출처: Beosin
2024년, 블록체인 산업은 기술 혁신과 생태계 확장을 겪는 동시에 점점 더 심각한 보안 과제에 직면하고 있습니다. 보안 감사 기업 Beosin 산하 Alert 플랫폼의 모니터링에 따르면, 원고 마감 시점까지 2024년 Web3 분야에서 해커 공격, 피싱 사기, 프로젝트 측의 러그 풀로 인한 총 손실액이 24.91억 달러에 달했습니다. 이러한 사건들은 개인 키 관리, 스마트 계약 취약점 등 기술적 결함을 드러냈을 뿐만 아니라 소셜 엔지니어링과 내부 관리의 잠재적 위험성도 부각시켰습니다. 이 기사에서는 2024년 Web3 분야의 10대 주요 보안 사건을 정리하여, 업계가 이로부터 교훈을 얻고 향후 보안 위협에 더 잘 대응할 수 있도록 돕고자 합니다.
No.1 DMM 비트코인(DMM Bitcoin)
손실 금액: 3.04억 달러
공격 방식: 개인 키 유출
2024년 5월 31일, 일본의 오래된 암호화폐 거래소 DMM 비트코인이 역사적인 공격을 당했습니다. 공격자는 유출된 개인 키를 이용해 직접 30억 달러 이상의 비트코인을 이동시켰고, 빠르게 그 자금을 10개 이상의 다른 주소로 분산시켰습니다. 이번 공격은 DMM 비트코인의 개인 키 관리와 다층 보안 방어의 심각한 부족을 드러냈습니다. 거래소는 온체인 모니터링과 자금 동결로 해커를 추적하려 했지만, 도난당한 비트코인이 분산 이체되고 믹싱 도구를 통해 세탁되면서 추적 작업에 큰 어려움을 겪었습니다.
12월 24일, 일본 경찰은 DMM 비트코인 도난 사건이 북한 해커 조직 Lazarus Group의 소행으로 판단했습니다. Lazarus Group의 과거 공격과 자금 세탁에 대한 자세한 분석은 《역대 최대 규모의 암호화폐 도난 범죄 조직, 해커 그룹 Lazarus Group의 자금 세탁 분석》을 참고하시기 바랍니다.
No.2 플레이댑(PlayDapp)
손실 금액: 2.90억 달러
공격 방식: 개인 키 유출
2024년 2월 9일, 플레이댑이 큰 타격을 받았습니다. 해커가 개인 키를 훼손하여 20억 개의 PLA 토큰을 민트했습니다. 초기 가치는 3650만 달러였습니다. 프로젝트 측과 해커의 협상이 결렬되자, 해커는 추가로 159억 개의 PLA 토큰을 민트하여 2.539억 달러 상당의 가치를 창출했습니다. 이 토큰의 일부가 Gate 거래소에 유입되면서 플레이댑은 PLA 계약을 일시 중단하고 PDA 토큰 계약으로 이전해야 했습니다. 이번 사건은 블록체인 프로젝트의 개인 키 보호와 사건 대응 처리 측면의 결함을 드러냈습니다.
No.3 와지르엑스(WazirX)
손실 금액: 2.35억 달러
공격 방식: 네트워크 공격 및 피싱
2024년 7월 18일, 인도 최대 암호화폐 거래소 와지르엑스의 Safe Wallet 다중 서명 지갑이 정교한 공격을 받았습니다. 공격자는 사회 공학적 방식으로 다중 서명자를 속여 계약 업그레이드 거래에 서명하게 만들었고, 이후 업그레이드된 계약 권한을 이용해 지갑 내 자산을 모두 이동시켰습니다. 이 사건은 다중 서명 지갑의 권한 구성과 운영 투명성에 내재된 위험을 보여주었으며, 프로젝트의 내부 리스크 관리 및 보안 체계에 대한 업계의 깊이 있는 반성을 불러일으켰습니다.
이 사건에 대한 자세한 분석과 자금 추적은 《Beosin | 인도 거래소 WazirX 2.35억 달러 도난 사건 분석》을 참고하시기 바랍니다.
No.4 갈라 게임즈(Gala Games)
손실 금액: 2.16억 달러
공격 방식: 접근 제어 취약점
2024년 5월 20일, 갈라 게임즈의 특정 권한 있는 주소가 해커에 의해 침투당했습니다. 공격자는 토큰 계약의 mint 함수를 호출하여 한 번에 50억 개의 GALA 토큰을 민트했습니다. 이후 해커는 이 증발된 토큰을 단계적으로 ETH로 교환하여 2.16억 달러의 직접적인 손실을 초래했습니다. 갈라 게임즈 팀은 사건 발생 후 긴급하게 블랙리스트 기능을 활성화하여 일부 해커 계정을 차단했고, 사법 절차를 통해 손실을 회복하고자 했습니다.
