Back to Blog

뉴스레터 - 2026년 1월

Code AuditingPhalcon Security
February 1, 2026
3 min read
Key Insights

1월 DeFi 주요 사건 Top 3

Truebit Protocol: 약 $2,600만

2026년 1월 8일, 이더리움의 Truebit Protocol이 익스플로잇 공격을 받아 약 2,600만 달러의 손실이 발생했습니다. 이 사건은 강력한 스마트 컨트랙트 보안의 중요성을 다시 한번 강조합니다.

근본 원인은 TRU 토큰 구매 가격 산정 함수의 정수 오버플로우 취약점이었습니다. 해당 컨트랙트는 기본적으로 오버플로우 검사를 적용하지 않는 Solidity v0.6.10으로 컴파일되었습니다. 공격자는 구매 비용 계산 과정에서 큰 중간 값이 오버플로우되어 훨씬 작은 수로 되돌아오도록 입력 매개변수를 조작했습니다. 이를 통해 공격자는 최소한의 ETH 또는 ETH 없이도 대량의 TRU 토큰을 구매할 수 있었습니다.

공격자는 단일 공격 트랜잭션 내에서 TRU 토큰에 대한 매수 및 매도 작업을 반복 실행하며 여러 차례의 차익거래를 수행했습니다. 주목할 점은, 프로토콜이 즉각적인 매수-매도 차익거래를 방지하기 위해 의도적으로 매수와 매도 간 가격 비대칭을 설계했다는 것입니다. 그러나 취약한 컨트랙트가 오버플로우 보호 기능이 없는 구버전 Solidity로 배포되어 공격 표면이 노출되었고, 결국 프로토콜 준비금에서 8,535 ETH가 탈취되었습니다.

상세 공격 분석 보고서 읽기

BlockSec의 스마트 컨트랙트 감사로 dApp을 안전하게 보호하세요

정수 오버플로우와 같은 취약점이 프로토콜을 위협하지 못하도록 하세요. 당사의 전문 팀은 철저한 스마트 컨트랙트 감사를 통해 리스크가 고비용의 익스플로잇으로 이어지기 전에 식별하고 완화합니다.

Best Security Auditor for Web3

Validate design, code, and business logic before launch

SwapNet & Aperture: 약 $1,700만

2026년 1월 25일, SwapNet과 Aperture Finance가 공통 취약점으로 인한 공격을 받아 총 약 1,700만 달러의 손실이 발생했습니다. 이 공격은 Matcha Meta 사용자들에게 심각한 피해를 주었으며, 피해 자금은 1,300만 달러를 초과했습니다.

피해를 입은 두 컨트랙트 모두 비공개 소스였지만, 디컴파일된 바이트코드와 온체인 트랜잭션 추적을 분석하여 공격 경로를 재구성할 수 있었습니다. 근본 원인은 취약한 함수 내 핵심 사용자 입력값에 대한 불충분한 검증으로, 공격자가 악의적인 매개변수로 임의 호출을 실행할 수 있었습니다. 일련의 공격 트랜잭션에서 공격자들은 ERC20 transferFrom() 호출을 구성하여, 취약한 컨트랙트에 토큰 허용량을 이미 부여한 사용자들의 토큰을 탈취했습니다. 이는 DeFi의 일반적인 보안 위험을 잘 보여줍니다.

이번 공격에 연루된 두 프로토콜 모두 코드를 오픈소스로 공개하지 않아, 커뮤니티가 공개 검토를 통해 보안 취약점을 식별하기 어려웠습니다. 한편, 허용량 기반 공격 방식은 업계에 경각심을 불러일으킵니다. 사용자는 토큰 허용량을 신중하게 관리해야 하며, 프로토콜은 이러한 공격의 위험을 근본적으로 완화하기 위해 시간 잠금 또는 한도 설정 승인과 같은 보호 메커니즘을 구현해야 합니다.

Phalcon Security: 실시간 위협 모니터링 및 공격 차단

SwapNet 및 Aperture에 대한 것과 같은 정교한 공격에 선제적으로 대응하세요. Phalcon Security는 의심스러운 온체인 활동에 대한 실시간 모니터링과 알림을 제공하여 익스플로잇을 탐지하고 예방할 수 있도록 지원합니다.

Get Started with Phalcon Security

Detect every threat, alert what matters, and block attacks.

Try now for free

Saga: 약 $700만

2026년 1월 21일, Saga 생태계의 SagaEVM이 익스플로잇 공격을 받아 무단 토큰 발행과 약 700만 달러의 손실이 발생했습니다. 이 사건은 모든 계층에 걸친 강력한 블록체인 보안의 중요성을 강조합니다.

근본 원인이 아직 완전히 공개되지는 않았지만, 공식 소식에 따르면 SagaEVM이 상속한 Ethermint 및 CosmosEVM 코드의 공통 취약점이 공격으로 이어진 것으로 확인되었습니다. 공격자는 악성 스마트 컨트랙트를 배포하여 익스플로잇을 실행하고 상당한 양의 Saga Dollars를 발행했습니다. 성공적인 공격 이후, 탈취된 자금의 대부분은 크로스체인 브리지를 통해 신속하게 이더리움 네트워크로 이전되었습니다.

이 사건은 블록체인 생태계에서 코드 상속의 위험성을 부각시킵니다. 기반 코드베이스에 취약점이 존재할 경우, 해당 코드를 상속한 모든 프로젝트가 동일한 위협에 노출될 수 있으며, 이는 연쇄적인 보안 취약점을 초래합니다. 이러한 생태계에서는 포괄적인 인프라 감사가 필수적입니다.

위 정보는 2026년 1월 31일 00:00 UTC 기준 데이터를 바탕으로 합니다.

이것으로 1월 보안 사건 브리핑을 마칩니다. 블록체인 보안 사건 및 Web3 보안 트렌드에 대한 더 심층적인 분석은 당사의 리소스에서 확인하실 수 있습니다.

보안 사건 라이브러리에서 더 자세한 내용을 확인하세요.

항상 정보를 습득하고 안전하게 지내세요!

Sign up for the latest updates
~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리
Security Insights

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리

이 주간 블록체인 보안 보고서는 2026년 6월 15일~21일을 다루며, 이더리움과 BNB 체인에서 3건의 주요 사고가 발생해 약 $18.3M의 손실이 발생했습니다. jaredFromSubway 사건은 MEV 봇이 차익거래를 위해 신뢰할 수 없는 제3자 컨트랙트에 자산을 승인한 역방향 승인 공격으로, 가짜 래퍼 토큰과 스왑 풀을 이용해 약 $15M 손실이 발생했습니다. Aztec은 이스케이프 해치 ZK 회로의 제약 누락으로 공격자가 가짜 머클 트리로 온체인 검증을 통과했습니다.

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

BlockSec가 Web3 Companion을 오픈소스로 공개했습니다. 이 보안 중심의 에이전트 지갑은 자체 AI 에이전트를 신뢰하지 않는 방식으로 설계되었으며, 키 격리, 강력한 정책, Passkey를 활용해 온체인 자산을 보호합니다.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit

Get Real-Time Protection with Phalcon Security

Audits alone are not enough. Phalcon Security detects attacks in real time and blocks threats mid-flight.

phalcon security