CertiK 월간 보안 보고서: 최신 12월 데이터 공개

avatar
ME News
01-07
이 기사는 기계로 번역되었습니다
원문 표시
MetaEra와 CertiK이 협력하여 2024년 12월 보안 보고서를 공동 출시하여 업계에 중요한 보안 정보를 전달했습니다.

기사 작성자: 0x9999in1, MetaEra

2024년 12월, Web 3.0 업계는 플래시 론 공격, 취약점 악용, 출금 사기 등의 일련의 보안 문제에 직면했습니다. 전월 대비 누적 손실 금액은 크게 감소했지만 여전히 2,864만 달러에 달해 올해 중 가장 적은 손실이 발생한 달이었습니다.

12월 주요 보안 사건은 Gempad와 FEG로, 두 사건 모두 취약점 악용 사건이었으며 각각 214만 달러와 107만 달러의 손실이 발생했습니다. 또한 보고서는 12월 상위 10대 보안 사건, 3대 보안 사건 유형의 대표적인 사례, 그리고 올해 각 월별 3대 보안 사건 유형의 손실 금액을 심층 조사 및 분석하여 사용자의 보안 의식을 높이고 공격 예방을 목적으로 하고 있습니다.

12월 플래시 론 공격 보안 사건 Top5

CloberDex

2024년 12월 10일, CloberDex 유동성 보험 풀이 해커 공격을 받아 133 이더리움(ETH)(약 50만 달러 상당)을 손실했습니다. 공격자는 탈취한 자금을 Base에서 이더리움으로 이체했습니다. 이번 취약점의 주된 원인은 CloberDEX 프로젝트 측의 계약에서 LP 토큰 소각 코드에 재진입 검사와 보호 기능이 없었고, 계약 호출 후 상태 변수 업데이트가 이루어져 공격자가 해당 재진입 취약점을 악용할 수 있었기 때문입니다.

Clipper DEX

2024년 12월 1일, 공격자는 Clipper가 사용하는 스마트 계약의 취약점을 이용해 단일 자산 입출금 기능을 조작했습니다. 이로 인해 Optimism과 Base 네트워크의 유동성 풀이 영향을 받아 자산 불균형이 발생했고, 공격자는 예치한 금액을 초과하여 자금을 인출할 수 있었습니다. 이번 공격으로 약 450,812달러의 손실이 발생했습니다.

Moonwell DeFi

2024년 12월 25일, Optimism 네트워크에서 운영되는 탈중앙화 대출 프로토콜 Moonwell DeFi가 플래시 론 공격을 당해 32만 달러를 손실했습니다. 공격자는 "mToken"으로 위장된 악성 계약 주소를 이용해 Moonwell의 USDC 대출 계약을 공격했고, 이를 통해 무단으로 토큰 승인을 받아 Moonwell 사용자의 자금을 탈취할 수 있었습니다.

BYC

2024년 12월 3일, RunWay(BYC)가 BSC에서 공격을 받아 약 10만 달러를 손실한 것으로 추정됩니다.

ZeroLend

대출 플랫폼 ZeroLend가 플래시 론 공격을 당해 약 7.7만 달러를 손실했습니다.

12월 취약점 악용 보안 사건 Top5

Gempad

2024년 12월 17일, GemPad가 플랫폼 취약점이 악용되어 210만 달러가 탈취되었습니다. 분석에 따르면 공격자가 GemPad의 안전 잠금을 고갈시킨 후 ETH와 BNB로 전환하여 자금을 통합했다고 합니다. GemPad는 일부 프로젝트만 영향을 받았으며, 현재 플랫폼이 안전하게 재가동되었다고 밝혔습니다.

FEG

2024년 12월 29일, FEG 프로젝트가 공격을 받아 약 107만 달러를 손실했습니다. 분석 결과, 이번 사건의 근본 원인은 기반 Wormhole 크로스체인 브리지와의 통합 과정에서 발생한 조합성 문제로 보입니다. 이 브리지는 크로스체인 메시징과 토큰 전송에 사용되었습니다.

Vestra DAO

2024년 12월 4일, Vestra DAO는 해커가 락업 스테이킹 계약의 취약점을 이용해 보상 메커니즘을 조작하여 자신의 몫을 초과하는 보상을 획득했다고 밝혔습니다. 이번 사건으로 총 73,720,000개의 VSTR 토큰이 도난당했고, 이후 Uniswap에서 점진적으로 매각되어 약 40만 달러의 ETH 유동성 손실이 발생했습니다.

Spectral

2024년 12월 1일, Spectral은 Syntax의 바인딩 곡선 계약에 일부 토큰에 영향을 미치는 취약점이 있다는 경고를 받았으며, 이를 악용하여 약 25만 달러의 유동성이 제거되었다고 밝혔습니다.

HarryPotterObamaSonic10Inu 2.0

2024년 12월 18일, 이더리움 상에서 HarryPotterObamaSonic10Inu 2.0 토큰 유동성 풀을 대상으로 한 일련의 악용 거래가 발생했습니다. 공격자는 약 24.3만 달러의 이익을 얻었고, 자금을 Tornado에 예치했습니다.

CertiK 소개

CertiK는 Web 3.0 분야의 보안 동향을 지속적으로 추적하고 있으며, 지금까지 70회 이상의 화이트 해커 활동을 수행하고 4,000건 이상의 보안 사고를 보고하여 11만 5천 개 이상의 코드 취약점을 발견했습니다. 또한 연간 및 분기별 보안 보고서를 통해 업계에 중요한 보안 정보를 전달하고 있습니다.

MetaEra 소개

MetaEra는 Web 3.0 업계의 선도적인 정보 플랫폼이자 브랜드 및 성장 전문가입니다. 전 세계 각 지역의 포괄적인 자원을 활용하여 귀하의 브랜드 관리와 비즈니스 성장을 위한 창의적인 솔루션과 맞춤형 서비스를 제공합니다.

출처
면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트
관련 콘텐츠