작성: Beosin
서론
블록체인 보안 연합이 주도하고, 연합 회원사인 Beosin, Footprint Analytics가 공동 창작한 이 연구 보고서는 2024년 전 세계 블록체인 보안 상황 발전을 종합적으로 탐구하는 것을 목적으로 합니다. 전 세계 블록체인 보안 현황 분석 및 평가를 통해, 현재 직면한 보안 과제와 위협을 밝히고 해결책과 모범 사례를 제공할 것입니다.
이 보고서를 통해 독자들은 Web3 블록체인 보안 상황의 동적 변화를 더욱 종합적으로 이해할 수 있습니다. 이는 독자들이 블록체인 분야의 보안 과제를 평가하고 대응하는 데 도움이 될 것입니다. 또한 독자들은 보고서에서 보안 조치와 산업 발전 방향에 대한 유익한 제안을 얻을 수 있어, 이 새로운 분야에서 현명한 의사결정과 행동을 할 수 있습니다. 블록체인 보안과 규제는 Web3 시대 발전의 핵심 문제입니다. 심도 있는 연구와 토론을 통해 우리는 이러한 과제를 더 잘 이해하고 대응할 수 있으며, 블록체인 기술의 안전성과 지속 가능성을 증진시킬 수 있습니다.
1. 2024년 Web3 블록체인 보안 상황 개요
보안 감사 기업 Beosin의 Alert 플랫폼 모니터링에 따르면, 2024년 Web3 분야에서 해커 공격, 피싱 사기, 프로젝트 Rug Pull로 인한 총 손실은 25.13억 달러에 달했습니다. 주요 공격 사건은 131건, 총 손실 금액은 약 17.92억 달러였습니다. 프로젝트 Rug Pull 사건은 68건, 총 손실은 약 1.48억 달러였습니다. 피싱 사기로 인한 총 손실 금액은 약 5.74억 달러였습니다.
2024년 해커 공격과 피싱 사기 금액은 2023년 대비 모두 뚜렷한 상승세를 보였습니다. 특히 피싱 사기는 2023년 대비 140.66% 급증했습니다. 프로젝트 Rug Pull 사건의 손실 금액은 크게 감소했습니다. 약 61.94% 감소했습니다.
2024년 공격 대상 프로젝트 유형에는 DeFi, CEX, DEX, 퍼블릭 체인, 크로스체인 브리지, 지갑, 결제 플랫폼, 게임 플랫폼, 암호화폐 중개사, 기반 시설, 비밀번호 관리자, 개발 도구, MEV 봇, TG 봇 등 다양한 유형이 포함됩니다. DeFi가 가장 많이 공격당한 프로젝트 유형으로, 75건의 DeFi 공격으로 약 3.90억 달러의 손실이 발생했습니다. CEX가 총 손실 금액이 가장 높은 프로젝트 유형으로, 10건의 CEX 공격으로 약 7.24억 달러의 손실이 발생했습니다.
2024년에는 다양한 퍼블릭 체인에서 공격 사건이 발생했습니다. 이더리움(Ethereum)은 여전히 손실 금액이 가장 높은 퍼블릭 체인으로, 66건의 이더리움 공격 사건으로 약 8.44억 달러의 손실이 발생했습니다. 이는 연간 총 손실의 33.57%를 차지했습니다.
공격 기법 측면에서 35건의 개인 키 유출 사건으로 약 13.06억 달러의 손실이 발생했습니다. 이는 총 손실의 51.96%를 차지하며 가장 큰 손실을 초래한 공격 방식이었습니다.
계약 취약점 악용이 가장 높은 빈도의 공격 방식이었습니다. 131건의 공격 사건 중 76건이 계약 취약점 악용으로 인한 것으로, 전체의 58.02%를 차지했습니다.
