Back to Blog

월간 보안 검토: 2024년 5월

June 1, 2024
3 min read

한눈에 보는 보안 👀

DeFi 익스플로잇

  • Gala Game

5월 20일, Gala 관리자의 개인 키가 탈취되었고, 공격자는 50억 개의 GALA 토큰을 발행하여 블록체인에서 $21M 상당의 토큰으로 교환했습니다. 이후 Gala의 공식 보고서에 따르면, 이번 침해는 제3자 계약업체와 관련이 있으며, 무단 사용자 제거를 포함한 내부 절차가 이후 수정되었다고 밝혔습니다. 내부 단서에 대한 조사 결과, 공격자의 신원이 확인되었고 탈취된 자산은 전액 반환되었습니다.

공식 보고서: Gala News

프로젝트 팀의 경우, 권한 있는 작업에 대한 필요한 모니터링 시스템을 구축하는 것이 중요합니다. 개인 키의 부적절한 관리는 내부 및 외부 공격자가 관리자 권한이나 개인 키에 접근할 수 있는 심각한 위험을 초래합니다. 이 사례에서 Phalcon을 활용했다면 손실을 방지할 수 있었을 것입니다.

  • Sonne Finance 사건

5월 14일, Optimism의 Sonne Finance가 익스플로잇되어 $2,000만 이상의 손실이 발생했습니다. 근본 원인은 Compound V2의 정밀도 손실이었습니다. Sonne 팀은 이 문제를 인지하고 있었으며 마켓 배포 시 유동성을 추가하여 문제를 방지할 계획이었으나, 공격자가 취약점을 악용했습니다. 타임락에 예약된 여러 트랜잭션이 누구나 실행할 수 있는 상태로 남겨져 있었고, 공격자는 유동성을 추가하지 않은 채 마켓 배포를 실행하여 익스플로잇을 완료했습니다.

Sonne이 Phalcon을 사용했다면, 공격을 더 빨리 감지하여 손실을 $2,000만이 아닌 $300만으로 제한할 수 있었을 것입니다. 자세히 알아보기

  • TCH

5월 17일, TSC가 BSC 네트워크에서 서명 재사용 문제로 인해 $11K 이상의 손실을 입는 공격을 받았습니다. 개발자들은 최소 세 가지 유형의 서명 가변성(Signature Malleability)을 인지해야 합니다:

ECDSA의 특성상, (r, s, v)가 유효하다면 (r, secp256k1n-s, 55-v)도 유효합니다. Ethereum의 ecrecover가 두 가지 모두를 허용하기 때문입니다. 이를 해결하기 위해, OpenZeppelin 서명 라이브러리는 s가 secp256k1n/2+1보다 작도록 제한합니다. (OpenZeppelin Contracts)

v의 값과 관련하여, 0과 27은 동일한 의미이며 1과 28도 마찬가지로, 27은 코딩 표준입니다. 일부 라이브러리는 검증 전에 0과 1을 27과 28로 변환하지만, OpenZeppelin은 현재 27과 28만 지원합니다.

OpenZeppelin은 이전에 두 가지 유형의 바이트 서명을 지원했습니다. 하나는 s 뒤에 별도의 바이트로 v가 오는 방식이고, 다른 하나는 s의 상위 비트에 v가 포함되는 방식입니다. (Malleable Signatures)

  • TonUP

TON 체인의 프로젝트인 TonUP은 스테이킹 컨트랙트가 해킹당했다고 발표하며, 사용자 보상을 위해 307,264개의 토큰을 재매입하기 위한 자금을 할당할 계획이라고 밝혔습니다. 새로운 생태계는 새로운 기회를 가져오는 동시에 해킹의 위협도 수반합니다.

🫡 5월 주요 공격의 공격 트랜잭션, 근본 원인 및 PoC는 모두 검토를 위해 보안 사고 목록에 기록되어 있습니다.

피싱

  • Pink Drainer

Pink Drainer가 충분히 수익을 올렸다고 주장하며 은퇴 계획과 함께 서비스 종료를 발표했습니다. 그러나 무대에서 물러나는 것이 그들이 예상하는 것만큼 간단하지 않을 수 있습니다.

