2018년은 블록체인이 가장 빠르게 발전한 해였으며, 전 세계 암호화폐의 시가총액은 한때 8,000억 달러에 육박했습니다. 그러나 끝없는 허점으로 인해 2018년은 해커들에게 가장 만연한 해였습니다.
보안 사고의 빈번한 발생은 블록체인의 건전한 발전을 심각하게 방해했으며, 사용자에게 상당한 손실을 입혔을 뿐만 아니라 많은 프로젝트의 "종료"로 직접 이어졌습니다.
2018년에는 어떤 보안 사고가 발생했습니까?
개요
개요
2018년에는 보안 사고의 수와 이로 인한 손실이 기하급수적으로 증가했습니다.
그림 1: 보안 사고로 인한 경제적 손실 추이(10,000 USD), 출처: bcsec
그림 2: 주요 보안 사고 건수 통계, 출처: bcsec
Besec 통계에 따르면 2018년에는 총 20억 달러 이상의 도난 사고가 발생했으며, 대규모 사고 건수는 130건(평균 3일)을 넘어 블록체인 사용자 및 프로젝트 당사자는 30만 달러의 "현금 지급기"가 되었습니다. 전 세계 해커.
그림 3: 2018년 보안 사고로 인한 손실 통계, 출처: 31QU
첫 번째 레벨 제목
스마트 계약 보안
현재 블록체인은 전체적으로 침체기에 있지만 스마트 계약 개발은 매우 안정적입니다.Cheetah Blockchain Security Center의 데이터에 따르면 Ethereum의 스마트 계약 수는 평균 2,000+ 증가했습니다. 지난 한 달 동안 매일.
스마트 컨트랙트 취약점의 수는 적지만 이로 인한 손실은 막대한데 이는 솔리디티 언어의 특성과도 관련이 있고 토큰 발행을 용이하게 하는 ERC20 프로토콜과도 관련이 있습니다.
스마트 계약 취약점의 TOP10 공격 유형은 다음과 같습니다.재진입 공격, 권한 제어, 정수 오버플로, 확인되지 않은 호출 반환 값, 트랜잭션 시퀀스 종속성, 타임스탬프 종속성, 조건부 경쟁, 짧은 주소 공격, 예측 가능한 임의 처리 등
모든 스마트 계약 이벤트 중 가장 유명한 것은 미국 체인 이벤트입니다. 2018년 4월 22일 오후, 약 2개월 만에 발행된 BEC 메이미 컨트랙트에 중대한 오버플로 취약점이 있었는데, 해커는 컨트랙트의 일괄 전송 방식을 통해 무제한 토큰을 생성하여 대량의 BEC를 두 주소에서 전송되어 매도 조수를 촉발했습니다. 그날 BEC의 가치는 거의 0이었습니다. 손실액은 1000억원을 넘어섰다.
블록체인으로 인해"코드는 모든 것입니다"결과적으로 현재 스마트 계약 보안 문제를 완전히 피할 수 있는 효과적인 보안 보호 방법이 없습니다.
스마트 계약 개발을 위해 Xiaobao는 "민첩한 개발" 개념을 포기할 것을 제안했습니다. 대신 초기에 스마트 계약을 설계하고 코딩할 때 최대한 주의를 기울이고 고려하여 스마트 계약을 개발하는 데 느리고 체계적인 접근 방식을 취하십시오.
개발 관리자는 개발자에게 너무 많은 압력(엄격한 기한 설정 등)을 가해서는 안 됩니다.
또한, 체인으로 가기 전에 블록체인 보안 전문 업체를 찾아 스마트 컨트랙트에 대한 보안 감사를 진행하는 것이 가장 기본적이고 필요한 일입니다.
다음은 2018년 스마트 계약의 주요 이벤트 및 관련 이벤트의 일부 세부 정보입니다.
(1) 2018년 8월 22일 GOD.GAME 컨트랙트가 해킹되어 GOD 스마트 컨트랙트의 이더리움 총량이 0으로 돌아옴
(2) 2018년 4월 25일 SmartMesh에서 중대한 보안 침해가 발생하여 1억 4천만 달러의 손실을 입었습니다.