연간 약 5.31억 달러의 도난 자금이 회수되었으며, 이는 전체 도난 자금의 약 21.13%를 차지했습니다. 연간 약 1.09억 달러의 도난 자금이 믹서에 전송되었으며, 이는 총 도난 자금의 약 4.34%를 차지했습니다. 이는 2023년 대비 약 66.97% 감소한 수치입니다.
2. 2024년 Web3 생태계 10대 보안 사건
2024년에는 10억 달러 이상의 손실이 발생한 공격 사건이 5건 있었습니다: DMM Bitcoin(3.04억 달러), PlayDapp(2.90억 달러), WazirX(2.35억 달러), Gala Games(2.16억 달러), Chris Larsen 도난(1.12억 달러). 상위 10대 보안 사건의 총 손실 금액은 약 14.17억 달러로, 연간 공격 사건 총 금액의 79.07%를 차지했습니다.
No.1 DMM Bitcoin
손실 금액: 3.04억 달러
공격 방식: 개인 키 유출
2024년 5월 31일, 일본 암호화폐 거래소 DMM Bitcoin이 공격을 받아 3억 달러 이상의 비트코인이 도난당했습니다. 해커들은 도난당한 자금을 10여 개의 주소로 분산시켜 세탁하려 했습니다.
No.2 PlayDapp
손실 금액: 2.90억 달러
공격 방식: 개인 키 유출
2024년 2월 9일, 블록체인 게임 플랫폼 PlayDapp이 공격을 받았습니다. 해커들은 20억 개의 PLA 토큰(3650만 달러 가치)을 주조했습니다. 2월 12일에는 159억 개의 PLA 토큰(2.539억 달러 가치)을 주조하여 Gate 거래소로 보냈습니다. PlayDapp 팀은 이후 PLA 계약을 일시 중지하고 PDA 토큰으로 마이그레이션했습니다.
No.3 WazirX
손실 금액: 2.35억 달러
공격 방식: 네트워크 공격 및 피싱
2024년 7월 18일, 인도 암호화폐 거래소 WazirX의 다중 서명 지갑이 2.3억 달러 이상 도난당했습니다. 이 다중 서명 지갑은 Safe wallet 스마트 계약 지갑이었습니다. 공격자는 다중 서명자들을 속여 계약 업그레이드 거래에 서명하게 했고, 업그레이드된 계약을 통해 지갑 자산을 직접 이체했습니다.
No.4 Gala Games
손실 금액: 2.16억 달러
공격 방식: 접근 제어 취약점
2024년 5월 20일, Gala Games의 특정 권한 있는 주소가 장악되었습니다. 공격자는 이 주소를 통해 토큰의 mint 함수를 호출하여 50억 개의 GALA 토큰(약 2.16억 달러 가치)을 직접 주조했고, 이를 단계적으로 ETH로 전환했습니다. Gala Games 팀은 블랙리스트 기능을 사용하여 해커를 차단하고 손실을 회복했습니다.
No.5 Chris Larsen (Ripple 공동 창립자)
손실 금액: 1.12억 달러
공격 방식: 개인 키 유출
2024년 1월 31일, Ripple 공동 창립자 Chris Larsen은 4개의 지갑이 해킹되어 약 1.12억 달러를 손실했다고 밝혔습니다. 바이낸스 팀은 420만 달러 가치의 도난당한 XRP 토큰을 동결했습니다.
No.6 Munchables
손실 금액: 6250만 달러
공격 방식: 사회공학 공격
2024년 3월 26일, Blast 기반 Web3 게임 플랫폼 Munchables가 공격을 받아 약 6250만 달러를 손실했습니다. 이 프로젝트가 공격당한 이유는 북한 해커를 개발자로 고용했기 때문입니다. 모든 도난 자금은 최종적으로 해커에 의해 반환되었습니다.
No.7 BTCTurk
손실 금액: 5500만 달러
공격 방식: 개인 키 유출
2024년 6월 22일, 터키 암호화폐 거래소 BTCTurk가 공격을 받아 약 5500만 달러를 손실했습니다. 바이낸스는 530만 달러 이상의 도난 자금 동결을 지원했습니다.
