Back to Blog

월간 보안 검토: 2024년 6월

July 1, 2024
4 min read

한눈에 보는 보안 👀

DeFi 섹터

  • UwU Lend 해킹

6월 10일과 13일, UwU Lend는 공격을 받아 $23M을 초과하는 손실이 발생했습니다.

첫 번째 공격의 근본 원인은 취약한 가격 의존성이었습니다. 대출 풀은 11개의 소스에서 가격을 가져왔는데, Curve의 현재(AMM) 가격 5개, Curve 오라클(EMA) 가격 5개, Uniswap(TWAP) 가격 1개가 포함되었으며, 최종적으로 중앙값을 취했습니다. 현재 가격은 단일 트랜잭션 내에서 조작될 수 있었기 때문에, 공격자는 플래시 론을 사용하여 현재 가격 5개를 급격히 변경함으로써 가져온 가격이 오라클 가격의 최솟값 또는 최댓값이 되도록 했습니다. 이로 인해 약 $20M의 손실이 발생했습니다.

6월 13일, UwU Lend 팀은 프로토콜을 재시작했지만 다시 공격을 받았습니다. 공격자는 uSUSDe와 WETH를 담보로 추가한 후 LTV를 기반으로 WETH를 빌렸습니다. uSUSDe는 LTV에는 참여하지 않았지만, 유동성 출금 시 건강 지수(health factor) 계산에는 참여하여 공격자가 더 많은 WETH를 출금하고 이익을 얻을 수 있었습니다.

주목할 점은, 화이트햇 makemake_kbo가 1년 전에 이 취약점을 보고하고 프로젝트 팀에 연락했지만 응답이 없었다고 트윗했으며, 결국 트위터에 경고를 발령했다는 것입니다.

  • Velocore 해킹

근본 원인: effectiveFee1e9에 대한 검사 누락으로 velocore__execute 함수에서 언더플로우가 발생했습니다.

공격 이후, Linea는 1시간 동안 블록 생성을 중단했습니다. L2 프로젝트의 경우, 비상 대응 메커니즘을 갖추는 것이 전체 체인을 일시 중단하는 것보다 더 효과적입니다. 👉 세계 최초의 암호화폐 해킹 모니터링 및 차단 플랫폼에 대해 여기에서 알아보세요.

  • Holograph 해킹

Holograph는 전직 계약자가 프로토콜을 악용하여 추가 HLG를 발행했다고 발표했습니다.

과거의 많은 공격 사례들은 프로젝트들이 편의를 위해 개인 키 관리를 타협하는 경우가 많다는 것을 보여주었습니다. 이는 내외부 공격자가 관리자 권한이나 개인 키를 탈취하는 심각한 위험에 노출시킵니다. Phalcon을 사용한 외부 모니터링을 통해 원클릭 운영 모니터링이 가능하여 조기 탐지 및 손실 최소화를 가능하게 합니다.

기타

  • DMM Exchange 해킹

6월 초, DMM Exchange는 5월 31일(UTC)에 4,502.9 BTC($300M 이상)가 탈취된 보안 사고를 공개했습니다.

DMM으로부터 더 많은 세부 정보가 없어, 원인은 여전히 불명확합니다. 그러나 해커의 주소와 DMM의 정상 주소는 처음 5자와 마지막 2자가 동일했으며, 탈취된 BTC는 멀티시그 주소에서 발생했습니다. 추측으로는 오프체인 공격이 전송 주소를 교체하여 담당자가 트랜잭션에 서명하도록 속인 것으로 보입니다. MetaSleuth를 사용하여 자금을 추적하려면 여기를 클릭하세요.

