*1. 소개*
8월에 web3.0 보안 사건의 수는 감소 추세 없이 높은 수준을 유지했습니다. Know Chuangyu 블록체인 보안 연구소에 따르면【해킹된 이벤트 아카이브】데이터에 따르면 이번 달에는 기본적으로 지난 달과 같은 42건 이상의 보안 사고가 발생했으며 발생한 총 손실 금액은 약 2억 4400만 달러였습니다.
8월 각종 보안사고 건수와 비율을 분석한 결과 사기, 도주 등의 보안사고가 여전히 가장 심각한 수준으로 여전히 대부분의 투자자들이 프로젝트에 투자하기 전 프로젝트의 성격을 파악하지 못하고 있는 것으로 나타났다. 그래서 속았다. 교차 체인 통신 프로토콜인 Nomad가 이번 달 가장 혼란스러운 해킹을 당하여 거의 1억 9천만 달러의 손실을 입었다는 점을 언급할 가치가 있습니다.
이번 달 보안 사고의 경향은 지난달과 크게 다르지 않으며 여전히 보안 사고가 자주 발생합니다. 수천 마일의 제방이 개미집에 의해 파괴되어 모든 사람과 프로젝트 당사자는 개인의 손실을 피하기 위해 항상 안전에 대비해야 합니다.
다음은Chuangyu 블록체인 보안 연구소 알기8월의 다양한 보안 정보 요약 및 이에 노출된 문제점에 대한 논의.
*2. DeFi 보안 유형 이벤트*
8월 2일 Zhichuangyu Blockchain Security Lab은 교차 체인 통신 프로토콜 Nomad가 공격을 받아 약 1억 9천만 달러의 암호화폐가 제거되었음을 감지했습니다.
8월 2일, 수익 수집기 Reaper Farm이 공격을 받았고 공격자는 160만 DAI와 62 ETH를 Tornado.Cash로 옮겼습니다.
8월 5일, EtnProduct 프로젝트는 플래시 론의 공격을 받아 총 $3,074의 수익과 $7,380 상당의 NFT를 획득했습니다.
8월 5일 ANCHStakePool 프로젝트는 가격 조작의 공격을 받았으며 공격자는 총 106,931 USDT의 이익을 얻었습니다.
8월 8일, BSC의 EGD Finance 프로젝트가 해킹되어 토큰 가격이 플래시 론에 의해 이익을 위해 조작되었습니다. 해커들은 약 36,000 BUSD의 총 수익을 올렸습니다.
8월 14일 iBTC/aUSD 풀의 취약점으로 인해 Acala가 해킹당했고, 팀은 문제를 조사하고 해결하는 동안 Acala의 운영을 일시 중단하기 위한 긴급 투표를 통과하고 있습니다.
8월 17일 Stader.Near는 공식 소셜 미디어에 해커가 NearX 스마트 계약의 허점을 악용하여 약 165,000 NEAR(약 $880,000)의 손실을 초래했다고 게시했습니다. Stader.Near는 스마트 계약을 중단했으며 사용자는 이 기간 동안 자금을 스테이킹, 언스테이킹 또는 인출할 수 없습니다.
8월 22일, BNB Chain의 DeFi 대출 계약인 Cream Finance가 유동성 위기에 직면했습니다 위기의 주요 원인은 계약을 통해 사용자(0xE94f7a43d3fD2A159952a28B23D3A181564B7baA)가 담보 없이 최대 107,000 BNB를 빌릴 수 있었기 때문입니다.
8월 24일, BNB Chain 상의 DeFi 프로토콜 KaoyaSwap은 트랜잭션 기능의 잘못된 논리에 의해 공격을 받았고, 공격 수익은 약 37,294 BUSD와 271.2 WBNB(약 80,000 USD)였습니다.
8월 31일, BNB Chain의 CUPID 토큰 컨트랙트에서 플래시론 공격이 발생하여 CUPID 토큰과 VENUS 토큰이 모두 폭락했고 공격자는 $78,622의 수익을 냈습니다.
*3. 사기 보안 유형 이벤트*
8월 3일 암호화 프로젝트 TiFi 토큰에서 Rug Pull이 발생했고 TiFi 토큰 가격이 20% 하락하여 총 수익은 약 700 BNB였습니다.
8월 7일, 암호화 프로젝트 Saxon James Musk는 Rug Pull이 의심되었고 토큰 SJMUSK는 68% 이상 하락했습니다. 미국 달러)를 만들었습니다.
8월 8일, 폴리곤 체인 게임인 Dragoma는 RugPull의 의심을 받았고, 그 토큰 DMA는 $1.8에서 $0.003 정도로 99% 이상 하락했습니다. 손실은 약 270만 달러였습니다.