첫 번째 레벨 제목
교환 보안
지난 10월 네트워크 보안업체 사이퍼트레이스(CiferTrace)가 발표한 보고서에 따르면 2018년 1~9월 해킹 거래소를 통해 도난당한 암호화폐는 9억2700만 달러로 2017년 전체의 2.5배에 달했다.
한국 과학 기술부의 조사 보고서는 "대부분의 거래소에는 보안 허점이 있다"고 밝혔습니다.
그렇다면 왜 암호화폐 거래소에 보안 문제가 그렇게 많이 발생할까요?
한편으로, 디지털 통화의 익명성, 비변조 및 비감독 특성은 편리한 자산 이전과 추적 및 검색의 어려움으로 이어집니다. 한편, 디지털 화폐 거래 산업은 등장한 지 얼마 되지 않았고, 매우 빠르게 발전했으며, 높은 수익을 창출하고 있어 기술 축적이 미흡한 상태에서 정보 보안 구축이 여전히 방치되고 있습니다. 보안 허점이 있어 상대적으로 공격하기 쉽습니다. 보안 시스템이 전혀 없는 암호화된 디지털 거래소도 있습니다.
디지털 통화 교환이 직면한 보안 위협은 주로 다음과 같습니다.서버 소프트웨어 취약점, 부적절한 구성, DDoS 공격, 서버 측 웹 프로그램 취약점(기술적 취약점 및 비즈니스 로직 결함 포함), 사무용 컴퓨터 보안 문제, 내부자 공격 등
대규모의 많은 사용자와의 교환의 경우, 사용자는 위조 피싱 웹 사이트를 통해 인증 정보를 얻기 위해 공격자에게 사용자를 속이는 문제에 직면하게 됩니다.
이러한 보안 위협에 대응하여 Xiaobao는 거래소가 사용자를 만나기 전에 시스템의 보안 허점을 파헤치고 수리하기 위해 침투 테스트 및 코드 감사와 같은 보안 서비스를 수행해야 한다고 제안했습니다.
또한 정규 채용된 모든 직원을 대상으로 필요한 기본 안전 교육을 교환소에서 실시할 것을 권장합니다.
마지막으로, 디지털 가상화폐를 거래하는 네티즌들은 모두가 주도적으로 보안 지식을 배우고, 컴퓨터와 모바일 단말기에서 보안 소프트웨어를 사용하는 것이 좋습니다. 절도..
다음은 2018년 암호화폐 거래소 도난 사건 및 관련 사건의 구체적인 내용입니다.
(1) 지난 1월 일본 최대 디지털 암호화폐 거래소인 코인체크(Coincheck)가 5억3400만 달러 상당의 XEM을 도난당했다. 코인체크는 일본에서 두 번째로 큰 거래소로, 이후 공식 기자회견에서 코인체크는 XEM이 저장된 핫월렛의 개인키가 해커들에 의해 도난당했기 때문에 XEM이 도난당했다고 밝혔지만 다른 화폐는 도난당하지 않았다. 이 사건의 영향으로 XEM은 당일 9.8% 하락했습니다.
(2) 2월 11일 이탈리아 암호화폐 거래소 비트그레일(BitGrail)이 공격을 받아 1억 7천만 달러 상당의 암호화폐 나노(NANO)를 도난당했다.
(3) 3월 7일 바이낸스가 해킹당했는데, 해커들이 바이낸스의 일부 계정을 통제하고 해당 계정이 보유한 비트코인을 팔고 VIA 코인을 사들여 VIA가 시장에 반발하게 되었습니다. 바이낸스는 비정상적인 거래를 롤백했지만 이 사건은 여전히 시장에 공포를 불러일으켰고 비트코인은 며칠 만에 15% 이상 하락했다.
(4) 4월 1일, Bit-Z가 해킹을 당했고 자금이 손실되지 않았습니다. 이러한 이유로 Bit-Z는 보안 취약점 제출자에게 보상하기 위해 특별히 10,000 ETH의 보안 기금을 마련했습니다. 당시 상금은 400만 달러였다.
