다시 매달 보안 점검을 받을 시간입니다! Chengdu Lianan [Chain Bing-Blockchain Security Situational Awareness Platform]의 보안 여론 모니터링 데이터에 따르면 2022년 3월에도 다양한 보안 사고가 여전히 수시로 발생했으며 3월에는 일반적인 보안 사고가 "30"개 이상 더 발생했습니다.
[DeFi] 노출된 보안 위험은 2022년 초 이후 최고치를 기록했습니다. 이번 달에 발생한 크로스체인 브리지 로닌 공격은 6억 달러 이상의 손실을 입은 DeFi 역사상 가장 비싼 공격일 수 있습니다.(읽으려면 클릭)보조 제목
DeFi 측면
총 "13"개의 일반적인 보안 사고가 발생했습니다.
No.1 3월 5일 모기지 대출 계약인 Bacon Protocol이 플래시론 공격을 받아 약 $960,000의 손실을 입었습니다.
No.2 3월 10일 알고리즘 자산 프로토콜 Fantasm Finance가 계약 허점으로 인해 공격을 받아 약 262만 달러의 손실을 입었습니다.
3위 3월 15일, DeFi 프로토콜인 Hundred Finance와 Agave는 플래시 론 공격을 받았습니다. 해커는 두 프로토콜의 재진입 취약점을 악용하여 1,100만 달러 이상을 훔쳤습니다.
No.4 3월 15일 멀티체인 파생상품 플랫폼 Deus Finance가 Fantom에서 해킹을 당해 손실액이 300만 달러를 초과할 수 있습니다.
No.5 3월 20일, BNB Chain과 Ethereum의 Umbrella Network 보상 풀이 추첨되었고 해커는 700,000 달러의 이익을 얻었습니다.
No.6 3월 20일, 크로스체인 DEX 집계 프로토콜인 li.finance가 콜 인젝션 공격을 받아 약 $600,000의 손실을 입었습니다.
No.7 3월 22일, Fantom의 생태 스테이블코인 수익 최적화 도구인 OneRing은 플래시 론의 공격을 받아 해커가 145만 달러 이상을 훔쳤다는 게시물을 게시했습니다.
8위 3월 23일, 솔라나 체인의 알고리즘 스테이블 코인인 캐시오 달러가 해킹을 당해 약 4,800만 달러의 손실을 입었습니다.
No.9 3월 26일, InuSaitama는 총 수익이 약 430ETH인 차익 거래 공격을 받은 것으로 의심되었습니다.
No.10 지난 3월 29일 옵션계약 옥투스 계약에 허점이 발생해 해커들이 허점을 악용해 권한을 취소하지 않은 사용자들로부터 약 72만 달러의 차익을 챙겼다.
No.11 3월 30일 Axie Infinity 사이드체인 Ronin이 해킹당했습니다. 공격자는 9개의 검증 노드 중 5개를 장악하고 훔친 개인 키를 사용하여 가짜 인출을 위조하여 궁극적으로 약 6억 2천만 달러를 벌어들였습니다. 이것은 DeFi 역사상 가장 큰 공격일 수 있습니다. No.12 3월 30일 이더리움 기반 DeFi 프로젝트 BasketDAO의 BMIZapper가 취약점 공격을 받아 약 120만 달러의 이익을 챙겼습니다.
보조 제목
도망치는 사기/암호화폐 사기
총 "7"개의 일반적인 보안 사고가 발생했습니다.
No.1 보안 기관은 $DAOKing-Lucky DAO가 사기성 프로젝트임을 감지했으며 관리자는 505 BNB를 Tornado.cash에 예치하고 사전에 거짓 스마트 계약 업그레이드를 수행했습니다.
2위 NFT 프로젝트인 NFTflow가 도산하고 공식 소셜 계정(@NftflowStarkNet)이 해지되었습니다.
No.3 NFT 프로젝트 WW3Apes에는 Rug Pull이 있으며 소셜 미디어 계정이 취소되었습니다. WW3Apes 웹사이트와 동일한 IP 주소를 사용하는 GodZape 프로젝트도 Rug Pull을 가지고 약 20 ETH의 자금을 이체했습니다.
NFT 4위 프로젝트 REALSWAK가 도주하고 공식 소셜 계정(@REALSWAK)이 해지되었습니다. 사기꾼들은 1,300 BNB를 TornadoCash로 전송했습니다.
