지난 2년간 암호화폐 업계 상위 20대 해킹 사례 검토

마무리: 쿠키, 체인 캐처

지난 3월 말 유명 체인게임 엑시 인피니티의 사이드체인 네트워크인 로닌네트워크(Ronin Network)가 해킹 사건으로 약 6억2000만 달러의 자산을 손실해 지금까지 발생한 디파이(DeFi) 해킹 공격 중 가장 심각한 수준이 되면서 보안에 대한 대중의 우려가 더욱 깊어지고 있다. 암호화된 세계.

지난 2년 동안 엄청난 양의 자금이 암호화 산업에 지속적으로 유입되었지만 보안은 여전히 ​​매우 취약합니다 중앙 집중식 거래소 및 DeFi 프로젝트의 많은 코드 허점은 해커의 반복적인 공격을 받았습니다 숫자, 빈도 및 규모 각종 보안 사고 등의 수준이 급증하고 있습니다.

슬로우미스트 통계에 따르면 2021년 블록체인 보안 사고로 인한 누적 손실액은 98억 달러 이상이며, 보안 사고는 231건이며, 손실의 상당 부분이 프로젝트 당사자에 의해 복구 또는 보상되었지만 암호화폐 업계는 여전히 심각한 부상을 입었습니다.

보조 제목

1. 로닌 네트워크, 6억 2,400만 달러

2022년 3월 29일, 로닌은 자사의 크로스체인 브릿지가 해킹당했고, 173,600 ETH와 2,550만 USDC가 도난당했으며, 누적 가치는 약 6억 2천만 달러에 달한다고 공식적으로 밝혔습니다.

해당 관계자는 프로젝트 도용 이유에 대해 검증인 5명의 개인키를 도난당했기 때문이라고 밝혔다. 작년 11월 Sky Mavis와 Axie DAO는 원래 사용자 비용을 줄이려는 의도로 가스가 없는 RPC 노드를 구축했으며 이를 위해서는 Axie DAO가 Sky Mavis 검증자가 되어야 합니다.RPC 노드는 한 달만 지속되었지만 화이트리스트 액세스는 따라서 공격자는 Axie DAO 서명을 훔치고 5명의 검증자의 합의를 수집하고 개인 키로 대체하여 가짜 출금을 위조할 수 있는 기회가 있습니다.

보조 제목

2. 폴리 네트워크, 6억 1,100만 달러

2021년 8월 10일, Ethereum, BSC 및 Polygon의 교차 체인 상호 운용성 프로토콜 Poly Network에 의해 배포된 스마트 계약이 동시에 해킹되어 6억 1천만 달러 이상의 자산이 도난당했습니다.

SlowMist 팀의 분석에 따르면 공격자는 EthCrossChainData 계약의 키퍼를 수정하기 위해 특정 기능을 사용하여 신중하게 구성한 데이터를 전달하고 키퍼 역할의 주소를 교체한 후 공격자가 마음대로 트랜잭션을 구성하고 금액을 인출할 수 있습니다. 계약 자금.

보조 제목

3. 웜홀, 3억 2,600만 달러

올해 2월 3일, 교차 체인 프로토콜인 Wormhole이 해킹당했으며 관계자들은 이 공격으로 120,000 ETH(약 3억 2,600만 달러)가 손실되었음을 확인했습니다.

조사에 따르면 이번 사건의 취약점은 솔라나 측 코어 웜홀 컨트랙트의 서명 확인 코드에 오류가 있어 공격자가 "보호자"의 메시지를 위조해 whETH를 발행할 수 있다는 점이다. 공격자는 Solana에서 무한히 발행된 whETH(Wormhole ETH) 등가물을 통해 Wormhole을 통해 120,000개의 실제 ETH를 이더리움으로 전송했습니다.

보조 제목

4. 비트마트, 1억 9600만 달러

2021년 12월 5일, 암호화된 거래 플랫폼 BitMart의 이더리움 및 BSC 핫 지갑에서 약 1억 9,600만 달러가 도난당했으며, 이 중 약 1억 달러는 이더리움에서, 약 9,600만 달러는 BSC에서 도난당했습니다.

