개요
2025년 7월, 웹3 보안 사고로 약 1억 4,700만 달러의 손실이 발생했습니다. 슬로우 미스트 (SlowMist) 블록체인 해킹 아카이브(https://hacked.slowmist.io)에 따르면, 13건의 해킹 사고가 발생하여 약 1억 4천만 달러의 손실이 발생했으며, 그중 4,248만 달러는 동결 또는 반환되었습니다. 이러한 사고는 계약 취약점, 공급망 공격, 그리고 계정 유출로 인해 발생했습니다. 또한, 웹3 사기 방지 플랫폼인 스캠 스니퍼(Scam Sniffer)에 따르면, 이번 달 피싱 공격 피해자는 9,143명으로, 709만 달러의 손실을 입었습니다.
(https://dune.com/scam-sniffer/7월-2025-scam-sniffer-scam-report)
주요 보안 사고
코인디씨엑스
2025년 7월 19일, 온체인 탐정인 ZachXBT는 개인 채널에 다음과 같이 게시했습니다. "인도의 중앙 집중형 거래 플랫폼인 CoinDCX가 약 17시간 전에 해킹을 당해 약 4,420만 달러의 손실을 입었지만, 이 사건은 지금까지 커뮤니티에 공개되지 않았습니다."
얼마 지나지 않아 회사 공동 창립자인 수밋 굽타가 X에 답장을 보냈습니다. 수밋은 답장에서 공격받은 지갑이 유동성 공급에만 사용되는 내부 운영 계좌였다고 밝혔습니다. 고객 자금은 안전한 콜드 월렛에 보관되어 있어 영향을 받지 않았습니다. 거래 및 출금은 정상화될 것이며, 공격으로 발생한 모든 손실은 CoinDCX의 보유 자산에서 부담하게 됩니다.
(https://x.com/smtgpt/status/1946597988660645900)
7월 31일, FinanceFeeds는 CoinDCX의 소프트웨어 엔지니어가 공격을 조장한 혐의로 체포되었다고 보도했습니다. 공격자들은 엔지니어의 컴퓨터에 파트타임 직업을 위장하여 고액 연봉을 지급하는 악성코드를 설치했습니다. 정교한 키로거인 이 악성코드는 공격자들이 CoinDCX의 로그인 정보를 탈취하고 내부 시스템에 접근할 수 있도록 했고, 결국 이번 사건으로 이어졌습니다.
지엠엑스
2025년 7월 9일, 탈중앙화 거래소 GMX가 공격을 받아 4,200만 달러 이상의 자산이 손실되었습니다. 슬로우 미스트 (SlowMist) 보안 모니터링 시스템에 따르면, 슬로우 미스트 (SlowMist) 보안팀은 이 공격의 핵심이 공격자가 두 가지 기능을 악용한 것이라고 분석했습니다. 첫째, Keeper 시스템은 주문 실행 시 레버리지를 활성화하고, 둘째, 숏(Short) 시에는 글로벌 평균 가격을 업데이트하지만, 공매도 청산 시에는 업데이트하지 않습니다. 셋째, 재진입 공격을 통해 공격자는 대규모 공매도(Short) 포지션을 생성하고, 글로벌 평균 공매도(Short) 가격과 글로벌 공매도(Short) 포지션 규모를 조작하여 GMX 가격을 직접 부풀려 수익을 환수했습니다. 자세한 분석은 "GMX 해킹 분석: 4,200만 달러 즉시 탈취"를 참조하십시오.
(https://x.com/SlowMist_Team/status/1942949653231841352)
7월 11일, GMX는 X에 대한 성명을 발표하며 보안 사고가 GMX V1 코드베이스의 보안 취약점에서 비롯되었다고 밝혔습니다. 취약점이 공개되었고 GMX V1 계열사에 통보되었습니다. GMX는 이 화이트 해커의 노고에 감사하며 그에게 500만 달러의 현상금을 지급하여, 이전에 공격에 연루되었던 4,200만 달러의 자금을 확보했습니다.