(5) 4월 13일, 인도 3대 비트코인 거래소 중 하나인 코인시큐어(Coinsecure)는 거래소에서 약 330만 달러 상당의 438 BTC가 도난당했다고 공식 웹사이트를 통해 발표했습니다. 거래소의 최고 보안 책임자 인 Amitabh Saxena가 용의자로 지명되었습니다. 이것은 인도에서 가장 큰 암호 화폐 절도입니다.
(6) 6월 5일 Bitfinex는 "서비스 거부" 공격을 받았고 Bitfinex는 즉시 거래소의 모든 거래를 중단했습니다.
(7) 6월 10일, 한국의 디지털 암호화폐 거래소인 코인레일(Coinrail)이 해킹을 당해 5천만 달러 이상을 잃었습니다. 코인레일의 암호화폐 공급량의 70%는 콜드 스토리지에 보관되어 있으며 도난당한 공급량의 2/3는 회수되었습니다.
(8) 지난 6월 20일 국내 암호화폐 거래소 빗썸이 해킹을 당해 3000만 달러 상당의 암호화폐가 도난당했다.
이전에 거래소는 두 번의 "해킹 공격"을 받았습니다.
첫 번째: 2017년 4월 빗썸 직원의 컴퓨터가 해킹되어 30,000명 이상의 사용자 데이터가 도난당했고 빗썸은 한국 규제 당국으로부터 $55,000의 벌금을 물었습니다.
두 번째: 2017년 12월 22일 한국의 MBC TV 방송국은 빗썸을 포함한 5개의 한국 거래소에 대한 보안 테스트를 수행하기 위해 보안 회사를 고용했습니다. 보안업체는 빗썸 등 5개 거래소를 '해킹'해 일부 사용자 데이터와 자금을 확보하는 데 성공했다. 고용된 "해커"는 "기본적인 해킹 기술"만 사용했다고 주장했습니다.
그러나 보안 문제는 거래소에서 충분한 관심을 끌지 못했으며, 이는 2018년 6월 해킹 사건으로 이어졌습니다.
첫 번째 레벨 제목
디앱 보안
스마트 컨트랙트 및 거래소는 보안에 가장 큰 타격을 받는 분야입니다 2018년 화제가 된 DApp은 해커의 손아귀에서 벗어나지 못하고 있습니다 모든 보안 사고에서 손실 금액은 상대적으로 적지만 빈번한 보안 사고는 심각한 영향을 미쳤습니다 Dapp 생태계 랜딩 및 애플리케이션.
Dapp.review의 최신 데이터에 따르면 현재 Ethereum, EOS 및 TRON과 같은 퍼블릭 체인에서 실행되는 총 DApp 수는 1,900개를 초과합니다.
EOS는 DApp 생태계 구축의 초기 개발 단계에 있으며 DApp 관련 보안 문제가 끝없이 등장합니다. 12월 현재 DApp 취약점으로 인한 손실은 395,000 EOS와 13,000 ETH에 달했습니다. 둘 중 가장 높은 시장 가치에 따라 계산하면 부의 손실은 2,700만 달러를 초과합니다.
2018년 하반기에는 DApp 보안 사고가 집중적으로 발생했고, 해킹 사고는 주로 EOS 메인넷에서 발생했습니다. 공격 방법도 속임수로 가득합니다: 난수 공격, 시드 허점, 위조 통화 공격...
EOS는 기대가 큰 엔터프라이즈급 블록체인 운영체제인데, 왜 이를 기반으로 하는 DApp에서 해킹 사고가 많이 발생하는 걸까요?
올해 5월 EOS 설립자 BM은 EOS 메인넷에 가치 있는 취약점을 제공하면 10,000달러의 포상금을 받을 것이라고 밝힌 바 있다. 보상 명령이 내려진 후 "Jon Bottarini"라는 네티즌은 누군가가 하루 만에 8개의 취약점을 발견하고 미화 80,000달러의 보상을 받았다고 밝혔습니다. 이것 또한 EOS 메인넷 자체에 많은 보안 문제가 있음을 여실히 보여줍니다.
실제로 EOS의 DApp에 대한 공격은 점점 더 전문적이고 팀 기반이 되고 있습니다.
