의 외곽 계약 하나가 공격을 당해 약 5.6만 달러의 손실이 발생했다. 공격 대상이 된 외곽 계약 ParaSwapRepayAdapter는 Aave 핵심 프로토콜에 속하지 않으며, 사용자가 기존 담보를 활용해 대출금을 상환하고, 자산 교환을 위해 탈중앙화 거래소 ParaSwap을 활용할 수 있도록 설계되었다. 본 계약은 원칙적으로 사용자 자금을 보유하도록 설계되지 않았으나, 거래 시 발생하는 양의 슬리피지를 통해 일부 잔여 토큰이 서서히 누적되었다. Aave 관계자는 이번 공격이 사용자 자금이나 핵심 Aave 프로토콜의 보안에는 영향을 주지 않았다고 강조했다.
(https://x.com/bgdlabs/status/1828736554262470792)
정리
이번 달에는 계정 보안 문제가 가장 큰 위험 요소로 부상했으며, 전체 해킹 사건 중 계정 해킹 사건이 차지하는 비중은 64.3%에 달했다. 특히 주목할 점은 해커들의 표적이 단순히 유명 블록체인 프로젝트나 구성원에 국한되지 않고, 유명 인사 및 전통 산업의 브랜드(예: 축구 스타 킬리안 음바페, 맥도날드 등)에도 확대되고 있다는 것이다. 해커는 유명 계정을 탈취한 후, 피싱 링크가 포함된 게시물을 올리거나 특정 토큰을 홍보하는 방식으로 범죄를 저지른다. 만무 보안팀은 사용자들에게 피싱 공격에 각별히 주의하고, 정보의 진위를 다양한 경로로 확인하며 신중하게 투자할 것을 당부한다. 이번 달의 계정 해킹 사건 대부분은 디스코드(Discord)에서 발생했으며, 이전에 우리가 만무: 악성 브라우저 북마크가 어떻게 당신의 Discord 토큰을 훔치는지 밝히다에서 설명했던 것처럼, 디스코드 토큰의 메커니즘을 이해하고 조심하는 것이 중요하다.
끝으로, 본문에서 다룬 사건들은 해당 월의 주요 보안 사건들에 한하며, 더 많은 블록체인 보안 사건은 만무 블록체인 해킹 아카이브(https://hacked.slowmist.io/)에서 확인할 수 있다. 원문 보기 링크를 클릭하면 바로 이동할 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@SlowMist_Team