No.5 크리스 라슨(Ripple 공동 창립자)
손실 금액: 1.12억 달러
공격 방식: 개인 키 유출
2024년 1월 31일, Ripple 공동 창립자 크리스 라슨의 4개 개인 지갑이 해킹당해 1.12억 달러 상당의 XRP가 도난당했습니다. 이 지갑들은 하드웨어 장치의 이중 보안이 부족했던 것으로 추정됩니다. 사건 발생 후 바이낸스는 420만 달러 상당의 XRP를 동결하고 라슨을 도와 도난 자산을 추적했지만, 대부분의 자금은 탈중앙화 거래소와 믹싱 서비스를 통해 세탁되었습니다.
No.6 먼처블즈(Munchables)
손실 금액: 6250만 달러
공격 방식: 사회 공학적 공격
2024년 3월 26일, Blast 기반의 Web3 게임 플랫폼 먼처블즈가 드문 내부 침투 공격을 당했습니다. 공격자는 가장된 블록체인 개발자인 북한 해커였습니다. 그는 장기간 잠복하며 핵심 코드와 중요 키를 획득했습니다. 이 공격으로 막대한 손실이 발생했지만, 커뮤니티와 팀의 압박으로 해커가 최종적으로 모든 도난 자금을 반환했습니다. 이 사건은 특히 타사 개발에 의존하는 블록체인 프로젝트에서 공급망 보안의 중요성을 드러냈습니다.
No.7 BtcTurk
손실 금액: 5500만 달러
공격 방식: 개인 키 유출
2024년 6월 22일, 터키 최대 암호화폐 거래소 BtcTurk가 개인 키 유출 공격을 받아 5500만 달러 이상의 암호자산을 잃었습니다. 바이낸스 팀의 지원으로 530만 달러의 도난 자금이 동결되었지만, 나머지 자산은 아직 회수되지 않았습니다. 이 사건은 중앙화 거래소의 개인 키 관리에 대한 시장의 우려를 더욱 심화시켰습니다.
BtcTurk가 공격 당했음을 알리는 공식 발표
No.8 래디언트 캐피탈(Radiant Capital)
손실 금액: 5300만 달러
공격 방식: 개인 키 유출
2024년 10월 17일, Radiant Capital의 다중 서명 지갑이 해킹당했습니다. 그들은 3/11 서명 확인 모드라는 낮은 진입 장벽의 다중 서명 체계를 사용했기 때문에, 해커가 3개의 서명자 개인 키를 확보하여 오프체인 서명을 통해 지갑 계약의 소유권을 악성 주소로 이전시켰고, 결과적으로 5300만 달러가 도난당했습니다. 이번 공격은 다중 서명 지갑의 설계와 거버넌스 메커니즘에 대한 업계의 반성을 불러일으켰습니다.
Radiant Capital은 이번 공격 전에도 계약 취약점으로 450만 달러, 1900 ETH 이상을 잃은 적이 있었습니다. Web3 프로젝트 팀의 보안에 대한 관심과 노력이 여전히 부족한 것으로 보입니다.
No.9 헤지 파이낸스(Hedgey Finance)
손실 금액: 4470만 달러
공격 방식: 계약 취약점
2024년 4월 19일, Hedgey Finance가 여러 체인의 온체인 계약을 대상으로 한 공격을 받았습니다. 해커는 ClaimCampaigns 계약의 승인 취약점을 이용했고, 이를 통해 이더리움과 아비트럼 체인의 토큰을 모두 빼
2024년 9월 19일, 빙엑스(BingX) 거래소의 핫 월렛이 해킹당했으며, 이더리움(ETH), 바이낸스 코인(BNB), 트론(TRON) 등 다양한 블록체인이 포함되었습니다. 거래소가 신속하게 자산 이전과 출금 동결 메커니즘을 가동했음에도 불구하고, 해커는 4,470만 달러 상당의 자산을 성공적으로 탈취했습니다. 이번 공격은 중앙화 거래소의 핫 월렛 관리에 내재된 높은 리스크를 보여주었으며, 업계가 더 안전한 자산 보관 솔루션을 모색하도록 추진했습니다.
2024년에 보안 공격 사건이 빈번하게 발생하면서, 블록체인 산업의 발전은 안전한 보호가 필수적이라는 점을 다시 한번 상기시켰습니다. 개인 키 유출부터 스마트 계약 취약점, 내부 관리 소홀에서부터 외부 공격 수단의 고도화까지, 각각의 사건은 깊이 있는 교훈을 남겼습니다. 점점 복잡해지는 공격 위협에 대응하기 위해, 업계 관계자들은 기술 연구 개발, 관리 규범, 리스크 방지 통제에 지속적으로 투자해야 합니다. 앞으로 업계 협력과 기술 혁신을 통해, 더 안전한 블록체인 생태계를 구축하고 사용자와 투자자에게 더 신뢰할 수 있는 보장을 제공할 것을 기대합니다.