8월 10일 XSTABLE.PROTOCOL에서 Rug Pull이 발생하여 토큰 XST의 가격이 98.4% 하락했으며 공식 웹사이트 xstable.finance가 폐쇄된 것으로 의심되고 Twitter 계정이 삭제되었습니다.
8월 10일, DeFi 프로젝트인 Blur Finance는 Rug Pull이 있다는 의심을 받았고 토큰 BLR의 가격은 99% 하락했습니다. 또한 프로젝트의 소셜 미디어 계정이 삭제되었고 Polygon 및 BNB 체인에 있는 $600,000 상당의 자산이 이전되었습니다.
8월 11일 Wuliangye와 동명의 NFT 프로젝트인 Wuliangye에 Rug Pull이 있다는 의혹이 제기되어 현재 공식 웹사이트와 Discord 커뮤니티가 폐쇄된 상태입니다. 이 프로젝트는 유명한 와인 브랜드 Wuliangye와 아무 관련이 없으며 이름이 같습니다. 프로젝트 당사자는 총 70.5 ETH를 얻었습니다.
8월 12일 BNGRrowth 토큰에서 Rug Pull이 발생했고 계약 배포자는 토큰을 393 BNB(약 127,000 USD)의 가격으로 판매하여 외부 계정(EOA)으로 보냈습니다.
8월 12일, GameFi 프로젝트 DL World는 Rug Pull이 의심되었고 GSG의 가격은 97% 이상 하락했으며 약 183,000달러의 자산이 이전되었습니다.
8월 12일 400 BNB로 0xea16 주소로 자금을 조달한 사기꾼들은 Bitnity, ACKToken 등 약 20개의 계약을 생성했고 Rug Pull이 발생하여 가격을 올린 후 계약 자금을 비웠고 3900 BNB가 이체되었습니다.
8월 14일, GEMDAO에서 러그 풀이 발생했고 프로젝트 측에서 총 322 BNB(약 $105,553.49)를 가져갔습니다.
8월 14일, BNB Chain의 MMFinance 프로젝트에서 Rug Pull이 발생하여 MMF 토큰이 93% 이상 하락했습니다.
8월 14일, 브라질 암호화 대출 플랫폼 BlueBenx는 22,000명의 사용자 모두가 해커의 공격을 받아 3,200만 달러의 손실을 입었다며 자금 인출을 금지했습니다. BlueBenx는 해킹 공격에 대한 세부 정보를 제공하지 않았으며 일부 투자자는 해킹 공격이 사기인지 의문을 제기했습니다.
8월 15일 Polygon 체인 프로젝트 FIO Protocol에서 Rug Pull이 발생하여 FIO Token의 가격이 100% 하락했습니다.
8월 15일 BNB Chain의 Go Coin 프로젝트에서 Rug Pull이 발생한 것으로 의심되어 Go Coin이 95% 하락했고 계약 배포자는 수수료를 최고로 설정하고 판매 금지 주소를 블랙리스트에 올렸습니다.
지난 8월 23일 NFT 거래 플랫폼 sudoswap 모조 디스크 SudoRare에서 Rug Pull이 의심되어 519 ETH($815,000)가 도난당했으며 현재 공식 소셜 계정은 해지된 상태입니다.
8월 25일 BNB Chain의 RSHIB 프로젝트에서 Rug Pull이 발생하여 RSHIB 토큰의 가격이 92% 급락했습니다. 계약 배포자는 유동성을 제거하고 ~47 BNB를 외부 계정(EOA) 주소로 보냅니다. 프로젝트의 Twitter 계정도 삭제되었습니다.
8월 27일 BNB Chain의 ArcadeEarn 프로젝트에서 Rug Pull이 발생하여 토큰 가격이 59% 이상 하락했습니다. 배포자는 40,000개의 ArcadeEarn 토큰을 외부 계정(EOA)으로 보내고 약 $15,300에 판매했습니다.
*4. 피싱 보안 유형 이벤트*
8월 2일 Gas Guzzlers 프로젝트 Discord 서버가 해킹당했습니다. 사용자는 링크를 클릭하거나 거래를 발행하거나 승인하지 않도록 요청받습니다.
8월 2일, 사이버 크루 프로젝트 디스코드 서버가 공격을 받았습니다. 사용자는 링크를 클릭하거나 거래를 발행하거나 승인하지 않도록 요청받습니다.
8월 2일 Miningverse 프로젝트 Discord 서버가 공격을 받았습니다. 사용자는 링크를 클릭하거나 거래를 발행하거나 승인하지 않도록 요청받습니다.
