Q4 암호화 보안 사고로 인한 7억 달러 이상의 손실, 프로젝트 당사자와 사용자는 어떻게 위험을 예방하고 통제해야 합니까?

2021년이 저물어 가고 있습니다. , 이는 DeFi 역사상 가장 많은 금액이 관련된 공격이기도 합니다.

보안 사고가 많고 금액이 큰 달은 5월(대부분 BSC에서 발생, 3억 달러 이상 손실)과 8월(Poly Network 해킹 제외, 일본 기반 암호화 화폐 거래소 Liquid 핫월렛 해킹) , 9,135만 달러 손실) 및 10월, 11월, 12월.

Q4는 올해 보안 사고 발생률이 가장 높은 분기이기도 합니다. 불완전한 통계에 따르면 4분기에 40건 이상의 보안 사고가 발생했으며 다양한 분야와 유형이 관련된 7억 달러 이상의 손실이 발생했습니다.보조 제목

손실이 큰 암호화 분야 보안사고 9건 검토

12월 5일 BitMart 설립자이자 CEO인 Sheldon Xia는 트위터에 핫월렛과 관련된 대규모 보안 취약점 2개가 발견되었고 해커들이 약 1억 5천만 달러 상당의 자산을 탈취했다고 밝혔습니다. 6일 Sheldon Xia는 보안 침해가 주로 두 개의 핫 월렛에서 개인 키를 훔쳐서 발생했다고 밝혔습니다. BitMart의 다른 자산은 안전하고 손상되지 않습니다. BitMart는 이 사건을 처리하고 영향을 받는 사용자에게 보상하기 위해 자체 자금을 사용할 것입니다.

10월 27일 DeFi 대출 프로토콜인 Cream Finance가 다시 공격을 받아 1억 3천만 달러 이상의 손실을 입었습니다. 도난당한 자금은 주로 크림 LP 토큰과 기타 ERC-20 토큰이었습니다. PeckShield는 이 공격을 수행하는 데 사용된 대규모 플래시 대출을 발견했습니다.(Cream Finance는 2021년에 5번의 해킹을 당하여 총 2억 달러의 손실을 입었습니다.)

10월 30일, 탈중앙화 거래 프로토콜 BXH가 BSC 체인에서 공격을 받아 1억 3천만 달러 이상을 도난당했습니다. 초기 해커 이익 주소(BSC: 0x4...d79)는 BSC 체인에서 ETH 체인으로 4000 ETH를 전송한 다음 체인을 통해 300 BTCB를 renBTC로 변환하여 주소(1Jw...Vow)로 변환합니다.

12월 3일, 분산형 조직인 Badger DAO는 약 2,100 BTC와 151 ETH를 포함하여 1억 2,030만 달러의 손실을 입은 공격을 받았다고 확인했습니다. BadgerDAO는 12월 2일 피싱 사건이 Badger의 클라우드 네트워크에서 실행되는 애플리케이션 플랫폼인 Cloudflare의 "악의적으로 주입된 조각"에 의해 발생했다고 밝혔습니다. 해커는 Badger 엔지니어의 지식이나 승인 없이 생성된 손상된 API 키를 사용하여 일부 고객에게 영향을 미치는 악성 코드를 일상적으로 주입하고 있습니다.

11월 26일, 컴파운드는 오라클 머신의 공격을 받아 9천만 달러의 자산을 청산했습니다. 이번 컴파운드의 대규모 청산은 오라클머신의 정보원인 코인베이스 프로의 DAI 가격의 급격한 변동으로 인해 발생한 것으로, 오라클머신이 잠시 의존하는 정보원을 조작하는 전형적인 오라클머신 공격이다. 오해의 소지가 있는 체인 가격을 달성하는 기간.

12월 12일 AscendEX의 내부 보안 감사 보고서에 따르면 일부 ERC-20, BSC 및 Polygon 토큰이 거래소의 핫 월렛에서 비정상적으로 전송되었으며 AscendEX의 콜드 월렛은 이번 사건의 영향을 받지 않았습니다. 보안 회사 PeckShield Inc.는 AscendEX의 손실이 총 7,770만 달러(Ethereum에서 6,000만 달러, BSC에서 920만 달러, Polygon에서 850만 달러)인 것으로 추정된다고 트윗했습니다.

11월 30일, 자동 시장조성자 협약인 MonoX는 플래시론 공격을 받은 사실을 확인했고, 공격자는 Polygon과 Ethereum의 유동성 풀을 소진시켰고, 약 3,100만 달러의 이익을 챙겼습니다.

11월 11일 USDM 팀은 Convex를 사용하여 Curve에서 거버넌스 공격을 시작하여 3천만 달러 이상의 손실을 입었습니다.

10월 15일 수동 소득 프로토콜 Indexed Finance가 공격을 받았고 영향을 받은 펀드 풀에는 DEFI5와 CC10이 포함되었습니다. 이 관계자는 이번 공격으로 인한 피해액이 미화 약 1600만 달러라고 디스코드에 밝혔다.

이벤트 재개 후 경험 요약

공격을 받은 프로젝트의 궤적을 보면 중앙화 거래소, DEX 등 디파이 프로토콜이 대부분이며 지갑 취약점, 플래시론 공격, 피싱 등이 주 원인이다.

프로젝트 당사자로서 보안(기술적 측면 및 재정 메커니즘 포함)에 대한 예산 및 투자를 강화하고 다자간 감사를 수용하는 것 외에도 위험 통제 또는 재해 복구 계획 수립(예: 보험 기금 풀 구축, 화이트 햇 보상 계획 등) "신용"의 역할을 할 수 있습니다.

사용자로서 먼저 몇 가지 기본 시장 매개변수(예: 수익률)의 평균 수준을 일반적으로 이해하고 더 경계하고 너무 매력적인 프로젝트를 검토하는 것이 가장 좋습니다. 코딩 능력이 없는 경우 특정 잠재적 위험 지점을 자주 묻는 주요 보안 회사에서 발행하는 해당 프로젝트 감사 보고서를 읽고 프로젝트 간 보고서의 진위 및 적시성을 교차 확인하는 것이 좋습니다. 당사자 및 해당 감사 기관도 여기에서 작은 도구를 공유합니다.DeFiYield의 DeFi 프로젝트 감사 데이터베이스, 프로젝트 이름, 통화 이름, 주소 또는 감사 기관으로 감사 보고서를 검색하고 조회할 수 있습니다.

또 하나는 인터넷 시대에도 보편화된 예방의식을 어느 정도 유지하고, 가짜사이트 피싱, 통신사기, 도주위험 등을 조심하는 것이다. 참여하는 프로젝트의 최신 진행 상황에 더욱 관심을 갖고, 공식 공지 채널(공식 홈페이지, 트위터 등)이나 커뮤니티(Discord, TG 등)를 매일 확인하세요. , 서비스 중단, 취약점 경고 또는 사고 공개, 또한 즉시 정보를 얻고 조치를 취할 수 있습니다.

권장 독서

권장 독서

Chainlink - "프로젝트 개발자는 반드시 읽어야 합니다: 상위 10개 DeFi 보안 문제 솔루션"

청두 리아난 -"분석 DeFi가 해커의 "현금 지급기"로 축소될 때 보안을 어떻게 보장합니까? "

Odaily - "경비본부장과 대화, 부상자는 왜 맨날 교차사슬 다리?" "

Odaily - "DeFi의 어두운 면 - HackFi"