자동화된 인시던트 대응은 프로토콜 전체의 위기를 제한된 손실로 막을 수 있습니다. Web3 보안에서 몇 시간 만에 대응하느냐, 몇 초 만에 대응하느냐의 차이는 관리 가능한 인시던트와 수천만 달러의 손실 사이의 차이를 의미할 수 있습니다.
DeFi에서 어떤 프로젝트도 영원한 완벽한 안전을 약속할 수 없습니다. 그렇기 때문에 철저한 준비가 중요합니다. 하지만 공격이 시작되면 준비만으로는 충분하지 않습니다. 프로젝트는 즉각적으로 대응하고 피해가 확산되기 전에 손실을 줄일 수 있는 능력도 필요합니다.
수동 개입은 종종 너무 느립니다. Nomad Bridge 인시던트에서 프로젝트 팀은 대응하는 데 세 시간 이상이 걸렸습니다. KyberSwap 익스플로잇에서 팀은 첫 번째 공격 이후 거의 두 시간이 지나서야 프로토콜 일시 중지를 시작했습니다. 바로 그 격차가 Phalcon Security가 중요한 이유입니다. Phalcon Security는 공격을 탐지하는 것 외에도, 중요한 상황에서 일시 중지 및 프론트러닝을 포함한 사전 설정된 대응 조치를 자동으로 트리거할 수 있습니다. 이를 통해 대응 시간을 몇 시간에서 단 하나의 블록으로 줄일 수 있습니다.
KyberSwap 인시던트 요약
2023년 11월 22일 22:54:09 UTC, Phalcon은 Base에서 KyberSwap에 대한 첫 번째 공격을 탐지했으며, 손실액은 $857,025였습니다.
1분 후, Phalcon은 이더리움 메인넷에서 프라이빗 트랜잭션을 통한 또 다른 공격을 탐지했으며, 손실액은 $64,896였습니다.
22:56:34 UTC부터 공격자는 Arbitrum, Optimism, Polygon, Avalanche에서 추가 공격을 감행했습니다. Polygon과 Avalanche에서의 일부 공격자 트랜잭션은 다른 MEV 봇에 의해 프론트런되었으며, 약 $5.36 million의 수익을 가져갔습니다.
23:30:39 UTC까지 공격자는 공격을 마쳤습니다. 약 37분 동안 공격자는 6개 체인에 걸쳐 17건의 공격 트랜잭션을 실행하여 모방 공격을 제외하고 약 $46 million의 손실을 발생시켰습니다.
2023년 11월 23일 00:36:47 UTC, 첫 번째 공격으로부터 약 100분 후, 프로토콜 팀은 서로 다른 체인에서 프로토콜 일시 중지를 시작했습니다.

전형적인 공격 경로: 프라이빗 트랜잭션 & 멀티체인 공격
KyberSwap 익스플로잇은 단일한 고립된 행동이 아니었습니다. 체인을 넘나들며 프라이빗 트랜잭션, 퍼블릭 트랜잭션, 그리고 후속 공격을 포함했습니다. 이 패턴은 현대 공격자들이 실제로 어떻게 행동하는지를 보여주기 때문에 중요합니다. 그들은 한 번의 성공적인 시도 후에 거의 멈추지 않으며, 하나의 체인이나 하나의 트랜잭션 유형에만 국한하지 않습니다.

자동화된 인시던트 대응이 Web3 보안에 중요한 이유는 무엇인가요?
100분 vs 12초; $46,000,000 vs $860,000
Phalcon이 첫 번째 공격을 탐지하는 즉시 프로토콜 일시 중지 또는 기타 사전 설정된 대응 조치를 자동으로 트리거할 수 있습니다. 또한 동시에 다른 체인에서 동일한 프로토콜을 일시 중지할 수도 있습니다. KyberSwap의 경우, 이를 통해 손실을 약 $46 million 대신 첫 번째 공격으로 인한 손실인 약 $860,000 수준으로 줄일 수 있었을 것입니다.
Phalcon은 단일 서명과 다중 서명 설정을 모두 지원하므로, 더 복잡한 거버넌스 환경에서도 인시던트 대응 조치를 즉시 실행할 수 있습니다.