No.8 Radiant Capital
손실 금액: 5300만 달러
공격 방식: 개인 키 유출
2024년 10월 17일, 멀티체인 대출 프로토콜 Radiant Capital이 공격을 받았습니다. 공격자는 Radiant Capital의 다중 서명 지갑의 3명의 소유자 권한을 불법적으로 획득했습니다. 이 다중 서명 지갑은 3/11 서명 검증 모드를 사용했기 때문에, 공격자는 이 3개의 개인 키로 오프체인 서명을 수행하고 온체인 거래를 개시하여 Radiant Capital 계약의 소유권을 악성 계약으로 이전시켜 5300만 달러 이상의 손실을 초래했습니다.
No.9 Hedgey Finance
손실 금액: 4470만 달러
공격 방식: 계약 취약점
2024년 4월 19일, Hedgey Finance가 공격자의 다중 공격을 받았습니다. 공격자는 토큰 승인 취약점을 이용하여 ClaimCampaigns 계약에서 대량의 토큰을 훼손했습니다. 이 중 이더리움(ETH) 체인에서 약 210만 달러, 아비트럼(Arbitrum) 체인에서 약 4260만 달러 상당의 토큰이 도난당했습니다.
No.10 빙엑스(BingX)
손실 금액: 4470만 달러
공격 방식: 개인 키 유출
2024년 9월 19일, 빙엑스(BingX) 거래소의 핫 월렛이 해킹당했습니다. 빙엑스는 긴급 대응 계획을 가동하여 자산을 긴급 이전하고 출금을 중단했지만, 베오신의 통계에 따르면 이번 핫 월렛 이상 유출 사고로 총 4470만 달러의 손실이 발생했습니다. 도난당한 자산은 이더리움(ETH), 바이낸스 코인(BNB), 트론(TRX), 폴리곤(Matic), 아발란체(AVA), 베이스(Base) 등 다양한 블록체인에 걸쳐 있었습니다.
3. 공격 대상 프로젝트 유형
2024년에 공격을 받은 프로젝트 유형은 디파이(DeFi), 중앙화 거래소(CEX), 탈중앙화 거래소(DEX), 퍼블릭 체인, 크로스체인 브릿지, 월렛 등 기존의 일반적인 유형 외에도 결제 플랫폼, 게임 플랫폼, 암호화폐 브로커, 기반 시설, 비밀번호 관리자, 개발 도구, MEV 봇, 텔레그램 봇 등 다양한 분야에서 발생했습니다.
2024년 디파이(DeFi) 프로젝트 공격 사건은 75회로 가장 많았습니다(약 50.70%). 디파이 공격으로 인한 총 손실 금액은 약 3.90억 달러로, 전체 손실 금액의 약 15.50%를 차지하여 네 번째로 많은 손실이 발생했습니다.
손실 금액 1위는 중앙화 거래소(CEX)로, 10회의 공격으로 약 7.24억 달러의 손실이 발생했습니다. 종합적으로 볼 때, 2024년 거래소 관련 보안 사고가 빈번했으며 거래소 보안은 Web3 생태계의 가장 큰 과제로 남아있습니다.
손실 금액 2위는 개인 월렛으로, 총 손실 금액은 약 4.45억 달러입니다. 암호화폐 고래 12회 공격과 일반 사용자 대상 피싱 및 사회 공학 공격으로 인해 개인 월렛의 총 손실 금액이 2023년 대비 464.72% 급증하여 거래소 보안 다음으로 큰 과제가 되었습니다.
