첫 번째 레벨 제목
보조 제목
정책, 규정 준수, 규제
국내 환경의 관점에서 한편으로는 정부가 블록체인 기술의 R&D 및 적용에 중점을 두고 있으며, 산업통상자원부는 블록체인 및 기타 시설의 서비스 기능이 크게 향상될 것이라고 지적했습니다. 한편, 정부는 암호화폐에 대한 규제를 계속 강화할 것입니다. 9월, 여러 부서에서 "가상 화폐 거래의 과대 광고 위험 추가 방지 및 처리에 관한 통지"를 발행했으며, 국가 발전 개혁 위원회 및 기타 부서는 공동으로 "가상 화폐 "채굴" 활동 시정에 관한 통지"를 발행했습니다. 관련 자료에 따르면 2021년 국가 차원에서 발행된 블록체인 관련 콘텐츠 관련 정책 문서는 대학 연구, 인재 양성, 기술 응용 표준, 지적 재산권, 디지털 농업, 해운 운송, 전염병 예방 및 통제, 네트워크 보안 및 사회 , 디지털문화산업 등
대외 환경의 관점에서 여러 국가의 정부는 계속해서 암호 화폐에 관심을 기울이고 있으며 암호 화폐에 대한 감독은 점차 개선되고 정책은 점차 자유화됩니다. 글로벌 자금세탁 방지 기관인 Financial Action Task Force는 암호화폐에 대한 최신 규제 지침을 발표했습니다. 한국 서울은 공공 서비스 "메타버스 플랫폼"을 구축할 예정입니다. ; 비트코인은 엘살바도르에서 공식적으로 법정 통화가 되었으며 우크라이나 의회는 가상 자산 법안 등을 통과시켰습니다.
알 수있는 바와 같이,보조 제목
기술, 응용, 경제
우리 나라"블록체인 + 산업"2021년,
2021년,블록체인 기반 기술보안 사고
보안 사고
블록체인 기술은 양날의 검입니다 블록체인의 탈중앙화, 익명성, 변조 불가능한 특성이 산업 발전을 촉진하는 반면, 블록체인 보안 문제도 크게 증가했습니다 암호화폐 범죄는 돈세탁, 사기, 절도, 마약 밀매 등 다양합니다 , 광업 범죄가 자주 발생합니다.
이미지 설명
(출처: hacked.slowmist.io)
이 중 다양한 생태 DApp 및 DeFi 보안 사고 170건, 거래소 보안 사고 15건, 퍼블릭 체인 보안 사고 8건, 지갑 보안 사고 3건, 기타 유형의 보안 사고 35건이 있었습니다.
2018년 이후 전반적인 적자 추세는 여전히 상승세다.
첫 번째 레벨 제목
퍼블릭 체인
퍼블릭 체인
51% 공격 미만의 BSV
8월 4일, BSV는 51% 공격을 받은 것으로 의심되어 거의 100개의 블록이 재구성되었습니다.
ETC 메인넷이 포크를 만나다
9월 4일, Ethereum Classic(ETC)은 ETC 메인넷이 Ethereum 클라이언트 Geth의 취약점으로 인해 포크를 겪었다고 트윗했습니다.
솔라나 메인넷 베타 서비스 거부 공격
9월 14일 퍼블릭 체인 솔라나 메인넷 베타 버전은 베이징 시간 19시 52분부터 불안정을 경험하기 시작했으며, 9월 21일 솔라나는 공식적으로 네트워크 중단에 대한 예비 개요를 발표했습니다. 자금 손실은 없었으며 24시간 이내에 모든 기능이 복구되었습니다. 네트워크 중단 시간의 원인은 서비스 거부 공격입니다. 12:00 UTC에 Grape Protocol은 네트워크를 혼잡하게 만드는 봇 생성 트랜잭션으로 Raydium에서 IDO를 시작했습니다. 이러한 트랜잭션으로 인해 많은 검증 노드가 충돌하는 메모리 오버플로가 발생하여 네트워크 속도가 느려지고 결국 중지되었습니다.
느린 안개보기
교환
교환
크립토피아 또 해킹
2월 20일 뉴질랜드 거래소 크립토피아(Cryptopia)가 다시 해킹을 당했고 조사 결과 해커들이 2019년 1월 해킹 이후 휴면 상태였던 지갑에 접근한 것으로 드러났다. 지갑은 Stakenet에 속하며 Cryptopia 청산인 Grant Thornton이 관리합니다. 조사 결과에 따르면 휴면 지갑에는 약 196만 달러 상당의 Stakenet 고유 토큰인 Xtake가 보관되어 있었습니다.
액체 핫 월렛 해킹
8월 19일, 일본 암호화폐 거래소 리퀴드(Liquid)는 자사의 핫월렛이 공격을 받았다고 밝혔습니다. SlowMist AML팀은 자사의 MistTrack 자금세탁방지 추적시스템을 이용하여 통계를 분석, 분석하였으며, Liquid는 총 약 9,135만 달러(사고 당일 가격 기준)의 손실을 입었으며, 도난당한 화폐는 BTC, ETH, ERC20토큰, TRX, TRC20토큰, XRP 70여종의 화폐가 있고 그 금액이 어마어마할 정도로 어마어마합니다.
느린 안개보기
거래소 보안은 거래소와 이용자의 최우선 관심사가 되었고, 거래소 생존의 관건이 되기도 했습니다. 특히 올해 4분기에는 각종 거래소들이 잇달아 공격을 받아 막대한 손실을 입었다.
거래소는 다음과 같은 이유로 자주 공격을 받습니다: (1) 거래소는 많은 자금을 모으고 항상 해커의 표적이 되어 왔습니다. (3 ) 사용자의 보안 의식이 부족한 경우 (4) 내부 범죄.
지갑
지갑
원장 지갑이 여러 번 유출되었습니다.
6월 18일 비트코인 하드웨어 지갑 제공업체인 Ledger는 최근 가짜 Ledger 하드웨어 지갑을 사용하여 사용자 자산을 사취하기 위해 일련의 새로운 유형의 사기가 발생했다고 사용자에게 상기시켰습니다.1년 전에 정보가 유출된 일부 사용자는 하드웨어 지갑 교체 요청을 받았습니다. .패키지에는 가짜 공식 서한과 변조된 Ledger 하드웨어 지갑이 포함되어 있습니다. Ledger는 "자금 보호를 위해 기존 하드웨어 지갑을 교체해야 합니다"라는 편지는 사기이며 첨부된 Ledger Nano도 가짜라고 밝혔습니다. 편지의 지침에 따라 시드 단어를 입력하면 사용자의 암호화 자산이 도난당할 것입니다.
다수의 Chivo 지갑 도난
치보 월렛은 비트코인법 시행을 위해 엘살바도르 정부가 9월 7일 공개한 국가 디지털 지갑으로, 엘살바도르는 이를 위해 치보 월렛을 다운로드하고 인증하는 사용자에게 30달러의 비트코인 보상을 지급할 것을 약속했다. 이 움직임으로 공식 엘살바도르 지갑은 한 달 안에 2백만 명 이상의 사용자에게 제공되었습니다. 그러나 10월 9일에서 10월 14일 사이에 엘살바도르에 기반을 둔 인권 단체인 Cristosal은 Chivo 지갑 신원이 도난당했다고 보고한 엘살바도르인에 대한 755건의 통지를 받았습니다.
느린 안개보기
보조 제목
DApp, DeFi, NFT, 크로스체인
(1) ETH 생태계
SushiSwap 또 해킹
1월 27일, SushiSwap은 다시 공격을 받아 81 ETH를 잃었습니다. 이 공격은 SushiSwap의 첫 번째 공격과 유사하며 둘 다 거래 쌍의 교환 가격을 조작하여 수익을 창출합니다. 이번 공격은 DIGG 자체에 WETH에 대한 트랜잭션 페어가 없다는 점을 이용했고, 공격자는 이 트랜잭션 페어를 생성해 초기 거래 가격을 조작해 수수료 교환 과정에서 엄청난 슬리피지를 발생시켰다. DIGG와 WETH의 초기 유동성을 제공하여 막대한 수익을 얻습니다.
SIL 절도 후 1,215만 달러 회수
3월 19일 DeFi 종합 금융 서비스의 SIL.Finance 컨트랙트에 고위험 취약점이 등장했습니다. 나중에 SIL.Finance는 이 사건이 스마트 계약 권한 취약성으로 인해 발생했으며, 이로 인해 범용 선행 거래 로봇이 이익을 위해 일련의 거래를 제출하도록 트리거했다는 문서를 발행했습니다. 고위험 취약점으로 인해 스마트 계약을 철회할 수 없음을 발견한 후 SlowMist 및 기타 당사자가 36시간 동안 노력한 결과 USD 12.15 백만이 성공적으로 복구되었습니다.
(2) BSC 생태학
복합 취약점 및 제안
9월 30일 탈중앙화 대출 프로토콜인 컴파운드(Compound)는 트위터를 통해 제안 62 시행 이후 프로토콜의 유동성 채굴에서 COMP 토큰의 비정상적인 분포가 발생했음을 확인했으며 컴파운드랩스와 커뮤니티 구성원들이 조사하고 있다. 컴파운드는 지금까지 예금과 차입 자금이 위험에 처한 것으로 밝혀지지 않았다고 말했다. Compound 설립자 Robert Leshner에 따르면 Proposition 62에 따른 COMP 토큰 배포의 초기 비율이 잘못 설정되어 너무 많은 COMP 토큰이 배포되는 문제가 있는 것으로 보입니다. 10월 4일, 컴파운드가 허점을 메우려던 찰나, 이미 취약한 유동성 채굴에 6,880만 달러 상당의 COMP 토큰(총 202,472 COMP)이 추가로 주입되었습니다.
크림파이낸스가 3차례 공격
10월 27일 DeFi 대출 협회인 Cream Finance가 공격을 받아 약 1억 3천만 달러를 잃었습니다. 도난당한 자금은 주로 크림 LP 토큰과 기타 ERC-20 토큰이었습니다. 이것은 역대 세 번째로 큰 DeFi 해킹이라고 합니다. 또한 Cream Finance는 2월에 3,750만 달러, 8월에 1,900만 달러의 손실을 입는 등 여러 번의 플래시 대출 공격을 받은 적이 있습니다.
(3) EOS 생태계
flash.sx 스마트 계약이 재진입의 공격을 받았습니다.
5월 14일 11:28 UTC 이후 flash.sx 플래시 대출 스마트 계약은 "재진입" 공격 취약점에 시달렸고 약 120만 EOS와 462,000 USDT가 연속적으로 도난당했습니다. 공식 소식통에 따르면 EOS Nation의 Lightning Loan이 해킹당한 후 프로젝트 당사자는 해커의 EOS 계정 권한을 직접 변경하고 자산을 다시 이전하자는 제안을 시작했습니다.
피자 해킹
12월 8일 오후 8시, 해커 계정 itsspiderman은 오버플로우 취약점을 사용하여 eCurve에서 추가 트리풀 시장 조성 인증서를 발행하고 PIZZA 계약에서 대부분의 토큰을 약속하고 빌려주었습니다. 이후 해커들은 130만 개 이상의 계정을 생성하고 훔친 자산을 분산시켰다. 이 공격에서 PIZZA 프로토콜의 손실은 약 500만 달러에 해당합니다.
(4) 다각형 생태
알고리즘 스테이블 코인 프로젝트 SafeDollar가 공격을 받고 있습니다.
6월 28일 Polygon의 알고리즘 스테이블 코인 프로젝트인 SafeDollar가 해킹된 것으로 의심되었으며 확인되지 않은 계약이 USDC 및 USDT에서 $250,000를 훔친 것으로 보입니다.
