Web3 보안 위험 경고: 2024년 올해의 영향력 있는 상위 10대 공격 사건
글: Beosin
2024년 블록체인 산업은 기술 혁신과 생태계 확장을 이루는 동시에 점점 더 심각해지는 보안 위협에 직면했다. 보안 감사 회사 Beosin 산하 Alert 플랫폼의 모니터링에 따르면, 2024년 현재까지 웹3 분야에서 해킹 공격, 피싱 사기 및 프로젝트 팀의 럭 풀(Rug Pull)로 인한 총 피해액은 24.91억 달러에 달한다.
이러한 사건들은 개인키 관리와 스마트 계약 취약점 등의 기술적 결함을 드러낸 것뿐만 아니라, 사회공학적 공격과 내부 관리의 잠재적 위험성도 부각시켰다. 본 기사에서는 2024년 웹3 분야에서 가장 큰 영향을 미친 10대 보안 사건을 정리하여 업계가 교훈을 얻고 미래의 보안 위협에 더욱 효과적으로 대응할 수 있도록 돕고자 한다.
No.1 DMM Bitcoin
피해 금액: 3.04억 달러
공격 방식: 개인키 유출
2024년 5월 31일, 일본의 오랜 역사를 지닌 암호화폐 거래소 DMM Bitcoin이 역사적인 공격을 당했다. 공격자는 유출된 개인키를 이용해 3억 달러 이상의 비트코인을 직접 이체했으며, 도난 자산은 즉시 10개 이상의 다른 주소로 분산되었다. 이번 공격은 DMM Bitcoin의 개인키 관리 및 다층 보안 방어 체계의 심각한 미흡함을 노출했다. 거래소가 체인상 모니터링과 자금 동결 조치를 통해 해커를 추적하려 했으나, 도난된 비트코인이 분산 이체되고 믹서 도구를 통해 자금 세탁을 거쳐 추적이 극도로 어려워졌다.
12월 24일, 일본 경찰은 DMM Bitcoin 해킹 사건이 북한 해킹 그룹 라자루스 그룹(Lazarus Group) 소행임을 확인했다. 라자루스 그룹의 과거 공격 및 자금 세탁에 대한 상세 분석은 「역사상 가장 대담한 암호화폐 절도단, 해킹 그룹 라자루스 그룹의 자금 세탁 분석」을 참고하면 된다.
No.2 PlayDapp
피해 금액: 2.90억 달러
공격 방식: 개인키 유출
2024년 2월 9일, PlayDapp는 심각한 타격을 입었다. 해커는 개인키를 탈취해 PLA 토큰 20억 개를 발행했으며 초기 가치는 3650만 달러였다. 프로젝트 팀과 해커 간의 협상이 결렬되자, 해커는 이후 짧은 시간 내 추가로 159억 개의 PLA 토큰을 발행하며 가치를 2.539억 달러로 증가시켰다. 일부 토큰이 Gate 거래소에 유입되자 PlayDapp는 PLA 컨트랙트를 일시 중단하고 PDA 토큰 컨트랙트로 마이그레이션해야 했다. 이 사건은 블록체인 프로젝트의 개인키 보호 및 사고 대응 능력의 부족을 여실히 보여주었다.
No.3 WazirX
피해 금액: 2.35억 달러
공격 방식: 네트워크 공격 및 피싱
2024년 7월 18일, 인도 최대 암호화폐 거래소 WazirX의 Safe Wallet 다중서명 지갑이 정밀하게 공격당했다. 공격자는 사회공학적 기법을 이용해 다중서명 서명자에게 계약 업그레이드 트랜잭션에 서명하도록 유도한 후, 업그레이드된 계약 권한을 활용해 지갑 내 자산을 모두 이체했다. 이 사건은 다중서명 지갑의 관리 권한 설정 및 운영 투명성에 존재하는 잠재적 위험을 강조했으며, 업계 내부의 리스크 관리 및 보안 메커니즘에 대한 깊은 성찰을 촉발했다.
이 사건에 대한 상세 분석 및 자금 추적은 「Beosin | 인도 거래소 WazirX, 2.35억 달러 도난 사건 분석」을 참고하면 된다.
No.4 Gala Games
피해 금액: 2.16억 달러
공격 방식: 접근 제어 취약점
2024년 5월 20일, Gala Games의 특권 주소 하나가 해커에게 공격당했으며, 공격자는 토큰 컨트랙트의 mint 함수를 호출해 50억 개의 GALA 토큰을 한 번에 발행했다. 이후 공격자는 증발된 토큰을 여러 차례 나누어 ETH로 교환함으로써 2.16억 달러의 손실을 초래했다. Gala Games 팀은 사건 발생 후 급히 블랙리스트 기능을 활성화해 일부 해커 계정을 차단하고 사법 절차를 통해 손실을 회수했다.