11월부터 EOS 퀴즈 3대 DApp으로 EOSDice, FFgame, EOS.WIN이 연속적으로 "난수 취약점" 공격을 받았습니다. 이 문제에 정통한 사람들에 따르면 이러한 공격은 한 사람 또는 같은 팀에 의해 저질러졌습니다. 이에 정통한 관계자는 해커거래소 계정이 성공적으로 잠겼다고 전했다.
이더리움은 EOS 네트워크에 비해 해킹 사고가 약간 적습니다.
다음은 2018년 이후 DApp에서 발생한 해킹 사건 및 관련 사건의 구체적인 내용입니다.
(1) 7월 25일 늑대인간 게임(Fomo 3D의 EOS 버전)에서 "오버플로" 취약점이 발생하여 게임에서 60,686 EOS의 손실이 발생했습니다. 해커의 행동을 중재한 후 EOS Core Arbitration Forum(EACF)은 해커의 EOS 계정을 동결하기 위한 새로운 중재 명령인 eosfomoplay1을 발표했습니다.
(2) 8월 22일 Fomo 3D(마지막 승자)가 해킹을 당해 10,469 ETH(약 300만 달러 상당)를 잃었습니다. SECBIT 연구소는 처음으로 Fomo3D 상 수상자가 일부 "특수 공격 기술"을 채택했다고 발표했습니다. 공격자는 높은 수수료를 사용하여 광부를 유치하여 패키징의 우선 순위를 정하고 최종적으로 더 낮은 비용으로 블록을 차단하여 종료 속도를 높였습니다. 승률을 높이세요.
9월 24일, Fomo 3D 게임의 2차 라운드가 시작된 후 해커들은 유사한 공격 방법을 사용하여 3264.668 Ethereum 보상을 받았습니다.
(3) 8월 27일 럭키오스 산하의 가위바위보 게임이 해킹을 당해 손실이 불명하다.
(4) 9월 2일 EOS.win "난수" 해킹으로 2000ESO 손실.
(5) 9월 10일 EOSBet은 해커의 공격을 받아 총 4,000 EOS를 잃었고, 4일 후 EOSBet은 다시 "허위 알림"으로 해커의 공격을 받아 145,321 EOS를 잃었습니다.
(6) 9월 12일 LuckyGo는 공격자 iloveloveeos(악의적인 계약)에 의해 강제로 오프라인 상태가 되었습니다. 그날 밤, iloveloveeos는 새로 출시된 게임인 LuckyGo를 재빠르게 공격했습니다. 이 두 가지 공격은 "난수 결함 공격"에 속합니다.
(7) 9월 12일, EOS Happy Slot이 해커에 의해 재실행되어 5,000 EOS를 잃었습니다. imeosmainnet 계정을 가진 해커가 "리플레이 공격"을 사용하여 프로젝트 당사자가 5,000 EOS를 잃었습니다.
(8) 9월 14일 탈중앙화 거래소 Newdex가 해킹당했습니다. 해커는 위조 화폐를 사용하여 환전소에서 실제 화폐로 교환하여 총 11,803 EOS의 수익을 냈습니다.
공격 프로세스는 다음과 같습니다. 공격자는 10억 개의 유통량(EOS 유통량은 10억 개)의 새로운 토큰을 생성하고 이름을 "EOS"로 지정했습니다. 공격자는 특별한 방법을 사용하여 11,800개의 가짜 EOS를 Newdex에서 상당량의 실제 코인으로 교환했습니다.
(9) 9월 15일 EOS.Win은 위조 코인으로 해커의 공격을 받아 총 4,000개 이상의 EOS가 손실되었습니다.
11월 11일 EOS.Win도 11월 11일 두 번째 공격을 받았습니다. 이 공격에서 해커들은 1분 안에 EOS.WIN 게임 계약(eosluckydice)에 총 10번의 공격을 감행하여 9180 EOS 이상을 벌어들였습니다.
(10) 10월 16일, World Conquest는 "납세 규칙"으로 해커의 공격을 받고 다른 플레이어의 참여를 거부하여 4555 EOS의 수익을 올렸습니다.
(11) 10월 26일 EOS Royale은 해커의 "랜덤 넘버" 공격을 받아 10,800 EOS를 잃었습니다. 과정은 다음과 같습니다. 해커는 난수 생성기를 호출하여 이전 블록의 정보를 계산한 다음 게임의 난수를 획득하여 EosRoyale 지갑을 크랙하고 60,000 달러 상당의 EOS 토큰을 훔칩니다.