공격자는 핫월렛에서 비트마트 자금을 자신의 지갑으로 옮기고 1인치를 통해 대부분의 통화를 ETH와 BNB로 거래한 뒤 토네이도캐시를 통해 통화를 섞어 결국 탈주한 것으로 파악된다.

보조 제목

5. Vulcan Forged, 1억 4천만 달러

보조 제목

6. 크림 파이낸스, 1억 3천만 달러

2021년 10월 27일, 모기지 대출 플랫폼인 Cream Finance는 플래시 론 공격을 받아 약 1억 3천만 달러의 손실을 입었습니다.

이 공격은 경제 공격과 오라클 머신 공격이 혼합된 것으로 이해됩니다.공격자는 MakerDAO에서 DAI를 신속하게 빌려 대량의 yUSD 토큰을 생성했습니다.높은 후 공격자의 yUSD 포지션이 증가하여 차입 한도를 상쇄하기에 충분했습니다. 크림 이더리움 v1 시장의 유동성.

보조 제목

7. Badger 1억 2천만 달러

2021년 12월 2일, Badger 사용자 인터페이스가 해킹되어 악의적인 지갑 요청이 삽입되어 총 손실액이 약 2100 BTC 및 151 ETH 또는 약 1억 2천만 달러에 달했습니다.

이 사건은 Badger의 클라우드 네트워크에서 실행되는 애플리케이션 플랫폼인 Cloudflare의 "악의적으로 주입된 조각"으로 인한 피싱 공격이었습니다. 해커는 Badger 엔지니어가 자신도 모르게 또는 승인 없이 생성한 손상된 API 키를 사용하여 정기적으로 악성 코드를 주입하고 사용자 지갑의 무제한 승인 주석을 얻습니다.

보조 제목

8. 큐빗 파이낸스, 8천만 달러

2022년 1월 28일, BSC 대출 프로젝트인 큐빗(Qubit)이 해킹을 당했다는 의심을 받았고, 해커는 대량의 xETH 담보를 발행하고 펀드 풀에서 약 8천만 달러의 자산을 훔쳤습니다.

이번 공격의 주원인은 일반 토큰 충전과 네이티브 토큰을 별도로 구현할 때 화이트리스트에 있는 토큰을 전송할 때 다시 0번지 여부를 확인하지 않아 네이티브를 통해 충전했어야 할 충전 작업이 발생했다는 점이다. 기능의 일반적인 토큰 충전 로직을 통해 원활하게 진행할 수 있습니다.

보조 제목

9. AscendEX, 7700만 달러

2021년 12월 12일 암호화폐 거래소 어센드EX의 이더리움, BSC, 폴리곤 핫월렛이 도난당했거나 자산 7700만 달러를 넘어섰다.

보조 제목

10. EasyFi, 5,900만 달러

2021년 4월 20일, 레이어 2 DeFi 대출 계약 EasyFi의 설립자인 Ankitt Gaur는 프로토콜 유동성 풀이 미화 600만 달러의 스테이블 코인과 298만 EASY 토큰을 전송했으며 총 손실액은 미화 약 5900만 달러라고 말했습니다. 불화.

관리자의 메타마스크 니모닉 문구 키가 원격으로 공격을 받았고 EasyFi 스마트 컨트랙트가 해킹되지 않았기 때문에 프로젝트가 도난당한 것으로 파악됩니다. EasyFi는 Binance 및 AscendEx 팀에 연락했으며 해커는 지갑에서 토큰을 전송하지 않았으며 유동성 제한으로 인해 DEX에서 판매할 수 없었습니다.

보조 제목

11. 우라늄 금융, 5,700만 달러

2021년 4월 28일, 바이낸스 스마트 체인의 AMM 프로토콜인 Uranium Finance는 마이그레이션 과정에서 Uranium이 공격을 받아 약 5,700만 달러의 손실을 입었다고 트윗했습니다.