4. 각 체인별 손실 금액 현황
2023년 대비 2024년에는 공격 사건이 발생한 퍼블릭 체인 유형이 더 다양해졌습니다. 손실 금액 기준 Top 5는 이더리움(ETH), 비트코인(BTC), 아비트럼(Arbitrum), 리플(XRP), 블라스트(Blast) 순입니다:
공격 사건 횟수 기준 Top 6는 이더리움(ETH), 바이낸스 코인(BNB), 아비트럼(Arbitrum), Others, 베이스(Base), 솔라나(SOL) 순입니다:
2023년과 마찬가지로 2024년에도 이더리움(ETH)이 손실 금액이 가장 높은 퍼블릭 체인이었습니다. 이더리움(ETH) 상에서 66회의 공격 사건으로 약 8.44억 달러의 손실이 발생했으며, 이는 연간 총 손실의 33.59%를 차지했습니다.
주: 이 총 손실 데이터에는 온체인 피싱 손실과 일부 CEX 핫 월렛 손실은 포함되지 않았습니다.
비트코인(BTC) 네트워크 손실이 2위이며, 단일 보안 사고 손실이 2.38억 달러에 달했습니다. 3위는 아비트럼(Arbitrum)으로 총 손실은 약 1.14억 달러입니다.
5. 공격 기법 분석
2024년에는 공격 방식이 매우 다양해졌습니다. 일반적인 계약 취약점 공격 외에도 공급망 공격, 서드파티 서비스 공격, 중간자 공격, DNS 공격, 프론트엔드 공격 등 다양한 공격 기법이 등장했습니다.
2024년에 발생한 35건의 개인 키 유출 사건으로 인한 손실은 13.06억 달러로, 총 손실의 51.96%를 차지하여 가장 큰 손실을 초래한 공격 방식이었습니다. 큰 손실을 초래한 개인 키 유출 사건에는 DMM 비트코인(3.04억 달러), 플레이댑(2.90억 달러), 리플 공동 창립자 크리스 라슨(1.12억 달러), BTCTurk(5500만 달러), 래디언트 캐피탈(5300만 달러), 빙엑스(4470만 달러), DEXX(2100만 달러) 등이 있습니다.
계약 취약점 악용이 가장 높은 빈도로 나타난 공격 방식이었습니다. 총 131건의 공격 사건 중 76건(58.02%)이 계약 취약점 악용으로 인한 것이었으며, 이로 인한 총 손실은 약 3.21억 달러로 손실 금액 3위를 차지했습니다.
취약점 유형별로 보면 업무 로직 취약점이 가장 많이 발생했고 가장 큰 손실을 초래했습니다. 계약 취약점 사건의 약 53.95%인 1.58억 달러의 손실이 업무 로직 취약점으로 인해 발생했습니다.
6. 자금 세탁 대응 사례 분석
6.1 Polter Finance 보안 사고
사건 개요
2024년 11월 17일, Beosin Alert 모니터링에 따르면 FTM 체인의 대출 프로토콜 Polter Finance가 공격을 받았습니다. 공격자는 플래시 론을 이용하여 프로젝트 계약의 토큰 가격을 조작하고 이익을 취했습니다.
취약점 및 자금 흐름 분석
이번 사건의 공격 대상이 된 LendingPool 계약(0xd47ae558623638f676c1e38dad71b53054f54273)은 0x6808b5ce79d44e89883c5393b487c4296abb69fe를 오라클로 사용했습니다. 이 오라클은 최근 배포된 가격 피드 계약(0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe)을 사용했는데, 이 가격 피드 계약은 공격자가 플래시 론을 통해 조작할 수 있는 uniswapV2_pair(0xEc71) 계약의 토큰 보유량을 기반으로 가격을 계산하는 취약점이 있었습니다.
