Back to Blog

월간 보안 검토: 2024년 5월

June 1, 2024
3 min read

한눈에 보는 보안 👀

DeFi 익스플로잇

  • Gala Game

5월 20일, Gala 관리자의 개인 키가 탈취되었고, 공격자는 50억 개의 GALA 토큰을 발행하여 블록체인에서 $21M 상당의 토큰으로 교환했습니다. 이후 Gala의 공식 보고서에 따르면, 이번 침해는 제3자 계약업체와 관련이 있으며, 무단 사용자 제거를 포함한 내부 절차가 이후 수정되었다고 밝혔습니다. 내부 단서에 대한 조사 결과, 공격자의 신원이 확인되었고 탈취된 자산은 전액 반환되었습니다.

공식 보고서: Gala News

프로젝트 팀의 경우, 권한 있는 작업에 대한 필요한 모니터링 시스템을 구축하는 것이 중요합니다. 개인 키의 부적절한 관리는 내부 및 외부 공격자가 관리자 권한이나 개인 키에 접근할 수 있는 심각한 위험을 초래합니다. 이 사례에서 Phalcon을 활용했다면 손실을 방지할 수 있었을 것입니다.

  • Sonne Finance 사건

5월 14일, Optimism의 Sonne Finance가 익스플로잇되어 $2,000만 이상의 손실이 발생했습니다. 근본 원인은 Compound V2의 정밀도 손실이었습니다. Sonne 팀은 이 문제를 인지하고 있었으며 마켓 배포 시 유동성을 추가하여 문제를 방지할 계획이었으나, 공격자가 취약점을 악용했습니다. 타임락에 예약된 여러 트랜잭션이 누구나 실행할 수 있는 상태로 남겨져 있었고, 공격자는 유동성을 추가하지 않은 채 마켓 배포를 실행하여 익스플로잇을 완료했습니다.

Sonne이 Phalcon을 사용했다면, 공격을 더 빨리 감지하여 손실을 $2,000만이 아닌 $300만으로 제한할 수 있었을 것입니다. 자세히 알아보기

  • TCH

5월 17일, TSC가 BSC 네트워크에서 서명 재사용 문제로 인해 $11K 이상의 손실을 입는 공격을 받았습니다. 개발자들은 최소 세 가지 유형의 서명 가변성(Signature Malleability)을 인지해야 합니다:

ECDSA의 특성상, (r, s, v)가 유효하다면 (r, secp256k1n-s, 55-v)도 유효합니다. Ethereum의 ecrecover가 두 가지 모두를 허용하기 때문입니다. 이를 해결하기 위해, OpenZeppelin 서명 라이브러리는 s가 secp256k1n/2+1보다 작도록 제한합니다. (OpenZeppelin Contracts)

v의 값과 관련하여, 0과 27은 동일한 의미이며 1과 28도 마찬가지로, 27은 코딩 표준입니다. 일부 라이브러리는 검증 전에 0과 1을 27과 28로 변환하지만, OpenZeppelin은 현재 27과 28만 지원합니다.

OpenZeppelin은 이전에 두 가지 유형의 바이트 서명을 지원했습니다. 하나는 s 뒤에 별도의 바이트로 v가 오는 방식이고, 다른 하나는 s의 상위 비트에 v가 포함되는 방식입니다. (Malleable Signatures)

  • TonUP

TON 체인의 프로젝트인 TonUP은 스테이킹 컨트랙트가 해킹당했다고 발표하며, 사용자 보상을 위해 307,264개의 토큰을 재매입하기 위한 자금을 할당할 계획이라고 밝혔습니다. 새로운 생태계는 새로운 기회를 가져오는 동시에 해킹의 위협도 수반합니다.

🫡 5월 주요 공격의 공격 트랜잭션, 근본 원인 및 PoC는 모두 검토를 위해 보안 사고 목록에 기록되어 있습니다.

피싱

  • Pink Drainer

Pink Drainer가 충분히 수익을 올렸다고 주장하며 은퇴 계획과 함께 서비스 종료를 발표했습니다. 그러나 무대에서 물러나는 것이 그들이 예상하는 것만큼 간단하지 않을 수 있습니다.

  • 웨일의 주소 포이즈닝 공격

5월 3일, 한 웨일이 주소 포이즈닝 공격을 당해 약 $7,000만 상당의 1,155 WBTC를 잃었습니다. 다행히도 지속적인 커뮤니티의 노력 끝에 공격자가 자금을 반환했습니다. 피싱 공격은 소셜 엔지니어링을 수반하며 DeFi 전문가도 표적이 될 수 있습니다. 항상 경계를 늦추지 마세요!

법적 조치

5월 15일, 미국 법무부는 이더리움 블록체인을 공격하고 $2,500만 상당의 암호화폐를 탈취한 혐의로 두 형제를 체포했다고 발표했습니다. 이 공격자들은 Flashbot Relay의 취약점을 악용하여 MEV 봇을 공격했습니다. 이는 매우 정교한 공격이었으며, 심층 분석은 여기에서 확인할 수 있습니다.

법무부의 보도 자료는 여기에서 읽어보세요.

블로그 기사

Phalcon 가상 체험 여정

😎 해커와의 생사를 건 전투를 준비하셨나요?

무료로 "Phalcon 가상 체험 여정"에 참여하시기 바랍니다.

해커와 맞서 싸우고, 실제 온체인 공격에 대응하며, 자동화된 공격 차단 플랫폼 Phalcon을 활용하여 수백만 달러의 자산을 지키세요! 당신도 영웅이 될 준비가 되셨나요?

MetaSuites, 이제 Solana를 지원합니다!

MetaSuites 5.0 주요 업그레이드를 통해 Solana 지원이 추가되고, 크로스 사이트 로컬 레이블이 추가되었으며, DeBank, Arkham 및 Merlin Scan이 강화되었습니다! 자세한 내용은 여기를 클릭하세요.

🎉🎉🎉

저희의 소중한 파트너인 DeFiHackLabsGCC로부터 35,000 USDT 그랜트를 수상했다는 소식을 전하게 되어 매우 기쁩니다. 이 자금은 초기 운영 자본으로 활용되어 Web3 보안 분야에서의 끊임없는 노력과 더 많은 인재 양성을 지원할 것입니다.

DeFiHackLabs의 이 값진 성과에 진심으로 축하를 전하며, 앞으로도 함께 더 많은 획기적인 성과를 이루어 나가길 바랍니다! 👏

Sign up for the latest updates
~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리
Security Insights

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리

이 주간 블록체인 보안 보고서는 2026년 6월 15일~21일을 다루며, 이더리움과 BNB 체인에서 3건의 주요 사고가 발생해 약 $18.3M의 손실이 발생했습니다. jaredFromSubway 사건은 MEV 봇이 차익거래를 위해 신뢰할 수 없는 제3자 컨트랙트에 자산을 승인한 역방향 승인 공격으로, 가짜 래퍼 토큰과 스왑 풀을 이용해 약 $15M 손실이 발생했습니다. Aztec은 이스케이프 해치 ZK 회로의 제약 누락으로 공격자가 가짜 머클 트리로 온체인 검증을 통과했습니다.

~$598만 달러 손실: Aztec, Raydium 등 | BlockSec 위클리
Security Insights

~$598만 달러 손실: Aztec, Raydium 등 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 8일~14일을 다루며, 이더리움과 솔라나에서 발생한 4건의 주요 사고를 분석하고 총 손실액은 약 598만 달러입니다. Aztec Connect의 입력 검증 누락으로 롤업 증명 경로와 L1 정산 불일치가 발생했고, Raydium의 레거시 AMM v3 검증 누락으로 LP 토큰 상환 계산이 조작되어 4개 풀이 탈취됐습니다. 두 취약점 모두 수년간 노출된 상태였습니다. 입력 검증 부재, 정수 오버플로우, 거버넌스 탈취 등의 공격 유형을 다룹니다.