PolyYeld 금융 계약 악용
수확량 농업 프로토콜 PolyYeld Finance가 공격을 받았고 프로젝트 계약을 사용하여 4조 9천억 개의 YELD 토큰을 발행하여 2차 시장에 투매했습니다.
(5) HECO 생태계
HSO는 30,000 HT를 휩쓸고 달아났습니다.
3월 10일, 후오비 생태 체인 HECO의 오라클 프로젝트 HSO가 IDO 이후 30,000 HT로 도주했고 웹사이트와 텔레그램을 열 수 없었습니다. 이후 HECO 핵심 코드 기여 팀인 Star Lab, HECO 기술 커뮤니티, HECO White Hat Security Alliance 등 관련 단체의 전폭적인 홍보 아래 24,823개의 HT가 복구되었습니다.
공격을 받고 있는 XDX 스왑
지난 7월 2일 헤코체인의 크로스체인 탈중앙화 거래소 DDEX의 XDX 스왑(DDEX)이 공격을 받아 공격자는 85.17 ETH(약 176,000달러)의 수익을 내고 이를 모두 이더리움에 크로스체인했다. DDEX 코드에 백도어가 있는 것으로 의심됩니다. DDEX, Star Labs, HECO White Hat Security Alliance 등의 지원과 협력으로 XDX Swap은 이 공격에 관련된 대부분의 자금을 성공적으로 회수했으며 총 가치는 미화 500만 달러 이상입니다.
(6) 기타 생태
NEAR 생태계 Ref.Finance는 계약 오류로 인해 악용되었습니다.
8월 15일, NEAR 생태계의 Ref.Finance 팀은 8월 14일 UTC 오후 2시경에 Ref 팀이 REF-NEAR 거래 쌍의 비정상적인 동작을 발견했으며 최근 배포된 계약 여러 사용자가 악용한 버그는 약 100만 개의 REF와 580,000개의 NEAR에 영향을 미쳤습니다.
Solana 생태계 Solend 해킹
8월 19일 솔라나 생태 대출 계약인 솔렌드는 베이징 시간 8월 19일 20시 40분에 계약이 해킹당했다고 트위터에 올렸고, 공격자는 UpdateReserveConfig 기능에서 안전하지 않은 ID에 대한 검사를 크래킹하여 모든 계정을 청산할 수 있도록 했습니다. 또한 해커는 빌린 자금의 APY를 250%로 설정했습니다. 이 기간 동안 5명의 사용자 자금이 잘못 유동화되었습니다. Solend는 공격으로 인해 자금이 도난당하지 않았으며 버그 바운티의 규모를 늘리고 더 나은 모니터링 및 경고 시스템을 구축할 것이라고 말했습니다.
Polkadot 생태학적 IDO 플랫폼 Polkatrain이 중재되었습니다.
지난 4월 5일 폴카닷 생태 IDO 플랫폼인 폴카트레인에서 사고가 발생했다.SlowMist의 분석에 따르면 이번에 문제가 된 계약은 폴카트레인 프로젝트의 POLT_LBP 계약이다. 함수가 PLOT 토큰을 구매하면 일정 금액의 리베이트를 얻고 리베이트는 계약에서 _update 함수 호출 transferFrom을 통해 사용자에게 전달됩니다. _update 함수는 풀에 대한 최대 리베이트 금액을 설정하지 않고, 리베이트 발생 시 총 리베이트 소진 여부를 판단하지 않기 때문에 악의적인 차익거래자는 지속적으로 스왑 함수를 호출하여 토큰을 교환하여 계약 가치를 추출할 수 있습니다. . 리베이트 보상.
Avalanche 온체인 대출 프로토콜 Vee.Finance 해킹
9월 20일 Avalanche 체인 대출 계약의 Vee.Finance 팀은 여러 번의 비정상적인 전송을 발견했으며 추가 모니터링 후 총 8804.7 ETH 및 213.93 BTC(총 가치 3500만 달러 이상)를 도난당했습니다. 스테이블 코인 부분은 이 공격의 영향을 받지 않았습니다.