  • Kraken

6월 19일, Kraken의 최고 보안 책임자 Nick Percoco는 X에서 버그 바운티 프로그램을 통해 한 보안 회사로부터 "매우 심각한" 취약점 보고서를 받았다고 공개했습니다. 보고서는 계정 잔액을 인위적으로 증가시킬 수 있는 취약점을 발견했다고 주장했습니다. 그러나 Kraken이 취약점을 수정한 후, 보안 회사와의 협상 과정에서 $3백만과 관련된 의심스러운 행동을 발견했습니다. Nick Percoco의 게시물: 게시물 보기

CertiK은 이후 X에서 해당 사안에 대한 책임을 인정하고, 추가 정보를 공개하며 자신들의 행동을 설명했습니다. 그들은 Kraken에 대해 며칠에 걸친 테스트를 수행했으며 이미 자금을 반환했다고 강조했습니다. 이 사건은 커뮤니티 내에서 격렬한 논의를 불러일으켰습니다. CertiK의 게시물: 게시물 보기 근본 원인은 여기에서, 샘플 트랜잭션은 여기에서 확인하세요.

  • CoinStats

CoinStats는 공격으로 인해 $2백만의 손실을 입었습니다. CEO는 이번 침해가 직원에 대한 소셜 엔지니어링 공격으로 인해 AWS 인프라가 손상된 것이라고 밝혔습니다. 자세한 내용은 여기를 클릭하세요.

블로그 기사

BlockSec은 Solana의 기본 개념, Solana 스마트 컨트랙트 작성 튜토리얼, Solana 트랜잭션 분석 가이드를 포함하는 "Solana 쉽게 이해하기" 시리즈를 기획했습니다. 이 시리즈는 독자들이 Solana 생태계를 이해하고 Solana에서 프로젝트를 개발하고 트랜잭션을 수행하는 데 필요한 핵심 기술을 습득할 수 있도록 돕는 것을 목표로 합니다.

01: 한 번에 읽는 Solana 핵심 개념 마스터하기

02: 처음부터 시작하는 첫 번째 Solana 스마트 컨트랙트 작성

03: 5분 만에 Solana 트랜잭션 이해하기

BlockSec X Solana Summit

6월 20일부터 22일까지, BlockSec은 쿠알라룸푸르에서 열린 2024 Solana Summit APAC에 자랑스럽게 참가했습니다. 앞으로 더 많은 글로벌 이벤트에서 여러분을 만나기를 기대합니다!

Phalcon Explorer, 이제 Solana를 완벽하게 지원합니다!

Phalcon Explorer는 사용자 및 개발자 경험을 향상시키기 위한 새로운 기능을 도입했습니다:

🚀 명확해진 계정 관계 및 토큰 변경 사항

🚀 MEV 트랜잭션 태깅 및 3억 개 이상의 주소 레이블

🚀 확장 가능한 레벨을 갖춘 정확하고 명확한 함수 호출 계층

Phalcon Explorer를 여기에서 경험해 보세요.

자세한 내용은 여기를 클릭하세요.

Sign up for the latest updates
~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리
Security Insights

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리

이 주간 블록체인 보안 보고서는 2026년 6월 15일~21일을 다루며, 이더리움과 BNB 체인에서 3건의 주요 사고가 발생해 약 $18.3M의 손실이 발생했습니다. jaredFromSubway 사건은 MEV 봇이 차익거래를 위해 신뢰할 수 없는 제3자 컨트랙트에 자산을 승인한 역방향 승인 공격으로, 가짜 래퍼 토큰과 스왑 풀을 이용해 약 $15M 손실이 발생했습니다. Aztec은 이스케이프 해치 ZK 회로의 제약 누락으로 공격자가 가짜 머클 트리로 온체인 검증을 통과했습니다.

~$598만 달러 손실: Aztec, Raydium 등 | BlockSec 위클리
Security Insights

~$598만 달러 손실: Aztec, Raydium 등 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 8일~14일을 다루며, 이더리움과 솔라나에서 발생한 4건의 주요 사고를 분석하고 총 손실액은 약 598만 달러입니다. Aztec Connect의 입력 검증 누락으로 롤업 증명 경로와 L1 정산 불일치가 발생했고, Raydium의 레거시 AMM v3 검증 누락으로 LP 토큰 상환 계산이 조작되어 4개 풀이 탈취됐습니다. 두 취약점 모두 수년간 노출된 상태였습니다. 입력 검증 부재, 정수 오버플로우, 거버넌스 탈취 등의 공격 유형을 다룹니다.