(https://x.com/GMX_IO/status/1943654914749534380)
빅원
2025년 7월 16일, 슬로우 미스트 (SlowMist) 보안팀은 공급망 공격으로 2,700만 달러 이상의 손실을 입은 암호화폐 거래 플랫폼 BigONE을 모니터링했습니다. 공격자들은 BigONE의 운영 네트워크를 침해하고 계정 및 위험 관리 서버의 운영 로직을 수정하여 자금 이체를 가능하게 했습니다. 7월 24일, BigONE은 X에 해당 사건에 대한 업데이트를 게시하며 개인 키는 유출되지 않았으며 모든 손실은 플랫폼에서 부담할 것이라고 밝혔습니다.
(https://x.com/SlowMist_Team/status/1945346830222680330)
우 엑스
2025년 7월 24일, 암호화폐 거래소 WOO X는 보안 침해로 인해 출금 서비스를 중단했으며, 이로 인해 9개 사용자 계정에서 약 1,400만 달러의 무단 출금이 발생했습니다. 공식 발표에 따르면, 이 침해는 팀원을 표적으로 삼은 표적 피싱 공격에서 비롯된 것으로 보입니다. 공격자는 팀원의 기기를 통해 거래소 개발 환경에 제한적으로 접근하여 일부 보안 조치를 우회하고 9개 계정에서 무단 출금을 실행했습니다.
(https://support.woox.io/hc/en-us/articles/49178783818777-임시-철회-정지-2025년-7월-24일)
ZKSwap
2025년 7월 9일, ZKSwap의 이더 리움 레이어 1 크로스 체인 브리지가 공격을 받았습니다. 공격자는 비상 클레임 메커니즘을 악용하여 약 500만 달러의 손실을 입었습니다. 분석 결과, 영지식 증명 검증 메커니즘이 실제로 검증을 수행하지 않는 것으로 나타났습니다. 이러한 중대한 실수로 인해 공격자는 출금 증명을 임의로 위조하여 크로스 체인 브리지의 핵심 보안 조치를 우회할 수 있었습니다.
(https://x.com/R4ZN1V/상태/1948448167734673838)
기능 분석 및 보안 권장 사항
7월 블록체인 보안 사고에서도 계약 취약점은 주요 공격 벡터로 남아 있었으며, 공격은 주로 중앙화 거래소와 탈중앙화 금융 플랫폼을 표적으로 삼았습니다. 중앙화 거래소 관련 보안 사고로 총 8,520만 달러의 손실이 발생했으며, 이는 그달 해킹 사고로 인한 총 손실의 60.8%에 해당합니다. 슬로우 미스트 (SlowMist) 보안팀은 레버리지 메커니즘 및 오라클 과 같은 복잡한 기능을 DeFi 프로토콜에 통합할 때, 상호작용 로직 편차로 인한 시스템 리스크 방지하기 위해 전역 상태 일관성 및 경계 조건의 완전한 검증에 특히 주의해야 한다고 개발자에게 당부했습니다. 중앙화 거래소는 또한 전반적인 보안 방어를 강화하기 위해 감사 기준과 시스템 투명성을 더욱 개선해야 합니다.
온체인 공격 외에도 일상적인 사용 시나리오에서 발생하는 보안 위험은 무시할 수 없습니다.
이번 달, 비공식 채널을 통해 구매한 하드웨어 지갑으로 인해 자산 도난 사건이 또 발생하여 피해자는 4.35 BTC를 잃었습니다. 슬로우 미스트 (SlowMist) 보안팀은 이전에 "Web3 보안 초보자를 위한 하드웨어 지갑 함정 방지 가이드" 에서 이 방법을 설명한 바 있습니다. 관심 있는 분은 여기를 클릭하여 해당 내용을 확인하실 수 있습니다.
최근 가짜 Zoom 회의 피싱 사건도 빈번하게 발생했습니다. 사용자들이 악성 링크를 클릭하여 가짜 회의방에 접속하는데, 영상은 정상이지만 음성은 무음입니다. 공격자의 "기술 지원" 담당자는 소위 수정 프로그램을 다운로드하도록 유도하여 결국 재정적 손실을 초래합니다. 현재 웹 3.0 피싱 훈련 플랫폼인 Unphishable(https://unphishable.io/)은 사용자들이 보안 인식 및 보안 역량을 향상시키기 위해 완료하고 체크인할 수 있는 "가짜 Zoom 온라인 회의 피싱 시뮬레이션" 레벨을 출시했습니다.
트위터: https://twitter.com/BitpushNewsCN
BitPush TG 토론 그룹: https://t.me/BitPushCommunity
Bitpush TG 구독: https://t.me/bitpush