No.5 BNB Chain의 DeFi 프로젝트 BNB DEFI가 도산했으며 프로젝트는 소셜 미디어 그룹을 폐쇄하고 약 255 BNB를 전송했습니다.
No.6 보안 기관 모니터링에 따르면 @BinanceNFT_BFT는 "Pixiu Disk" 사기를 홍보하는 가짜 바이낸스 NFT 트위터 계정입니다.
보조 제목
NFT/메타버스 측면
총 "6"의 일반적인 보안 사고가 발생했습니다.
No.1 3월 13일, BNB Chain의 메타버스 금융 프로젝트인 Paraluni가 해킹을 당해 해커들은 170만 달러 이상의 수익을 냈습니다. 도난당한 자금의 약 1/3(230 ETH)이 Tornado로 유입되었습니다.
No.2 Arbitrum 기반 TreasureDAO NFT 거래 시장이 취약점에 노출되어 해커들이 거의 제로에 가까운 비용으로 100개 이상의 NFT를 획득했습니다.
No.3 3월 14일, NFT 프로젝트인 Wizard Pass의 Discord 커뮤니티에 사기꾼이 침입하여 사용자의 NFT에 대한 전체 액세스 권한을 얻기 위해 허위 정보를 전송하여 여러 NFT를 도난당했습니다.
No.4 3월 27일 금융 NFT 프로젝트인 Revest Finance가 공격을 받아 해커들이 관련 토큰을 대량으로 탈취하여 약 200만 달러의 수익을 챙겼습니다.
No.5 APECoin 에어드랍은 플래시론 공격을 받아 공격자는 약 82만 달러의 수익을 냈습니다.
보조 제목
다른 측면
총 "4"개의 일반적인 보안 사고가 발생했습니다.
No.1 Convex Finance는 투표 잠금 CVX(vlCVX) 계약에 허점이 있으며 사용자 예치금이 위험 없이 안전하다는 내용의 블로그를 게시했습니다.
2호 3월 7일 국내 토큰 개발자 임원이 기업 자금으로 투자한 암호화폐를 자신의 개인 계좌로 불법 송금해 암호화폐를 훔친 혐의로 징역 5년을 선고받았다.
3위 4,000만 달러 규모의 암호화폐 투자 사기 혐의로 미국 법무부에 의해 3명의 남성이 기소되었습니다.
보조 제목
🌀주의 🌀
현재 블록체인 보안 분야의 새로운 상황을 고려하여 "Chengdu Lianan"은 다음과 같이 요약합니다.
전체적으로 2022년 3월의 블록체인 보안 사고는 2월에 비해 급격히 증가했으며, 공격 보안 사고에서 도난당한 총 금액은 미화 7억 달러를 넘어섰습니다. 끊임없는 공격에 대응하여 "Chengdu Lianan"은 개발자에게 다음과 같은 보안 제안도 제공합니다.
Ronin 크로스 체인 브리지 공격 이벤트: 1. 서명 서버의 보안에 주의 2. 서명 서비스가 오프라인 상태가 되면 정책을 적시에 업데이트하고 해당 서비스 모듈을 닫고 해당 서명 계정을 닫아야 합니다. 주소는 폐기된 것으로 간주될 수 있음 3. 다중 서명 검증 시 다중 서명 서비스는 논리적으로 격리되어야 하며 서명 내용은 독립적으로 검증되어야 함 4. 프로젝트 당사자는 프로젝트 자금의 이상을 실시간으로 모니터링해야 함
공격받은 Revest Finance: 계약 설계는 검사-검증-상호 작용 모델을 엄격히 준수해야 하며 ERC1155 토큰 관련 DeFi 프로젝트에 재진입 방지 기능을 추가해야 합니다.
Paraluni 보안 사고: 계약 개발자는 개발 프로세스 중에 완전한 테스트 및 타사 감사를 수행하고 재진입 공격을 방지하기 위해 Openzeppelin 라이브러리의 ReentrancyGuard 계약 사용을 개발합니다.
TreasureDAO 보안 사고: 개발자는 여러 토큰에 대한 판매 계약을 개발할 때 다른 토큰의 특성에 따라 다른 상황에 대한 비즈니스 로직을 설계하는 것이 좋습니다.
