Back to Blog

월간 보안 검토: 2024년 3월

April 1, 2024
3 min read

한눈에 보는 보안 👀

2024년 3월, DeFi 익스플로잇으로 인해 약 8,100만 달러의 손실이 발생했습니다. 다행히도, 관련된 모든 당사자들의 노력 덕분에 대부분의 자금이 회수되었거나 협상이 진행 중입니다.

  • PrismaFi 익스플로잇 사건

3월 28일, 이더리움의 PrismaFi가 공격을 받아 약 1,100만 달러의 손실이 발생했습니다. 근본 원인은 미검증 사용자 입력이었습니다. 주목할 점은, 이 공격이 10건 이상의 트랜잭션으로 수행되었으며, 2명의 모방 공격자가 있었다는 것입니다. 프로젝트 팀은 첫 번째 공격 후 90분이 넘어서야 멀티시그를 통해 컨트랙트를 일시 정지할 수 있었습니다. 이 공격 중 **Phalcon**을 사용하여 단일 서명 긴급 일시 정지를 구현했다면 손실을 크게 줄일 수 있었을 것입니다.

주요 공격자는 자금을 반환할 의사를 표명했으며, 프로젝트 팀과의 협상이 아직 진행 중입니다. 협상 대화 내용을 확인하세요.

  • Munchables 사건

3월 27일, Blast L2의 Munchables에서 6,200만 달러의 자산이 탈취되었습니다. 이 사건은 개발자들이 구현한 악의적인 업그레이드로 인해 발생했습니다(컨트랙트는 오픈소스가 아니었습니다). 다행히도 프로젝트 팀과 Blast L2 핵심 팀이 조치를 취했고, 개발자는 자금을 반환했습니다. 현재 모든 자금은 Blast L2 핵심 팀이 관리하는 Safe{wallet}에 보관되어 있습니다.

보관 성명; 타임라인; 사건에 대해 더 자세히 알아보려면 여기를 클릭하세요.

  • ParaSwap 익스플로잇 사건

3월 19일부터 3월 21일까지 여러 ParaSwap 사용자가 공격을 받아 총 최소 30만 달러의 손실이 발생했습니다. 근본 원인은 접근 제어 문제였습니다. 주목할 점은 주요 공격자가 자산의 90%를 반환했다는 것입니다.

  • Unizen 익스플로잇 사건

3월 08일, 이더리움과 폴리곤의 Unizen이 익스플로잇을 당해 280만 달러의 손실이 발생했습니다. 근본 원인은 미검증 사용자 입력 문제였습니다. DeFi 사용자들은 정기적으로 승인 내역을 확인하고 경계를 늦추지 마세요!

또한, 화이트햇들이 bloXroute의 Semi-Private RPC를 통해 폴리곤에서 구조 트랜잭션을 전송했지만, 구조 트랜잭션이 멤풀에 전송되어 MEV 봇에 의해 선점당해 논란이 되었습니다. 이에 대해 더 읽어보세요.

  • TGBS 토큰 익스플로잇 사건

3월 06일, BSC의 TGBS 토큰이 익스플로잇을 당해 15만 달러의 손실이 발생했습니다. 흥미롭게도, 불과 한 시간 전에 소유자가 변경한 내용이 공격을 유발했기 때문에, 이는 또 다른 러그풀일 수 있습니다. 알림 확인하기

  • WooFi 익스플로잇 사건

3월 05일, 아비트럼의 WooFi가 익스플로잇을 당해 875만 달러의 손실이 발생했습니다. 근본 원인은 취약한 가격 의존성 문제였습니다. WooFi의 대출 시장은 $Woo의 가격이 극도로 저렴하게 조작되어, 공격자가 플래시론을 통해 대량의 $Woo를 빌리고 쉽게 상환할 수 있었기 때문에 악용되었습니다.