팬텀 체인의 GrimFinance는 플래시 론의 공격을 받았습니다.
12월 19일, 팬텀 체인의 복리 수익 플랫폼인 GrimFinance가 플래시 론 공격을 받아 손실액이 3,000만 달러를 넘어섰습니다. 공격자는 GrimFinance의 볼트 정책에서 "beforeDeposit()"라는 함수를 사용하여 악의적인 토큰 계약을 공격하고 입력합니다.
(7) 크로스체인 시스템
크로스 체인 트랜잭션 프로토콜 THORChain이 세 번 공격을 받았습니다.
6월 29일 THORChain은 "가짜 충전"의 공격을 받아 거의 350,000달러를 잃었습니다. 다시, 거의 800만 달러의 손실.
교차 체인 브리지 Chainswap이 도난당하여 여러 플랫폼에 영향을 미침
7월 11일 크로스 체인 브릿지 프로젝트인 Chainswap이 또 해킹당했습니다. 브릿지에 스마트 계약을 배치한 20개 이상의 프로젝트 토큰이 해킹당했습니다. 총 손실액은 400만 달러로 추정되어 영향 범위가 거의 발생했습니다. DeFi 역사상 가장 큰 안전 사고. Chainswap 설문 조사에 따르면 토큰 크로스 체인 할당량 코드의 버그로 인해 온체인 교환 브리지 할당량은 서명 노드에 의해 자동으로 증가되며 수동 제어 없이 보다 분산화되는 것을 목표로 합니다. 그러나 코드의 논리적 결함으로 인해 화이트리스트에 포함되지 않은 유효하지 않은 주소를 허용하여 자동으로 숫자가 증가하는 취약점이 발생했습니다. 이전에는 7월 2일에 Chainswap도 해커의 공격을 받았으며 일부 사용자 토큰은 ChainSwap과 상호 작용하는 지갑에서 적극적으로 인출되어 총 $800,000의 손실이 예상되었습니다.
Poly Network의 6억 1천만 달러 도난 반환
8월 10일 Poly Network 공격은 6억 1천만 달러 이상의 암호화 자산이 도난당했다가 15일 이내에 반환된 역사상 가장 큰 사이버 보안 사건일 수 있습니다. 전체 블록체인 산업과 모든 관련 당사자는 Poly Network와 함께 이러한 기복을 경험했습니다. 현재 관련된 모든 자산은 사용자에게 반환되었으며 시스템 기능은 기본적으로 사건 이전 수준으로 돌아갔습니다.
(8)NFT
NFT 사기 확산
8월 2일, "cryptopunksbot"이라는 사기꾼이 CryptoPunk의 Discord 서버에 게시하여 NFT 투자자에게 10개의 NFT 아바타를 얻을 수 있는 기회를 제공했습니다. NFT 프로젝트 설립자 Stazie는 허위 제안이 포함된 포스터를 수락한 대가로 최소 100만 달러 상당의 CryptoPunks 16개를 잃었습니다. 그런 다음 사기꾼은 5개의 CryptoPunks를 149 ETH($385,000)에 판매했습니다.
느린 안개보기
DeFi가 탄생한 이후로 수많은 위험이 수반되었습니다. 많은 DeFi 프로젝트의 가치가 폭발적으로 두 배가 되었지만 해킹 사건도 심화되었습니다. SlowMist의 통계에 따르면 DeFi는 일반적으로 (1) 플래시 론 공격, (2) 계약 허점, (3) 호환성 또는 아키텍처 문제, (4) 개인 키 유출 또는 프런트 엔드 공격, (5) 공격 방법이 있습니다. 내부 범죄, 도망쳐.
