Back to Blog

DeFi 리스크 완화 가이드 01: DeFi 사용자가 직면하는 리스크 유형 식별

July 4, 2024
4 min read

이 시리즈의 기사는 OKX Web3와 BlockSec이 공동 기획한 "최신 탈출 전략"에서 발췌한 것으로, DeFi 사용자와 DeFi 프로젝트 팀이 직면한 보안 문제를 다룹니다.

Q1:고래들이 실제로 겪은 DeFi 위험 사례를 몇 가지 공유해 주실 수 있나요?

BlockSec 보안 팀: DeFi의 매력은 안정적이고 높은 자산 수익률에 있으며, 이는 주요 플레이어들을 끌어들이고 프로젝트들이 대형 고래를 유치하여 유동성을 높이도록 촉진합니다. 뉴스에서 보도되듯이, 고래들이 DeFi에 상당한 금액을 예치하는 것을 자주 목격합니다. 그러나 이러한 '고래'들은 꾸준한 수익을 누리면서도 내재된 위험을 감수해야 합니다. 공개적으로 기록된 DeFi 위험 시나리오를 심층적으로 살펴보겠습니다.

사례 1:2022년 PolyNetwork 사건과 Discus Fish의 100만 달러 위기

2022년 PolyNetwork 보안 사건에서 6억 달러 이상의 자산이 공격을 받았습니다. "Discus Fish"(Cobo의 공동 창업자 겸 CEO)도 1억 달러가 연루된 것으로 알려졌습니다. 공격자가 결국 자금을 반환하고 사건이 원만하게 해결되었으며, "Discus Fish"는 이를 기념하기 위해 블록체인에 기념비를 세울 계획을 발표했지만, 그 과정은 매우 고통스러웠을 것입니다. 일부 보안 사건은 좋은 결말을 맞이하지만, 대부분은 그렇지 않습니다.

사례 2:SushiSwap 충격 -- 2023년 공격에서 0x Sifu의 330만 달러 대규모 손실

잘 알려진 탈중앙화 거래소(DEX) SushiSwap이 2023년 공격을 받아, 0x Sifu로 알려진 주요 보유자가 330만 달러 이상의 막대한 손실을 입었습니다. 그의 개인 손실은 전체 손실 금액의 약 90%를 차지했습니다.

사례 3:Prisma 침해 -- 네 개의 지갑에서 80% 손실, 400만 달러 미회수

올해 3월 발생한 Prisma 보안 사건에서 총 손실액은 1,400만 달러에 달했습니다. 이 손실은 17개의 지갑 주소에서 발생했으며, 지갑당 평균 손실액은 82만 달러였습니다. 그러나 네 명의 사용자가 입은 손실이 전체의 80%를 차지했습니다. 도난당한 자산의 대부분은 아직 회수되지 않았습니다.

결국 DeFi, 특히 메인넷에서는 무시할 수 없는 가스 수수료가 발생하므로, 에어드롭 인센티브를 제외하면 수익성은 상당한 자산 투자에 달려 있습니다. 따라서 DeFi 프로젝트의 주요 총예치금(TVL)은 일반적으로 '고래'들이 기여하며, 일부 프로젝트에서는 2%의 고래가 TVL의 80%를 기여합니다. 보안 사건이 발생하면 이러한 고래들이 필연적으로 가장 큰 손실을 부담하게 됩니다. '고래가 잔치를 즐기는 모습만 볼 것이 아니라, 그들도 피해를 입는 순간이 있다는 것을 알아야 한다.'

OKX Web3 지갑 보안 팀: 온체인 세계의 번영과 함께 사용자들이 겪는 DeFi 위험 사례도 증가하고 있으며, 온체인 보안은 항상 사용자들의 가장 기본적이고 중요한 필요입니다.

사례 1:PlayDapp 침해 -- 키 유출로 3,200만 달러 상당의 PLA 토큰 도난

PlayDapp 개인 키 유출: 2024년 2월 9일부터 12일 사이에 이더리움 기반 게임 플랫폼 PlayDapp이 침해를 당했으며, 공격자는 유출된 개인 키를 악용했습니다. 공격자는 무단으로 17억 9,000만 개의 PLA 토큰을 발행하고 탈취하여 약 3,235만 달러의 손실을 초래했습니다. 공격자는 PLA 토큰에 새로운 발행 운영자를 추가하고, 대량의 PLA를 발행하여 여러 온체인 주소와 거래소에 분산시켰습니다.

사례 2:Hedgey Finance 해킹 -- 계약 결함 악용으로 4,470만 달러 손실

Hedgey Finance 공격 사건. 2024년 4월 19일, Hedgey Finance는 이더리움과 아비트럼에서 심각한 보안 취약점을 겪어 약 4,470만 달러의 손실이 발생했습니다. 공격자는 사용자 입력 검증이 부족한 계약의 결함을 악용하여 취약한 계약에 대한 권한을 획득하고 자산을 탈취했습니다.

Q2: 현재 DeFi에 존재하는 주요 위험 유형을 요약할 수 있나요?