(12) 10월 28일 EOS Poker는 "시드 취약점"으로 해커의 공격을 받아 1374 EOS를 잃었습니다.
(13) 10월 31일 EOSCast는 위조 동전으로 해커의 공격을 받아 72,912 EOS가 해커에 의해 전송되었습니다. 게임의 규칙에 따라 해커는 100, 1,000, 10,000개의 가짜 EOS 토큰을 사용하여 공격하고 각 공격은 198, 9,800, 19,600 EOS를 얻을 수 있습니다. 마지막 공격에서 게임 파티는 비정상적인 공격을 감지하고 보너스 풀에 남은 8,000 EOS를 제때 옮겼습니다.
ECAF(스마트 컨트랙트에 대한 중재 권한을 가진 EOS Core Arbitration Committee)는 이 사건에 즉각 대응하고 관련 계정을 동결하라는 중재 명령을 내렸습니다.
(14) 11월 4일 EOSDice는 스마트 컨트랙트가 공격을 받았지만 자동 탐지 기능으로 인해 공격 후 컨트랙트가 자동으로 나머지 자금을 안전한 주소로 이체했다고 발표했습니다. 이 이벤트로 인해 EOSDice는 2545 EOS를 잃었습니다.
(15) FFgame은 11월 8일 해커 공격을 받았는데, 해커 계정 jk2uslllkjfd는 FFgame 게임 컨트랙트(eoswallet415)에 대해 무려 304건의 공격을 가해 총 1331.2922 EOS를 획득했습니다.
(16) 11월 10일, 해커들은 MyEosVegas 게임 계약(eosvegasjack)에 대해 700회 이상의 공격을 시작하여 9,000 EOS 이상을 벌었습니다.
(17) 11월 26일 경쟁 DApp은 전례 없는 새로운 유형의 롤백 공격에 직면했습니다.
첫 번째 레벨 제목
지갑 보안
디지털 화폐 지갑은 핫월렛과 콜드월렛으로 나눌 수 있는데, 콜드월렛은 개인키가 네트워크에 닿지 않기 때문에 비교적 안전하지만, 기술의 급속한 발전으로 핫월렛과 콜드월렛 모두 해커의 공격을 잇달아 받고 있다. 또 다른.
2018년 지갑 보안으로 인해 손실된 금액은 약 4천만 달러였습니다. 이 중 대부분의 해커들은 다양한 수단을 통해 사용자의 개인 키를 획득하여 자산을 도용했습니다. 또 다른 부분은 지갑 디자인의 결함으로 인해 발생합니다.
블록체인의 탈중앙화 특성으로 인해 해커의 목표는 사용자의 프라이빗 키를 노리는 것이며, 사용자가 이를 제대로 저장하지 않으면 피싱 메일, 트로이 목마 바이러스 등의 공격을 받아 자산이 유출될 수 있습니다. 훔침.
따라서 대다수의 사용자는 개인 키를 종이에 복사하거나 물리적인 방법으로 보관하고 올바르게 복사한 다음 절대 잊지 않는 장소에 보관하는 것이 좋습니다.절대 인터넷에 저장하지 마십시오. 개인 키와 지갑을 함께 넣으십시오; 또한 사용자 기반이 크고 보안 사고가 적은 지갑을 선택하십시오. ".
지갑 설계의 결함도 공격을 촉발할 수 있으며, 일단 발발하면 그 영향과 손실은 광범위할 것입니다.
예를 들어, 외부 지갑이 처음 실행되면 기본적으로 사용자를 위한 새 지갑을 생성하고 로컬에서 암호화되지 않은 지갑 파일을 시스템에 저장하는데, 저장된 지갑 파일을 공격자가 읽어 역분석 등의 기술적 수단을 적용할 수 있다. 지갑의 알고리즘 논리를 복원하여 사용자의 니모닉 및 루트 키와 같은 민감한 데이터를 직접 복구합니다.
보안 문제의 이 부분에 대해서는 지갑 프로젝트가 사용자를 대면하기 전에 보안 감사를 수행할 전문 보안 팀을 찾아야 한다고 제안할 수 있습니다.