다른 유형
다른 유형
약탈
5월 7일, 미국 최대의 석유 및 가스 파이프라인 운영업체인 Colonial Pipeline은 표적 랜섬웨어 공격으로 인해 운영을 중단한 후 400만 달러 이상의 몸값인 75개의 비트코인을 지불하여 운영을 복구했습니다. 정상. 랜섬웨어 공격은 국가 차원의 중요 인프라를 포함하기 때문에 글로벌 충격과 광범위한 우려를 불러일으켰습니다. 이번 사건에 대해 미 법무부 관계자는 200만 달러 이상의 몸값을 성공적으로 회수했다고 밝혔다. 그러나 미국 정부 관계자는 "비공개 키를 어떻게 획득하고 몸값을 되찾을 것인지"에 대한 구체적인 절차는 밝히지 않고, 이번 조치는 미국이 협박 공격에 대처하는 데 전력을 아끼지 않는다는 것을 보여준다고만 말했다.
사기
8월 20일, 러시아 최대 암호화폐 사기 중 하나의 창시자가 투자자들에게 15억 달러 이상을 사취한 혐의로 투옥되었습니다. Finiko는 2019년 카잔시에 설립되었으며 합법적인 BTC 투자 회사인 것처럼 가장했습니다. 2020년 12월, Finiko는 기본 암호화폐 FNK를 출시했습니다. 현지 보도에 따르면 설립자들은 투자자들로부터 BTC를 받고 FNK 토큰으로 보상할 것이라고 합니다.
어업
10월 15일 Sophos는 암호화 사기 앱인 CryptoRom이 "Super Signature Service"와 Apple Developer Enterprise Program을 악용하여 140만 달러를 훔쳤다고 주장하는 보고서를 발표했습니다. 사기와 관련된 비트코인 주소는 현재까지 139만 달러 이상을 보냈으며 사기와 관련된 더 많은 주소가 있을 수 있습니다. 피해자의 대부분은 아이폰 사용자라고 보고서는 밝혔다. 보고서에 따르면 CryptoRom은 모든 App Store 보안 검사를 우회하고 매일 활성 상태를 유지합니다. 이 보고서는 또한 Apple이 "애플이 검토하지 않은 임시 배포 또는 엔터프라이즈 프로비저닝 시스템을 통해 앱을 설치하는 것에 대해 사용자에게 경고해야 합니다."라고 말했습니다.
느린 안개보기
요약하다
요약하다
BTC로 대표되는 많은 암호화폐의 시장가치가 개편되고 블록체인 산업의 전반적인 발전 추세가 점점 좋아지고 있지만 암호화폐 범죄도 만연하고 있습니다.통계적으로 볼 때 보안 사고가 많고 손실이 큰 달은 주로 4월, 6월, 8월이며, 다양한 생태학적 관점에서 볼 때 이더리움의 손실이 가장 많고 미화 13억 달러를 초과하며 그 다음이 BSC 생태학입니다. ; 공격 영역의 관점에서 볼 때 거래소와 DeFi는 더 많은 공격을 받습니다.
프로젝트 당사자의 경우 내부 관리 및 기술 메커니즘을 개선하고 내부 보안 담당자가 적시에 보안 관련 콘텐츠의 격차를 확인하고 채울 것을 권장합니다. 가장 중요하고 효과적인 방법은 프로젝트가 온라인 상태가 되기 전에 포괄적이고 심층적인 보안 감사를 수행하여 보안 문제가 발생할 가능성을 최소화하는 것입니다.
사용자에게는 블록체인을 올바르고 합리적으로 취급하고 올바른 통화 개념 및 투자 개념을 확립하고 위험 방지 인식을 효과적으로 향상시키는 것이 필요합니다. 예를 들어 투자하기 전에 스마트 컨트랙트가 오픈 소스인지, 플랫폼 자체에 보안 감사가 있는지 여부에 주의를 기울여야 하며, 가장 중요한 것은 개인 키 니모닉을 유지하고 누구에게도 공개하지 않는 것입니다.
끝으로 더 큰 에너지로 터져 나올 블록체인의 새해, 더 많은 랜딩 어플리케이션이 등장하고 더 큰 가치가 창출되는 해를 기대해 봅니다.
IOS
Android