OKX Web3 지갑 보안 팀: 실제 사건을 바탕으로, 현재 DeFi 분야의 네 가지 일반적인 위험 유형을 파악했습니다.

첫 번째 유형: 피싱 공격.

피싱 공격은 일반적인 사이버 공격 유형으로, 합법적인 기관이나 개인으로 위장하여 피해자가 개인 키, 비밀번호 또는 기타 개인 데이터와 같은 민감한 정보를 제공하도록 속입니다. DeFi 분야에서 피싱 공격은 일반적으로 다음과 같은 방식으로 수행됩니다:

· 가짜 웹사이트: 공격자들이 실제 DeFi 프로젝트와 유사한 피싱 웹사이트를 만들어 사용자를 속여 서명 승인이나 전송 거래를 유도합니다.

· 소셜 엔지니어링 공격: 트위터에서 공격자들이 고도로 모방한 계정을 사용하거나 프로젝트 팀의 트위터 또는 디스코드 계정을 탈취하여 허위 프로모션 활동이나 에어드롭 정보(실제로는 피싱 링크)를 게시하고 사용자에게 피싱 공격을 수행합니다.

· 악성 스마트 계약: 공격자들이 겉보기에 매력적인 스마트 계약이나 DeFi 프로젝트를 출시하여 사용자를 속여 접근 권한을 승인하게 하고, 이를 통해 자금을 탈취합니다.

두 번째 유형: 러그풀(Rugpull).

러그풀은 DeFi 분야에 고유한 사기 방식으로, 프로젝트 개발자들이 대량의 투자를 유치한 후 갑자기 자금을 인출하고 사라져 투자자들의 자금이 완전히 탈취되는 상황을 말합니다. 러그풀은 주로 탈중앙화 거래소(DEX)와 유동성 마이닝 프로젝트에서 발생합니다. 주요 양상은 다음과 같습니다:

유동성 인출: 개발자들이 유동성 풀에 대량의 유동성을 제공하여 사용자 투자를 유치한 후, 갑자기 모든 유동성을 인출하여 토큰 가격이 폭락하고 투자자들이 큰 손실을 입게 합니다.

· 가짜 프로젝트: 개발자들이 합법적으로 보이는 DeFi 프로젝트를 만들어 허위 약속과 높은 수익으로 사용자를 속여 투자하게 하지만, 실제로는 실제 제품이나 서비스가 없습니다.

· 계약 권한 조작: 개발자들이 스마트 계약의 백도어나 권한을 이용하여 언제든지 계약 규칙을 변경하거나 자금을 인출합니다.

세 번째 유형: 스마트 계약 취약점.

스마트 계약은 블록체인에서 실행되는 자체 실행 코드로, 배포 후에는 변경이 불가능합니다. 스마트 계약에 취약점이 있으면 심각한 보안 문제로 이어질 수 있습니다. 일반적인 스마트 계약 취약점은 다음과 같습니다:

· 재진입 취약점: 공격자가 이전 호출이 완료되기 전에 취약한 계약을 반복적으로 호출하여 계약의 내부 상태에 문제를 일으킵니다.

· 논리적 오류: 계약의 설계 또는 구현에서 논리적 실수가 발생하여 예상치 못한 동작이나 취약점이 생깁니다.

· 정수 오버플로: 계약이 정수 연산을 올바르게 처리하지 않아 오버플로나 언더플로가 발생합니다.

· 가격 조작: 공격자가 오라클의 가격을 조작하여 공격을 수행합니다.

· 정밀도 손실: 부동 소수점 또는 정수의 정밀도 문제로 인한 계산 오류가 발생합니다.

· 입력 유효성 검사 미흡: 사용자 입력에 대한 검증이 불충분하여 잠재적인 보안 문제가 발생합니다.

네 번째 유형: 거버넌스 위험.

거버넌스 위험은 프로젝트의 핵심 의사결정 및 통제 메커니즘과 관련됩니다. 악의적으로 악용될 경우, 프로젝트가 의도한 목표에서 벗어나게 하고, 심각한 경제적 손실과 신뢰 위기로 이어질 수 있습니다. 일반적인 위험 유형은 다음과 같습니다:

· 개인 키 유출

  • 일부 DeFi 프로젝트의 권한 있는 계정은 EOA(외부 소유 계정) 또는 다중 서명 지갑으로 제어됩니다. 이러한 개인 키가 유출되거나 도난당하면, 공격자는 계약이나 자금을 마음대로 조작할 수 있습니다.

· 거버넌스 공격

  • 일부 DeFi 프로젝트는 탈중앙화 거버넌스 방식을 채택하고 있지만, 여전히 다음과 같은 위험에 직면합니다:

  • 토큰 조작: 공격자가 단기간에 대량의 거버넌스 토큰을 빌려 투표 결과를 조작합니다.

  • 권력 집중: 거버넌스 토큰이 소수의 손에 고도로 집중되어 있는 경우, 이들이 투표권을 집중시켜 전체 프로젝트의 의사결정을 통제할 수 있습니다.