이 문제는 우라늄 프로젝트의 페어 컨트랙트에서 발생한 것으로 파악되며, 컨트랙트 로직의 스왑 기능 부분은 PancakeSwap의 로직을 참고하여 사용자가 플래시 론을 통해 자금을 대출할 수 있도록 합니다. 그러나 함수가 상시상품공식에 따라 계약잔액을 확인하는 경우 정밀가공오류의 문제가 있어 계약에서 계산된 최종잔액이 실제 계약잔액의 100배가 되는 문제가 발생한다. 공격자가 플래시 대출을 사용하여 빌리는 경우 대출 금액의 1%만 반환하면 검사를 통과하고 나머지 99%를 훔쳐 프로젝트 손실이 발생합니다.

보조 제목

12. bZx, 5500만 달러

2021년 11월 6일, Polygon 및 BSC 체인의 분산형 대출 프로토콜 bZx는 개인 키 유출로 인해 자산 5,500만 달러 이상을 도난당했습니다.

보조 제목

13. 캐시오, 4800만 달러

2022년 3월 23일, Solana 생태 알고리즘 스테이블 코인인 Cashio는 트위터를 통해 사용자에게 토큰을 발행하지 말고 가능한 한 빨리 풀에서 자금을 인출하라고 경고했습니다. 프로토콜에 무한 채굴 버그가 있어 약 4,800만 달러의 손실이 발생했습니다.

Cashio Dollar는 USDT-USDC LP 토큰이 지원하는 알고리즘 스테이블 코인으로, 미확인 계정을 우회하여 해커가 불법적으로 20억 개의 추가 CASH 토큰을 발행하고 CASH 토큰을 UST, USDC 및 USDT-USDC LP로 전환하여 총 수익 가치는 약 4800만 달러.

보조 제목

14. 팬케이크 버니, 4600만 달러

2021년 5월 20일, Binance Smart Chain BSC의 수익 집계자인 PancakeBunny가 공격을 받은 것으로 의심되어 약 4,600만 달러를 잃었습니다.

전형적인 라이트닝 론 공격인데, 핵심은 WBNB-BUNNY LP의 가격계산에 오류가 있고, BunnyMinterV2 컨트랙트가 발행하는 BUNNY의 양은 이 오류가 있는 LP 가격계산 방법에 의존하여 결국 공격자가 사용하게 된다는 점이다. WBNB를 조작하기 위한 번개 대출 -BUNNY 풀은 LP 가격을 인상하여 BunnyMinterV2 계약이 공격자에게 대량의 BUNNY 토큰을 발행하게 했습니다.

보조 제목

15. 쿠코인, 4,500만 달러

2020년 9월 20일 Kucoin 핫 월렛이 공격을 받아 2억 8천만 달러 이상의 손실을 입었습니다.

보조 제목

16. Secretswap, 4천만 달러 이상

2021년 9월 14일, 프라이버시 퍼블릭 체인인 Secret Network를 기반으로 하는 DEX 프로젝트인 Secretswap이 해킹을 당해 해커에 의해 4천만 달러 이상의 유동성 풀이 인출되었습니다. Secretswap과 Secret Network 사이의 체인 브리지는 해커가 교차 체인 브리지에서 이더리움 네트워크로 자산을 전송하는 것을 방지합니다.

사후 조사에 따르면 위반은 SecretSwap 보상 스테이킹과 관련된 단일 LP 계약과 관련이 있었고 도난당한 자금이 네트워크에서 유출되지 않았으며 브리지/토큰 계약이 공격받지 않았으며 네트워크 자체도 공격받지 않았습니다.