  • 웨일의 주소 포이즈닝 공격

5월 3일, 한 웨일이 주소 포이즈닝 공격을 당해 약 $7,000만 상당의 1,155 WBTC를 잃었습니다. 다행히도 지속적인 커뮤니티의 노력 끝에 공격자가 자금을 반환했습니다. 피싱 공격은 소셜 엔지니어링을 수반하며 DeFi 전문가도 표적이 될 수 있습니다. 항상 경계를 늦추지 마세요!

법적 조치

5월 15일, 미국 법무부는 이더리움 블록체인을 공격하고 $2,500만 상당의 암호화폐를 탈취한 혐의로 두 형제를 체포했다고 발표했습니다. 이 공격자들은 Flashbot Relay의 취약점을 악용하여 MEV 봇을 공격했습니다. 이는 매우 정교한 공격이었으며, 심층 분석은 여기에서 확인할 수 있습니다.

법무부의 보도 자료는 여기에서 읽어보세요.

블로그 기사

Phalcon 가상 체험 여정

😎 해커와의 생사를 건 전투를 준비하셨나요?

무료로 "Phalcon 가상 체험 여정"에 참여하시기 바랍니다.

해커와 맞서 싸우고, 실제 온체인 공격에 대응하며, 자동화된 공격 차단 플랫폼 Phalcon을 활용하여 수백만 달러의 자산을 지키세요! 당신도 영웅이 될 준비가 되셨나요?

MetaSuites, 이제 Solana를 지원합니다!

MetaSuites 5.0 주요 업그레이드를 통해 Solana 지원이 추가되고, 크로스 사이트 로컬 레이블이 추가되었으며, DeBank, Arkham 및 Merlin Scan이 강화되었습니다! 자세한 내용은 여기를 클릭하세요.

🎉🎉🎉

저희의 소중한 파트너인 DeFiHackLabsGCC로부터 35,000 USDT 그랜트를 수상했다는 소식을 전하게 되어 매우 기쁩니다. 이 자금은 초기 운영 자본으로 활용되어 Web3 보안 분야에서의 끊임없는 노력과 더 많은 인재 양성을 지원할 것입니다.

DeFiHackLabs의 이 값진 성과에 진심으로 축하를 전하며, 앞으로도 함께 더 많은 획기적인 성과를 이루어 나가길 바랍니다! 👏

Sign up for the latest updates
뉴스레터 - 2026년 6월
Security Insights

뉴스레터 - 2026년 6월

이 월간 보고서는 2026년 6월의 3대 보안 사고를 다루며, 총 확인 손실액은 약 2,200만 달러입니다. 정교한 허니팟 공격으로 미확인 토큰 허용량을 악용해 JaredFromSubway의 MEV 봇에서 약 1,500만 달러가 유출됐습니다. 두 레거시 Aztec 롤업 배포에서 증명 정산 경계 취약점으로 약 435만 달러가 손실됐습니다. SecondFi의 Ed25519 구현 결함으로 지갑 개인키가 노출되어 374개 지갑에서 약 240만 달러가 유출됐습니다. 세 사고 모두 표면상 온전해 보였지만 실제로는 적용되지 않은 보안 보장이라는 공통 패턴을 공유합니다.

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리
Security Insights

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리

이 주간 블록체인 보안 보고서는 2026년 6월 15일~21일을 다루며, 이더리움과 BNB 체인에서 3건의 주요 사고가 발생해 약 $18.3M의 손실이 발생했습니다. jaredFromSubway 사건은 MEV 봇이 차익거래를 위해 신뢰할 수 없는 제3자 컨트랙트에 자산을 승인한 역방향 승인 공격으로, 가짜 래퍼 토큰과 스왑 풀을 이용해 약 $15M 손실이 발생했습니다. Aztec은 이스케이프 해치 ZK 회로의 제약 누락으로 공격자가 가짜 머클 트리로 온체인 검증을 통과했습니다.