8월 3일, NFT 프로젝트 dTweenies의 Discord 서버가 공격을 받았고, 사용자는 링크를 클릭하거나 트랜잭션을 발행하거나 승인하지 않도록 요청받았습니다.
8월 5일, Doge Capital 프로젝트의 Discord 서버가 공격을 받았습니다. 사용자는 링크를 클릭하거나 거래를 발행하거나 승인하지 않도록 요청받습니다.
8월 11일, Mogul Productions 프로젝트의 Discord 서버가 해킹당했습니다. 사용자는 링크를 클릭하거나 트랜잭션을 생성하거나 승인하지 않도록 요청받았습니다.
8월 15일, NFT 프로젝트인 Pirate Apes의 Discord 서버가 공격을 받았고, 사용자는 링크를 클릭하거나 거래를 생성하거나 승인하지 않도록 요청받았습니다.
8월 29일, Floaties Project Discord 서버가 공격을 받았습니다. 사용자는 링크를 클릭하거나 거래를 발행하거나 승인하지 않도록 요청받습니다.
8월 31일, 트위터 계정 @WJahitucker가 해커들에게 탈취되어 NFT 거래 시장인 LooksRare의 계정을 사칭하여 에어드롭 사기를 풀었습니다.
*5. 기타 보안 이벤트 유형*
8월 3일 솔라나(Solana) 지갑 팬텀(Phantom)이 해킹된 것으로 의심되어 약 800만 달러의 손실이 발생했습니다.
지난 8월 3일 암호화폐 거래 플랫폼인 ZB의 핫월렛이 개인키 유출로 해킹된 것으로 나타나 해커들은 총 480만 달러의 차익을 챙겼다.
8월 4일 Slope Wallet(Android, 버전: 2.2.2)의 센트리 서비스에서 프라이빗 키가 유출되었습니다.
8월 10일, 탈중앙화 거래 플랫폼인 Curve Finance는 소셜 미디어를 통해 자사 웹사이트의 프런트 엔드가 공격당했다고 밝혔고, 사용자가 몇 시간 이내에 Curve를 사용한 경우 즉시 승인을 취소하도록 상기시켰습니다. 공격 해커는 FixedFloat로 전송된 $570,000 상당의 ETH를 훔쳤습니다.
8월 18일 Celer Network에서 출시한 교차 체인 브리지 cBridge는 DNS 하이재킹의 공격을 받아 사용자 자산을 훔치기 위해 악의적인 계약과 상호 작용하도록 사용자 작업을 리디렉션했습니다. 현재 공격자는 공격으로 획득한 암호화된 자산 쌍을 127 ETH로 교환하여 토네이도캐시로 송금한 상태입니다.
8월 21일, 해커들은 General Bytes가 소유한 비트코인 ATM 서버의 제로데이 취약점을 악용하여 고객의 암호화폐를 훔쳤습니다. 사용자가 ATM을 통해 암호화폐를 입금하거나 구매하면 대신 해커가 자금을 훔칩니다.
*6. 요약*
DeFi 보안 상황의 관점에서 볼 때 플래시 론 공격과 논리적 허점은 이번 달에 가장 빈번한 보안 사고이며 다른 보안 사고는 공격 유형이 더욱 다양해졌습니다. 올해 DeFi의 형태를 살펴보면, 크로스체인 프로젝트는 해커들에게 점점 더 선호되고 있으며, 각각의 크로스체인 보안 사고로 인한 손실은 매우 심각하므로 크로스체인을 안전하게 사용하는 방법에 대해 깊이 생각해야 합니다. Chuangyu Blockchain Security Lab은 이로써 계약 보안을 위해 정기적인 감사와 복합 감사를 실시하여 다른 공격으로부터 계약을 보호하고 동시에 권한 부여 문제를 매우 중요하게 생각해야 함을 모든 사람에게 상기시킵니다. 명확한 시간 제한이 있어야 합니다.
피싱과 스캠의 관점에서 볼 때 이 두 가지 유형의 보안 사고가 빈번한 이유는 공격 방법이 간단하고 조작하기 쉽고 관련 사용자가 기술적 배경이 거의 없기 때문에 속을 가능성이 더 높기 때문입니다. . 사용자가 투자 및 프로젝트 검사 과정에서 블록체인에 대해 더 많이 배우고 잠재적인 손실을 최대한 줄이기를 바랍니다. ~처럼 FishAlert (https://fishalert.knownseclab.com)플러그인의 경우 익숙하지 않은 도메인 이름을 발견하면 "it"을 먼저 물어보십시오. 이렇게 하면 위험을 크게 줄일 수 있습니다.