다음은 2018년 이후 지갑 관련 해킹 사고 목록입니다.
(1) 1월 8일, Reddit Tippr 사용자가 해킹을 당해 수천 개의 BCH(Bitcoin Cash)를 도난당했습니다.
(2) 1월 17일, XLM 지갑이 공격을 받아 $400,000 이상의 XLM이 도난당했습니다. 사건의 발단은 해커가 BlackWallet.co의 DNS 서버를 하이재킹한 것으로, 이 공격으로 미화 40만 달러 이상의 가치가 있는 약 70만 개의 XLM이 도난당한 것으로 추정됩니다.
(3) 1월 22일 해커가 IOTA 지갑을 해킹하여 400만 달러 상당의 IOTA를 훔쳤다. CCN에 따르면 사용자가 IOTA 지갑의 개인 키를 생성하는 데 사용하는 웹 사이트가 해킹당했기 때문입니다.
(4) 3월 4일, TBIS(Titanium Alloy Blockchain)는 해킹을 당했고 회사 지갑에서 1,870만 BAR 토큰(약 $900,000)이 도난당했다고 트윗했습니다.
(5) 4월 17일, 디지털 통화 투자자이자 유튜브 블로거인 Ian Balina는 어젯밤 ICO 프로젝트에 대해 라이브로 논평하던 중 해킹을 당했습니다. 해커는 Etherscan 지갑에서 200만 달러 이상의 디지털 통화를 이체했습니다.
(6) 4월 25일 MyEtherWallet이 하이재킹되어 총 약 500 ETH가 손실되었습니다.
(7) 6월 6일, 일본 소매업체 Shopin의 MEW 지갑이 해킹되어 1,000만 달러 이상의 암호화폐가 손실되었습니다. 여기에는 Ethereum, Level Up, Orbs 및 Shopin이 포함됩니다.
(8) 8월 15일,산시(Shaanxi)성시안(Xi'an) 경찰은6억위안상당의암호화폐를훔치기위해한고위급용해의자3명을체포하세요.
올해 3월 30일, 피해자 장모 씨는 자신의 컴퓨터가 불법 공격을 당했고 수억 달러 상당의 가상화폐가 약탈당했다고 경찰에 신고했다. 이에 경찰은 수사에 착수했고 올해 8월 15일 해커 3명이 경찰에 검거됐다.
(9) 9월 25일 대규모 EOS 보유자인 gm3dcnqgenes의 계정이 도용되어 총 209만 EOS(약 1,080만 달러)가 손실되었습니다.
(10) 10월 22일, 스위스 블록체인 회사 Trade.io는 콜드 월렛에서 750만 달러 상당의 5천만 TIO가 도난당했으며 이 중 130만 TIO가 Kucoin과 Bancor의 두 거래소로 전송되었다고 밝혔습니다. Kucoin은 TIO 거래를 중단했고 Bancor는 TIO를 영구적으로 제거했습니다.
(11) 10월 25일 Reddit 사용자 계정이 해킹되어 해커는 지갑에서 비트코인 14개($89,500), ETH 22개($4,400) 및 약 1,170만 COSS 토큰($770,000)을 훔쳤습니다. 총 864,000달러.
2018년 한 해 동안 발생한 보안 사고를 돌이켜보면 일부 사람들은 비관적인 태도를 가지고 블록체인이 매우 위험이 높은 산업이며 피해야 한다고 생각합니다.
그러나 보안 사고가 자주 발생하는 것은 해커가 귀중한 것을 공격하는 데만 시간을 보내기 때문에 이 업계에 대한 외부의 전례 없는 관심을 반영한다고 믿는 사람들도 있습니다.
Cheetah Blockchain Security Xiaobao의 견해에 따르면 2018년 해커가 난무했지만 전 세계 블록체인 보안업체들도 조용히 부상했고, 업계 전체도 혹독한 대가를 치러 보안 투자와 구축을 늘릴 것이며, 사용자 안전 교육도 점차적으로 받고 있다. 진지하게. 향후 블록체인 산업의 활발한 발전은 여전히 매우 유망합니다.
