8월 보안 월간 리포트|피싱 사기로 2.9억 달러 쓸어가, 체인 상의 보안 공격과 방어 전략 분석
8월 전체 웹에서 발생한 블록체인 보안 사건으로 인한 누적 손실은 약 3.16억 달러로, 전월 대비 9.3% 증가했습니다.
피싱 사기 사건으로 인한 손실만 해도 총 손실의 93.37%를 차지하며, 손실 금액은 2.96억 달러 이상에 달합니다. 피싱 트윗에는 함정이 숨어 있으며, 검증되지 않은 링크는 절대 클릭해서는 안 됩니다. 사용자는 Web3 블록체인 도구를 활용하여 리스크를 회피하는 방법을 익히고, 자신만의 보안 운영 프로세스를 수립하여 철저히 준수함으로써 자산의 안전을 확보해야 합니다.
REKT 사건의 손실 비중은 5.97%이며, 총 손실은 약 1,893만 달러입니다. RugPull 사건의 손실 비중은 0.19%이며, 총 손실은 약 59만 달러입니다.
최대 보안 사건 - 피싱 사기
8월 19일, 약 4,064개의 BTC를 포함한 의심스러운 송금이 발생했으며, 이는 약 2.38억 달러에 해당합니다. 이후 해당 자금은 곧바로 ThorChain, eXch 등 여러 계정으로 이체되었습니다.
8월 27일 기준, 이미 20.5만 달러가 회수되었습니다.
최대 보안 사건 - 개인키 유출
8월 7일, Nexera는 스마트 계약 관리 인증 정보가 악성 소프트웨어에 의해 탈취되어 4,720만 개의 NXRA 토큰이 도난당했으며, 이로 인한 손실은 약 150만 달러입니다.
최대 보안 사건 - REKT
8월 6일, 게임 블록체인 Ronin은 브릿지 구현 계약 업그레이드 후 초기화를 제대로 수행하지 않아 공격을 당했으며, 공격자는 브릿지에서 약 4,000개의 ETH와 200만 USDC를 추출해 약 1,200만 달러 상당의 피해를 입혔습니다.
8월 7일 기준, 화이트햇(선의의 해커)이 1,200만 달러 상당의 자산을 모두 반환했으며, 프로젝트 팀으로부터 추가로 50만 달러의 취약점 보상금을 받았습니다.
최대 보안 사건 - RugPull
8월 16일, Solana 기반의 SIGMA가 RugPull을 당해 배포자가 자신의 토큰을 매각해 2,381.6 SOL을 확보했으며, 이는 약 33만 달러의 손실에 해당합니다.
사례 분석
8월 6일, 게임 블록체인 Ronin이 공격을 당한 것으로 의심되며, 공격자는 브릿지에서 약 4,000개의 ETH와 200만 USDC를 추출해 약 1,200만 달러 상당의 피해를 입혔습니다.
프로세스 분석:
1) Ronin 팀이 Axie Infinity: Ronin Bridge V2 계약을 잘못 업그레이드하였으며, 계약 구현부를 MainchainGatewayV3(구)에서 MainchainGatewayV3(신)으로 변경하고, MainchainGatewayV3(신)의 initializeV4 메서드를 호출하여 초기화를 시도하였습니다.
2) 공격자는 MainchainGatewayV3(신)의 _totalOperatorWeight 값이 초기화되지 않았고 현재 0임을 발견하여, 자금 인출 시 서명 검증을 우회할 수 있었습니다. 공격자는 임의의 서명 데이터를 입력하여 3,996.09375 ETH를 직접 인출했습니다.
3) 두 번째 공격 거래에서 공격자는 임의의 서명을 입력하여 1,998,046 USDC를 직접 인출했습니다.
4) 공격자는 Uniswap을 통해 1,998,046 USDC를 796 WETH로 교환했습니다.
OKLink 팁
8월에는 피싱 사기 사건으로 인해 막대한 손실이 발생했습니다. OKLink는 여러분께 개인키나 복구 지문(seed phrase)을 누구에게도 알려주지 말 것을 당부드립니다. 지갑 연결 전 신중하게 생각하시고, 권한 부여 전에 OKLink 토큰 권한 관리 도구를 활용하여 위험을 미연에 방지하세요. 스마트계약 리스크를 완전히 통제하고 다중적인 보호를 제공합니다.
👉 https://www.oklink.com/zh-hans/approval
모든 사용자는 자신만의 보안 운영 절차를 수립하고 이를 철저히 준수하여 자산의 안전을 보장해야 합니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@OKLink
