Back to Blog

뉴스레터 - 2026년 3월

Code AuditingPhalcon Security
April 1, 2026
3 min read
Key Insights

3월 상위 3대 DeFi 사고

Resolv 프로토콜: 약 8,000만 달러

2026년 3월 22일, Resolv는 보안 침해를 당해 8,000만 달러*의 손실이 발생했습니다.

근본 원인은 권한 있는 인프라 키의 탈취였습니다. 탈취한 키를 이용해 공격자는 권한이 부여된 스왑 완료 흐름을 악용하여 세 번의 익스플로잇 트랜잭션에 걸쳐 동등한 담보 없이 8,000만 USR 이상을 발행했습니다. 근본 원인 자체는 단순했지만, 이 사고는 온체인과 오프체인 모두에서 광범위한 보안 통제의 부재를 드러냈습니다. 해당 프로젝트는 발행 승인 과정에서 엄격한 유효성 검증을 시행하지 않았으며, 침해를 적시에 감지하고 대응하기 위한 모니터링 전략도 갖추고 있지 않았습니다.

특히, 피해는 8,000만 건의 무단 USR 발행을 훨씬 넘어서 확산되었습니다. Resolv 자산이 여러 대출 프로토콜에서 담보로 널리 사용되었기 때문에, 디페깅은 더 광범위한 연쇄 피해를 촉발했습니다. Chaos Labs의 보고에 따르면, 자동화된 수익 추구 배분을 사용하는 온체인 큐레이터들은 실시간 리스크 통제 수단이 없어 이미 손상된 시장에 계속해서 신규 자본을 유입시켰습니다. 국소적인 익스플로잇으로 시작된 사건은 빠르게 크로스 프로토콜 연쇄 피해 사건으로 확대되어, 대출 프로토콜에 수백만 달러의 부실 채무를 남겼습니다.

*손실액은 USR의 페깅 가치 $1을 기준으로 추산되었습니다.

BitcoinReserveOffering: 약 270만 달러

2026년 3월 5일, 이더리움의 BitcoinReserveOffering 컨트랙트가 약 270만 달러 규모로 익스플로잇되었습니다.

근본 원인은 mint() 함수의 결함 있는 비즈니스 로직으로, 전체 ERC-3525 SFT 예치를 처리할 때 발행 로직이 두 번 실행되었습니다. ERC-3525ERC-721을 상속하기 때문에, 안전한 전송 시 onERC721Received() 콜백이 트리거됩니다. 콜백 내부에서 BRO 토큰 수량이 계산되어 호출자에게 발행되었습니다. 그러나 콜백이 반환된 후 외부의 mint() 함수가 재개되어 두 번째 발행 작업을 수행함으로써, 예치당 발행되는 BRO가 두 배로 늘어났습니다. 이를 통해 공격자는 공격 트랜잭션에서 반복적인 소각 및 발행 사이클을 통해 BRO 잔액을 부풀릴 수 있었습니다.

유사한 문제를 방지하기 위해, 프로토콜은 예치 작업당 자산 회계가 정확히 한 번만 이루어지도록 보장해야 하며, 콜백을 트리거할 수 있는 외부 호출 이전에 상태 업데이트가 커밋되어야 합니다. 또한, 발행 수량이 기초 예치 가치를 초과하지 않도록 보장하는 불변성 검사가 추가되어야 합니다.

Venus 프로토콜: 약 215만 달러

2026년 3월 15일, BNB 체인의 Venus THE(Thena) 마켓기부 공격시장 조작이 결합된 공격을 받았습니다. 이 사고로 프로토콜에 약 215만 달러의 부실 채무가 발생했으며, 공격자는 온체인에서 순 약 470만 달러의 손실을 입었습니다.

Venus는 Compound V2 포크 대출 프로토콜입니다. 피해를 입은 마켓은 온체인 유동성이 얕은 THE를 기초 자산으로 사용합니다. 마켓 컨트랙트가 컨트랙트의 원시 잔액으로부터 totalCash를 도출하기 때문에 기부 공격이 가능했습니다. 이를 통해 공격자는 THE를 마켓에 직접 기부하여 totalCash를 증가시키고 exchangeRate를 부풀렸습니다. 부풀려진 담보를 이용해 공격자는 유동 자산을 빌려 더 많은 THE로 교환하고 THE의 시장 가격을 끌어올렸습니다. 이렇게 획득한 THE 토큰은 마켓에 추가로 기부되어 공격의 영향을 지속적으로 확대시켰습니다.

이 사고는 대출 프로토콜에 회계 로직과 리스크 구성이라는 두 가지 측면에서 경고를 제시합니다. 프로토콜은 자산 가치를 정확하게 반영하고 기부 공격으로 왜곡될 수 없는, 조작 저항성 있는 회계 메커니즘을 구현해야 합니다. 또한, 공급 한도, 대출 한도, LTV(담보 인정 비율)와 같은 핵심 리스크 파라미터는 프로토콜 노출을 제한하도록 신중하게 구성되어야 합니다.

자세한 분석은 다음 심층 분석 게시물을 참고하세요:

https://blocksec.com/blog/venus-thena-donation-attack

위 정보는 2026년 3월 31일 00:00 UTC 기준 데이터를 바탕으로 합니다.

이것으로 3월 보안 사고 브리핑을 마칩니다. 블록체인 보안 사고 및 Web3 보안 트렌드에 대한 더 심층적인 분석은 저희 리소스를 통해 확인하실 수 있습니다.

보안 사고 라이브러리에서 더 자세한 내용을 확인하세요.

항상 정보를 파악하고 안전하게 지내세요!

Sign up for the latest updates
~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리
Security Insights

~$18M 손실: jaredFromSubway, Aztec 등 | BlockSec 위클리

이 주간 블록체인 보안 보고서는 2026년 6월 15일~21일을 다루며, 이더리움과 BNB 체인에서 3건의 주요 사고가 발생해 약 $18.3M의 손실이 발생했습니다. jaredFromSubway 사건은 MEV 봇이 차익거래를 위해 신뢰할 수 없는 제3자 컨트랙트에 자산을 승인한 역방향 승인 공격으로, 가짜 래퍼 토큰과 스왑 풀을 이용해 약 $15M 손실이 발생했습니다. Aztec은 이스케이프 해치 ZK 회로의 제약 누락으로 공격자가 가짜 머클 트리로 온체인 검증을 통과했습니다.

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

Web3 컴패니언: 오픈소스 보안 에이전틱 지갑

BlockSec가 Web3 Companion을 오픈소스로 공개했습니다. 이 보안 중심의 에이전트 지갑은 자체 AI 에이전트를 신뢰하지 않는 방식으로 설계되었으며, 키 격리, 강력한 정책, Passkey를 활용해 온체인 자산을 보호합니다.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit

Get Real-Time Protection with Phalcon Security

Audits alone are not enough. Phalcon Security detects attacks in real time and blocks threats mid-flight.

phalcon security