가격 메커니즘이 가격 확인을 위해 체인링크의 오라클을 활용했지만, 아비트럼의 체인링크는 $Woo의 가격을 제공하지 않아 공격을 막지 못했습니다. 사후 분석 보고서 읽기

👉 위 사건들의 공격 트랜잭션, 근본 원인 및 PoC를 보안 사건 목록에서 확인하실 수 있습니다.

블로그 기사 & 영상

L2 체인이 주요 프로토콜의 보안을 강화하고 체인 상의 사용자 자산을 보호하기 위해 구현할 수 있는 여러 가지 조치들입니다.

BlockSec으로 프로토콜의 전체 수명주기를 보호하세요. 출시 전 보안 감사부터 출시 후 공격 모니터링 및 차단(Phalcon)까지, 모든 것을 지원합니다.

BlockSec CEO 야진 저우(Yajin Zhou)가 ETHDenver 2024의 Open Information House 무대에 올라 "BlockSec & 보안의 최전선"이라는 제목의 중요한 연설을 했습니다.

블록체인 보안에 대한 사고방식을 바꿀 수 있는 흥미롭고 통찰력 있는 토론의 기회를 놓치지 마세요.

파트너십

Blockscout 블록체인 탐색기가 MetaSuites주소 레이블 (이더리움, 폴리곤, 그노시스, 옵티미즘베이스)과 GPT 기반 트랜잭션 설명 (이더리움) 기능을 통합했으며, Phalcon Explorer에 대한 빠른 접근도 추가했습니다. 🎉🎉

새로운 사이트, 새로운 시작

흥미로운 소식이 있습니다 – 저희 웹사이트가 완전히 새롭게 바뀌었습니다!

BlockSec은 출시 전부터 출시 후 단계까지 모든 과정에서 프로토콜이 안전하게 유지될 수 있도록 지원합니다! 탐색하려면 **여기**를 클릭하세요.

Sign up for the latest updates
암호화폐 결제 보안 및 규정 준수: 라이브 전에 확인해야 할 통제 사항

암호화폐 결제 보안 및 규정 준수: 라이브 전에 확인해야 할 통제 사항

BlockSec와 NOWPayments가 공동으로 제작한 암호화폐 결제 보안 및 컴플라이언스 체크리스트로, 결제 운영자가 서비스 출시 전 반드시 확인해야 할 핵심 통제 항목을 담고 있습니다.

뉴스레터 - 2026년 6월
Security Insights

뉴스레터 - 2026년 6월

이 월간 보고서는 2026년 6월의 3대 보안 사고를 다루며, 총 확인 손실액은 약 2,200만 달러입니다. 정교한 허니팟 공격으로 미확인 토큰 허용량을 악용해 JaredFromSubway의 MEV 봇에서 약 1,500만 달러가 유출됐습니다. 두 레거시 Aztec 롤업 배포에서 증명 정산 경계 취약점으로 약 435만 달러가 손실됐습니다. SecondFi의 Ed25519 구현 결함으로 지갑 개인키가 노출되어 374개 지갑에서 약 240만 달러가 유출됐습니다. 세 사고 모두 표면상 온전해 보였지만 실제로는 적용되지 않은 보안 보장이라는 공통 패턴을 공유합니다.

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리
Security Insights

~$410만 손실: Taiko, SecondFi 익스플로잇 | BlockSec 위클리

이 주간 블록체인 보안 리포트는 2026년 6월 22~28일 발생한 주요 사건 2건을 다루며, 이더리움과 카르다노에서 약 410만 달러의 피해가 확인됐습니다. Taiko 브릿지 공격은 노출된 SGX 서명 키와 디버그 엔클레이브를 거부하지 못한 증명 정책 결함을 이용해 악성 증명자를 등록하고 L2 상태 증명을 위조했습니다. SecondFi 지갑은 Ed25519 논스 도출 시 비밀 입력이 제거되는 결함으로 공개 트랜잭션 데이터만으로 개인 키 복구가 가능했습니다.