Back to Blog

월간 보안 검토: 2024년 3월

April 1, 2024
3 min read

한눈에 보는 보안 👀

2024년 3월, DeFi 익스플로잇으로 인해 약 8,100만 달러의 손실이 발생했습니다. 다행히도, 관련된 모든 당사자들의 노력 덕분에 대부분의 자금이 회수되었거나 협상이 진행 중입니다.

  • PrismaFi 익스플로잇 사건

3월 28일, 이더리움의 PrismaFi가 공격을 받아 약 1,100만 달러의 손실이 발생했습니다. 근본 원인은 미검증 사용자 입력이었습니다. 주목할 점은, 이 공격이 10건 이상의 트랜잭션으로 수행되었으며, 2명의 모방 공격자가 있었다는 것입니다. 프로젝트 팀은 첫 번째 공격 후 90분이 넘어서야 멀티시그를 통해 컨트랙트를 일시 정지할 수 있었습니다. 이 공격 중 **Phalcon**을 사용하여 단일 서명 긴급 일시 정지를 구현했다면 손실을 크게 줄일 수 있었을 것입니다.

주요 공격자는 자금을 반환할 의사를 표명했으며, 프로젝트 팀과의 협상이 아직 진행 중입니다. 협상 대화 내용을 확인하세요.

  • Munchables 사건

3월 27일, Blast L2의 Munchables에서 6,200만 달러의 자산이 탈취되었습니다. 이 사건은 개발자들이 구현한 악의적인 업그레이드로 인해 발생했습니다(컨트랙트는 오픈소스가 아니었습니다). 다행히도 프로젝트 팀과 Blast L2 핵심 팀이 조치를 취했고, 개발자는 자금을 반환했습니다. 현재 모든 자금은 Blast L2 핵심 팀이 관리하는 Safe{wallet}에 보관되어 있습니다.

보관 성명; 타임라인; 사건에 대해 더 자세히 알아보려면 여기를 클릭하세요.

  • ParaSwap 익스플로잇 사건

3월 19일부터 3월 21일까지 여러 ParaSwap 사용자가 공격을 받아 총 최소 30만 달러의 손실이 발생했습니다. 근본 원인은 접근 제어 문제였습니다. 주목할 점은 주요 공격자가 자산의 90%를 반환했다는 것입니다.

  • Unizen 익스플로잇 사건

3월 08일, 이더리움과 폴리곤의 Unizen이 익스플로잇을 당해 280만 달러의 손실이 발생했습니다. 근본 원인은 미검증 사용자 입력 문제였습니다. DeFi 사용자들은 정기적으로 승인 내역을 확인하고 경계를 늦추지 마세요!

또한, 화이트햇들이 bloXroute의 Semi-Private RPC를 통해 폴리곤에서 구조 트랜잭션을 전송했지만, 구조 트랜잭션이 멤풀에 전송되어 MEV 봇에 의해 선점당해 논란이 되었습니다. 이에 대해 더 읽어보세요.

  • TGBS 토큰 익스플로잇 사건

3월 06일, BSC의 TGBS 토큰이 익스플로잇을 당해 15만 달러의 손실이 발생했습니다. 흥미롭게도, 불과 한 시간 전에 소유자가 변경한 내용이 공격을 유발했기 때문에, 이는 또 다른 러그풀일 수 있습니다. 알림 확인하기

  • WooFi 익스플로잇 사건

3월 05일, 아비트럼의 WooFi가 익스플로잇을 당해 875만 달러의 손실이 발생했습니다. 근본 원인은 취약한 가격 의존성 문제였습니다. WooFi의 대출 시장은 $Woo의 가격이 극도로 저렴하게 조작되어, 공격자가 플래시론을 통해 대량의 $Woo를 빌리고 쉽게 상환할 수 있었기 때문에 악용되었습니다.

가격 메커니즘이 가격 확인을 위해 체인링크의 오라클을 활용했지만, 아비트럼의 체인링크는 $Woo의 가격을 제공하지 않아 공격을 막지 못했습니다. 사후 분석 보고서 읽기

👉 위 사건들의 공격 트랜잭션, 근본 원인 및 PoC를 보안 사건 목록에서 확인하실 수 있습니다.

블로그 기사 & 영상

L2 체인이 주요 프로토콜의 보안을 강화하고 체인 상의 사용자 자산을 보호하기 위해 구현할 수 있는 여러 가지 조치들입니다.

BlockSec으로 프로토콜의 전체 수명주기를 보호하세요. 출시 전 보안 감사부터 출시 후 공격 모니터링 및 차단(Phalcon)까지, 모든 것을 지원합니다.

BlockSec CEO 야진 저우(Yajin Zhou)가 ETHDenver 2024의 Open Information House 무대에 올라 "BlockSec & 보안의 최전선"이라는 제목의 중요한 연설을 했습니다.

블록체인 보안에 대한 사고방식을 바꿀 수 있는 흥미롭고 통찰력 있는 토론의 기회를 놓치지 마세요.

파트너십

Blockscout 블록체인 탐색기가 MetaSuites주소 레이블 (이더리움, 폴리곤, 그노시스, 옵티미즘베이스)과 GPT 기반 트랜잭션 설명 (이더리움) 기능을 통합했으며, Phalcon Explorer에 대한 빠른 접근도 추가했습니다. 🎉🎉

새로운 사이트, 새로운 시작

흥미로운 소식이 있습니다 – 저희 웹사이트가 완전히 새롭게 바뀌었습니다!

BlockSec은 출시 전부터 출시 후 단계까지 모든 과정에서 프로토콜이 안전하게 유지될 수 있도록 지원합니다! 탐색하려면 **여기**를 클릭하세요.