단일 프라이빗 트랜잭션은 거의 끝이 아닙니다
공격자의 90% 이상은 단일 프라이빗 트랜잭션 이후에 멈추지 않으며, 공격은 메인넷에서만 발생하는 경우가 거의 없습니다. KyberSwap 인시던트에서 17건의 공격 트랜잭션 중 단 3건만이 프라이빗 트랜잭션이었습니다. 첫 번째 프라이빗 트랜잭션은 총 손실의 0.14%에 불과했습니다. 세 건의 프라이빗 트랜잭션 전체를 합쳐도 16%였습니다. 첫 번째 비공개가 아닌 공격만으로도 총 손실의 2%를 차지했습니다.
교훈은 명확합니다. 공격자가 프라이빗 트랜잭션을 사용하더라도, 공격이 조기에 탐지되고 대응 조치가 적시에 트리거된다면 프로젝트는 여전히 손실을 크게 줄일 수 있습니다.
공격이 발생하면 시간이 주요 변수가 됩니다
BlockSec은 KyberSwap과 사전 협력 관계가 없었기 때문에, 팀은 공격을 탐지한 후 공개 채널을 통해서만 연락할 수 있었습니다. 위협 정보가 프로토콜 팀에 즉시 전달되더라도 수동 대응은 여전히 너무 느렸을 것입니다.
멀티시그 거버넌스를 가진 프로젝트의 경우, 팀은 공격이 진행 중인지 확인하고, 위험을 평가하고, 대응 방안에 합의하고, 대응 트랜잭션에 대한 서명을 수집해야 했을 것입니다. 이 모든 과정에는 시간이 걸리며, 익스플로잇이 진행되는 동안 매 분이 중요합니다.
KyberSwap의 경우, 첫 번째 공격과 대응 시작 사이에 100분 이상이 경과했습니다. 바로 이 지연이 자동화된 대응이 블록체인 인시던트 대응에 매우 중요한 이유입니다.

Phalcon Security를 사용함으로써 프로젝트 팀은 다중 서명 거버넌스를 포기하지 않고도 자동화된 대응을 통합할 수 있습니다. 이 시스템은 인시던트가 사전 설정된 조건과 일치할 때 미리 정의된 조치를 즉시 실행할 수 있도록 합니다.
프로젝트 팀은 보안 위협에 어떻게 대응할 수 있나요?
프로젝트 팀에게는 일반적으로 두 가지 경로가 있습니다.
첫 번째는 모든 것을 직접 구축하는 것입니다. 이는 소셜 미디어 알림에 의존하는 대신 모니터링 시스템을 구축하고, 위험 평가 기준과 인시던트 대응 계획을 정의하고, 전담 대응 팀을 구성하고, 24시간 365일 운영 체계를 유지하는 것을 의미합니다. 이론적으로는 작동하지만, 실제로는 자원이 많이 필요하고 지속하기 어렵습니다.
두 번째는 실시간 위협 탐지 및 대응을 위해 구축된 플랫폼을 사용하는 것입니다. Phalcon Security를 통해 프로젝트 팀은 정밀한 외부 위협 모니터링, 유연한 규칙 구성, 지능적인 위험 등급 분류, 그리고 프로토콜 일시 중지 및 프론트러닝과 같은 자동화된 신속 대응 메커니즘을 갖출 수 있습니다. 이를 통해 처음부터 24시간 대응 조직을 구축하지 않고도 프로토콜 보안을 향상시킬 수 있습니다.
지속적인 수동 개입에 의존하지 않고도 프로토콜을 더 안전하게 유지할 수 있습니다.
관련 리소스
- KyberSwap 인시던트: 매우 미묘한 계산으로 반올림 오류를 교묘하게 익스플로잇
- 또 다른 정밀도 손실의 비극: KyberSwap 인시던트에 대한 심층 분석
- BlockSec, Phalcon 출시: Web3 보안을 위한 세계 최초 크립토 해킹 차단 시스템