No.5 Chris Larsen (리플 공동창립자)
피해 금액: 1.12억 달러
공격 방식: 개인키 유출
2024년 1월 31일, 리플(Ripple) 공동 창립자 크리스 라슨(Chris Larsen)의 개인 지갑 4개가 해킹되어 1.12억 달러 상당의 XRP가 도난당했다. 이 지갑들은 하드웨어 장치를 통한 이중 보호가 부족했기 때문에 공격 대상이 된 것으로 의심된다. 사건 발생 후 바이낸스는 420만 달러 상당의 XRP를 성공적으로 동결시키고 라슨의 도난 자산 추적을 지원했지만, 대부분의 자금은 이미 탈중앙화 거래소와 믹싱 서비스를 통해 자금 세탁되었다.
No.6 Munchables
피해 금액: 6250만 달러
공격 방식: 사회공학적 공격
2024년 3월 26일, Blast 기반의 웹3 게임 플랫폼 Munchables는 드문 내부 침투 공격을 당했다. 공격자는 블록체인 개발자로 위장한 북한 해커로, 장기간 잠복하면서 핵심 코드와 민감한 키를 탈취했다. 막대한 손실이 발생했음에도 불구하고 커뮤니티와 팀의 압박으로 인해 해커는 결국 모든 도난 자금을 반환했다. 이 사건은 특히 외부 개발자에게 의존하는 블록체인 프로젝트에서 공급망 보안의 중요성을 보여준다.
No.7 BtcTurk
피해 금액: 5500만 달러
공격 방식: 개인키 유출
2024년 6월 22일, 터키 최대 암호화폐 거래소 BtcTurk이 개인키 유출 공격을 받아 5500만 달러 이상의 암호화 자산을 잃었다. 바이낸스 팀의 지원으로 도난된 자금 중 530만 달러가 동결되었으나, 나머지 자산은 아직 회수되지 않았다. 이 사건은 중심화 거래소의 개인키 관리에 대한 시장의 우려를 더욱 깊게 만들었다.
BtcTurk 공식 발표한 공격 알림
No.8 Radiant Capital
피해 금액: 5300만 달러
공격 방식: 개인키 유출
2024년 10월 17일, Radiant Capital의 다중서명 지갑이 해킹당했다. 3/11이라는 낮은 승인 기준의 서명 검증 모델을 사용한 결과, 해커는 3명의 서명자의 개인키를 확보해 오프체인 서명을 진행하고 지갑 컨트랙트의 소유권을 악성 주소로 이전함으로써 5300만 달러를 훔쳤다. 이번 공격은 다중서명 지갑 설계와 거버넌스 메커니즘에 대한 업계의 재검토를 촉발했다.
Radiant Capital은 이번 공격 이전에도 계약 취약점으로 인해 450만 달러의 손실을 입었으며, 1900개 이상의 ETH가 도난당했다. 웹3 프로젝트 팀들의 보안에 대한 인식 수준은 여전히 향상되어야 한다.
No.9 Hedgey Finance
피해 금액: 4470만 달러
공격 방식: 계약 취약점
2024년 4월 19일, Hedgey Finance는 여러 체인 상의 스마트 계약을 대상으로 한 공격을 받았다. 해커는 ClaimCampaigns 계약의 승인 취약점을 악용해 이더리움(Ethereum)과 아비트럼(Arbitrum) 두 체인에서 토큰을 성공적으로 인출했으며, 총 피해 금액은 4470만 달러에 달했다. 이 사건은 코드 감사의 중요성을 다시 한번 강조했으며, 특히 토큰 승인 로직에 대한 철저한 검증이 필요함을 보여준다.
No.10 BingX
피해 금액: 4470만 달러
공격 방식: 개인키 유출
2024년 9월 19일, BingX 거래소의 핫월렛이 해킹당했으며, 관련 체인에는 이더리움, BNB 체인, 트론 등 다수의 퍼블릭 체인이 포함되었다. 거래소가 신속히 자산 이체 및 출금 동결 메커니즘을 가동했지만, 해커는 이미 4470만 달러 상당의 자산을 인출해 버렸다. 이번 공격은 중심화 거래소 핫월렛 관리의 고위험성을 드러냈으며, 업계가 보다 안전한 자산 저장 방안을 모색하도록 더욱 밀어붙였다.
2024년에는 보안 공격 사건이 빈번하게 발생하며, 우리는 다시 한번 블록체인 산업의 발전이 보안의 수호 없이는 이루어질 수 없다는 사실을 상기하게 되었다. 개인키 유출에서부터 계약 취약점, 내부 관리 소홀에서 외부 공격 수법의 진화에 이르기까지 매 사건은 깊은 교훈을 남겼다. 점점 더 복잡해지는 공격 위협에 대응하기 위해 산업 각계는 기술 연구개발, 관리 규범, 리스크 방지에 지속적으로 투자를 강화해야 한다. 앞으로 업계 협력을 통해 기술 혁신을 이루고, 더욱 안전한 블록체인 생태계를 함께 구축해 이용자와 투자자들에게 더 신뢰할 수 있는 보장을 제공하기를 기대한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@Beosin_com