보조 제목

17. 알파 파이낸스, 3,700만 달러

2021년 2월 13일, Alpha Finance Lab은 공식 트위터를 통해 해커들이 Alpha Homora V2 취약점을 이용하여 Iron Bank(Cream V2)에서 ETH, DAI, USDC 및 기타 자산을 빌려주었고 결과적으로 Alpha Homora v2와 Cream v2 사이에 부채가 생겼다고 밝혔습니다. 약 3700만 달러의 손실을 입었습니다.

보조 제목

18. Vee 금융 3,700만 달러

2021년 9월 21일, Avalanche 생태 대출 플랫폼의 Vee Finance 스마트 계약이 공격을 받아 약 3,700만 달러의 손실이 발생했습니다.

이 취약점의 주요 원인은 사용자가 레버리지 거래 주문을 생성할 때 오라클이 Pangolin 풀의 가격만 가격 피드 소스로 사용하고 이 풀의 가격이 3% 이상 변동하기 때문인 것으로 파악됩니다. 오라클은 가격을 새로 고침하여 공격자가 천산갑 풀의 가격을 조작하도록 합니다. 그러나 Vee Finance 오라클 머신의 가격이 조작되었고 인수한 오라클 머신의 가격이 소수점 처리되지 않아 스왑이 작동하기 전에 예상되는 슬리피지 확인이 이루어지지 않았습니다.

보조 제목

19. Crypto.com 3,300만 달러

2022년 1월 18일 암호화폐 거래소 크립토닷컴(Crypto.com)의 일부 계정이 해킹된 것으로 의심되어 약 3,300만 달러의 손실이 발생했습니다.

해커는 기존 2FA 인증을 우회해 출금 화이트리스트가 된 것으로 파악돼 총 483개 계정이 크랙됐으며, 4836개의 ETH와 444개의 비트코인이 도난당했고, ETH는 토네이도캐시로 송금돼 화폐혼합이 이뤄졌다.

보조 제목

20. MonoX 금융 3,100만 달러

2021년 11월 30일, 자동 마켓 메이커 프로토콜인 MonoX가 플래시론의 공격을 받았고, 이더리움과 폴리곤에 있는 약 3,100만 달러 상당의 암호화폐가 해커들에게 도난당했습니다.

공격자는 스왑 계약을 사용하여 MONO의 가격을 천정부지로 치솟게 한 다음 MONO를 사용하여 풀의 다른 모든 자산을 구매한 것으로 이해됩니다.

그 후, 프로젝트 팀은 도난당한 모든 자산에 대해 부채 토큰 dMONO를 발행하고 dMONO 금고를 배치하고 수익을 사용하여 MONO를 다시 구매하고 MONO를 이 금고로 보낼 것이며 모든 dMONO 보유자는 dMONO가 와서 MONO를 획득하여 금고를 나가지만 사용자가 빚진 가치에 도달하기 전에 dMONO를 인출하기로 선택하면 남은 부채가 탕감된다는 의미입니다.

추가 통계에 따르면 이러한 보안 사고의 누적 손실은 수십억 달러에 달하지만 도난당한 프로젝트의 대부분의 사용자는 손실을 완전히 보상받았으며 그 중 Poly Network 및 Secretswap의 도난된 자산은 모두 복구되었으며 Wormhole 및 기타 8 프로젝트 원래 통화 보상은 프로젝트 당사자가 지급했고, 나머지 프로젝트는 대부분 자체 토큰 형태로 프로젝트가 지급했지만, 토큰 가격 하락으로 인해 실제 보상 금액은 손실액보다 적었습니다. Uranium Finance만이 사용자에게 어떠한 보상도 하지 않았습니다.

이를 통해 해커의 공격이 생각보다 심하지 않음을 알 수 있다 중요한 것은 프로젝트 당사자의 자원 배경과 사용자에 대한 책임감이다 어떤 자본 운용에도 주의를 기울이면서 크립토 사용자는 참여에 우선순위를 두어야 한다 가능한 한 강력한 프로젝트에서 플랫폼을 사용하면 자금의 안전을 보장하기 위해 자체 허용 범위 내에서 관련 투자 및 마이닝 활동이 수행됩니다.