공격자는 플래시 론을 이용해 $BOO 토큰 가치를 부풀린 뒤, 다른 암호화폐 자산을 대출받았습니다. 그 후 도난당한 자금을 FTM 토큰으로 전환하고 이더리움(ETH) 체인으로 크로스체인 이동시켜 모든 자금을 ETH 체인에 보관했습니다. 다음은 ARB 체인과 ETH 체인의 자금 흐름 과정을 보여주는 그림입니다:
11월 20일, 공격자는 토네이도 캐시로 2,625 ETH 이상을 지속적으로 전송했습니다:
6.2 비트포렉스(BitForex) 보안 사고
사건 개요
2024년 2월 23일, 유명 온체인 탐정 ZachXBT는 자신의 분석 도구를 통해 비트포렉스(BitForex)의 핫 월렛에서 약 5650만 달러의 자금 유출이 발생했으며, 이 과정에서 플랫폼이 출금 서비스를 일시 중단했다고 공개했습니다.
자금 흐름 분석
Beosin 보안 팀은 추적 분석을 통해 비트포렉스 사건의 자금 흐름을 자세히 파악했습니다:
이더리움(ETH)
비트포렉스 거래소는 2024년 2월 24일 오전 6시 11분(UTC+8)부터 40,771 USDT, 258,700 USDC, 148.01 ETH, 471,405 TRB를 도주 지갑(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)으로 이체했습니다.
이후 2024년 8월 9일 도주 지갑은 TRB를 제외한 나머지 자산(147.9 ETH, 40,771 USDT, 258,700 USDC)을 비트포렉스 거래소 계정(0xcce7300829f49b8f2e4aee6123b12da64662a8b8)으로 다시 이체했습니다.
그리고 2024년 11월 9일부터 11월 10일 사이에 도주 지갑은 7차례에 걸쳐 355,000 TRB를 4개의 다른 OKX 거래소 사용자 계정으로 전송했습니다:
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB 체인
2월 24일 Bitforex 거래소가 166 ETH, 46,905 USDT, 57,810 USDC를 BNB 체인 주소(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)로 출금했으며, 현재까지 그대로 유지되고 있습니다.
폴리곤(Polygon)
2월 24일 Bitforex 거래소가 99,000 MATIC, 20,300 USDT, 1,700 USDC를 폴리곤 체인 주소 0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f로 출금했습니다. 이 중 99,000 MATIC은 8월 9일 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 주소로 이체되어 현재까지 유지되고 있으며, 나머지 USDT와 USDC는 현재까지 그대로 유지되고 있습니다.
트론(TRON)
2월 24일 Bitforex 거래소가 44,000 TRX와 657,698 USDT를 TRON 체인 주소 TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o로 출금했습니다. 8월 9일 해당 자산을 모두 Bitforex 거래소 사용자 주소 TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo로 이체했습니다.
비트코인(BTC)
2월 24일부터 16개의 Bitforex 주소가 총 5.7BTC를 BTC 체인 주소 3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o로 이체했습니다. 해당 주소는 8월 9일 5.7BTC를 모두 Bitforex 거래소 주소 11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz로 이체했습니다.
종합하면, Bitforex 거래소는 2월 24일 40,771 USDT, 258,700 USDC, 148.01 ETH, 471,405 TRB를 이더리움(ETH) 체인으로, 44,000 TRX와 657,698 USDT를 트론(TRON) 체인으로, 5.7BTC를 비트코인(BTC) 체인으로, 166 ETH, 46,905 USDT, 57,810 USDC를 BNB 체인으로, 99,000 MATIC, 20,300 USDT, 1,700 USDC를 폴리곤(Polygon) 체인으로 이체했습니다. 그리고 8월 9일 BTC 체인과 TRON 체인의 자산을 모두 Bitforex 거래소로 이체했으며, 11월 9일과 10일에 471,405 TRB를 4개의 OKX 계정과 2개의 Binance 계정으로 이체했습니다. 현재 ETH 체인, TRON 체인, BTC 체인의 자산은 모두 이체되었으며, BNB 체인에 166 ETH, 46,905 USDT, 57,810 USDC, 폴리곤 체인에 99,000 MATIC, 20,300 USDT, 1,700 USDC가 남아있습니다.
TRB 입금 거래소 주소:
