보안 한눈에 보기 👀
2024년 4월, DeFi 취약점 익스플로잇과 관련된 보안 사고로 총 약 500만 달러의 손실이 발생했습니다. 대부분의 보안 사고는 "검증되지 않은 사용자 입력"과 "접근 제어 문제"로 인해 발생했으며, Hedgey Finance와 SaitaChain이 관련된 중대한 사고가 있었습니다.
개발자에게 드리는 조언: 특히 유연한 calldata를 사용하는 프로토콜의 경우, 핵심 함수의 접근 제어와 사용자 입력 내용을 꼼꼼히 확인하세요. 여기를 클릭하여 과거 관련 사례를 검토하세요.
- Hedgey Finance 사고
4월 19일, 이더리움의 @hedgeyfinance가 익스플로잇되어 180만 달러 이상의 손실이 발생했습니다. 근본 원인은 검증되지 않은 사용자 입력입니다. 주목할 점은, 프로젝트 팀과 한 보안 회사가 4,000만 달러의 손실을 주장했지만, 토큰의 유동성 부족으로 인해 공격자의 실제 수익은 제한적이었습니다. 결국 공격자는 수백 달러만 현금화했을 가능성이 있으므로, 우리는 이 통계를 신뢰하지 않습니다. 여기를 클릭하여 근본 원인을 확인하세요.
- SaitaChain 사고
4월 24일, SaitaChain의 Xbridge가 공격을 받아 접근 제어 문제로 인해 약 100만 달러의 손실이 발생했습니다. 공격자는 단 0.15 이더로 토큰을 상장하여 모든 토큰을 전송할 수 있었습니다. 저희는 즉시 공격을 감지하고 프로젝트 팀에 알렸습니다.
- 알 수 없는 컨트랙트 (0x80a0)
4월 15일, BSC의 알 수 없는 컨트랙트(0x80a0)가 공격을 받아 약 60만 달러의 손실이 발생했습니다. 근본 원인은 검증되지 않은 사용자 입력이었습니다. 알림을 확인하세요.
- Pike Finance 사고
4월 26일, Pike Finance는 이더리움, 아비트럼, 옵티미즘 체인에서 약 30만 달러의 손실을 입었습니다. 근본 원인은 검증되지 않은 사용자 입력으로, 위조된 CCTP 메시지를 통해 USDC를 탈취했습니다. 저희는 즉시 사고를 감지했지만, 컨트랙트가 오픈 소스가 아니어서 공격 트랜잭션을 공개하기 전에 프로젝트 팀의 확인과 조치를 기다려야 했습니다.
- 미국 최초의 스마트 컨트랙트 익스플로잇 사례
스마트 컨트랙트 익스플로잇과 관련된 미국 최초의 사례에서, 피고는 1,200만 달러 이상의 자산을 횡령한 혐의로 유죄 판결을 받아 3년 징역과 수익 몰수 선고를 받았습니다.
이 익스플로잇에는 CremaFinance와 NIRVANA FINANCE가 관련되었습니다. CremaFinance에서만 880만 달러 이상이 횡령되었습니다. 협상 끝에 CremaFinance는 화이트햇 바운티로 150만 달러(45,455 SOL)를 지급하기로 합의했습니다. 저희가 MetaSleuth를 사용하여 수행한 CremaFinance 사고의 자금 흐름 분석을 확인하세요.

👉 다양한 보안 사고의 공격 트랜잭션, 근본 원인, PoC에 대해 더 알아보려면 보안 사고 목록을 방문하세요.
블로그 아티클
이 블로그는 EigenLayer의 기본 개념을 소개하고 리스테이킹 생태계의 새로운 보안 위협을 설명합니다.
이 블로그에서는 MetaSleuth를 사용하여 Solana의 밈 토큰 $TIM에서의 "스마트" 머니를 추적하는 방법을 보여드립니다. $TIM 토큰을 매수하여 수백만 달러를 벌어들인 프로젝트 내부자로 비판받은 사례입니다.
이 블로그는 상당한 피해를 초래하는 "Inferno Drainer" 피싱 사기를 폭로하고, 사용자들이 이러한 사기를 피하기 위해 신중하게 거래할 것을 권고합니다.
이 블로그에서는 새로운 유형의 Web3 피싱을 소개하고 피싱을 피하는 방법에 대한 제안을 제공합니다.
이 블로그는 Web3 사용자를 대상으로 하는 드레이너 관련 해킹 사고에 대한 개요를 제공하며, 해커들이 사용하는 방법을 강조하고 사용자들의 인식과 이러한 전술에 대한 보호를 강화하는 것을 목표로 합니다.
제품 업데이트
- 🥳 Phalcon의 대규모 업그레이드!
프로토콜과 LP는 이제 중첩 구조체, 매핑, 배열 등 복잡한 데이터 구조를 포함한 주요 변수를 모니터링할 수 있습니다. 사용자는 코딩 없이 10초 안에 변수를 선택하고 모니터링 표현식을 구성할 수 있습니다! 자세히 읽기

이번 업그레이드는 개발자, 보안 연구원, LP가 트랜잭션과 프로토콜 상태를 더 잘 이해하고 모니터링하여 보안 위협이나 구성 오류를 신속하게 식별하고 프로토콜 안정성을 유지하며 자금을 보호할 수 있도록 합니다.
- 🥳 Phalcon Explorer의 UI를 개선했습니다!
이제 전체 화면 모드(Shift+F 단축키)를 지원하여 개발자와 보안 연구원이 더욱 몰입감 있게 사용하고 분석에 집중할 수 있습니다. 한번 사용해 보세요!
Full-screen support of BlockSec Phalcon Explorer @Phalcon_xyz https://t.co/w4YFhCxpjT pic.twitter.com/vshmXAW3m8
— BlockSec (@BlockSecTeam) April 12, 2024
파트너십
- Merlin ✖️ BlockSec
BlockSec Phalcon이 이제 최고의 BTC L2인 Merlin을 완전히 지원합니다! 🎉 ETH, BSC, 아비트럼에 이어 Merlin은 Phalcon이 지원하는 네 번째 체인입니다!
🛡️ **BlockSec Phalcon**은 Merlin Chain의 온체인 활동을 24/7 적극적으로 모니터링하고 Merlin Chain에 적시에 알림을 제공하고 있습니다. 지금부터 Merlin Chain의 프로토콜 팀과 투자자도 Phalcon을 구독하여 암호화폐 해킹 모니터링 및 차단 기능을 활용할 수 있습니다.
🚀 **Phalcon Explorer**도 Merlin을 지원합니다! 트랜잭션 추적, 잔액 변동, 자금 흐름을 쉽게 탐색하세요. Merlin 블록체인 익스플로러에서 소스 코드가 없는 일부 주류 컨트랙트에 대해 검증된 컨트랙트에 대한 접근을 제공합니다.

- Forta ✖️ BlockSec
Honored to be part of the @FortaNetwork ecosystem! Let's work together to make Web3 safer! 🙌 https://t.co/e87inYgJKN
— BlockSec (@BlockSecTeam) April 25, 2024
BlockSec 소개
BlockSec은 2021년 전 세계적으로 著名한 보안 전문가 그룹이 설립한 선구적인 블록체인 보안 회사입니다. 이 회사는 대중적 채택을 촉진하기 위해 신흥 Web3 세계의 보안성과 사용성을 향상시키는 데 전념하고 있습니다. 이를 위해 BlockSec은 스마트 컨트랙트 및 EVM 체인 보안 감사 서비스, 보안 개발 및 위협 사전 차단을 위한 Phalcon 플랫폼, 자금 추적 및 조사를 위한 MetaSleuth 플랫폼, 그리고 Web3 빌더들이 암호화폐 세계를 효율적으로 탐색할 수 있는 MetaSuites 익스텐션을 제공합니다.
현재까지 이 회사는 MetaMask, Uniswap Foundation, Compound, Forta, PancakeSwap 등 300개 이상의 저명한 클라이언트에게 서비스를 제공했으며, Matrix Partners, Vitalbridge Capital, Fenbushi Capital을 포함한 저명한 투자자들로부터 두 차례의 파이낸싱 라운드에서 수천만 달러를 유치했습니다.
공식 웹사이트: https://blocksec.com/
공식 트위터 계정: https://twitter.com/BlockSecTeam



