[SlowMist] 슬로우미스트, 2020 DeFi, 거래소, 퍼블릭체인 분야 보안 및 개인정보 보호 사건(1) _체인뉴스

[SlowMist] 슬로우미스트, 2020 DeFi, 거래소, 퍼블릭체인 분야 보안 및 개인정보 보호 사건(1) _체인뉴스

​

2021.03.31

​

​

일반 사용자는 어떻게 암호 자산의 보안과 프라이버시를 보호하는가?

​

2020년은 어느 모로 보나 블록체인과 디지털 화폐에 있어 특별한 해였다. 우리는 DeFi와 개방형 금융 생태계의 폭발적인 성장을 지켜보았다. 우리는 새로운 기술 인프라의 대표주자 중 하나인 블록체인이 포함되는 것을 목격했다. 중국에서 중앙은행 디지털 화폐(CBDC)의 출시함과 동시에 많은 국가에서 블록체인에 관심을 기울이고 개발하기 시작했다. 전세계 블록체인의 "경쟁"이 이미 시작되었다.

​

슬로우미스트 블록체인의 hacked.slowmist.io (hacked.slowmist.io)에 따르면, 2020년 블록체인 생태계에 공개된 블록체인 보안 사고는 총 122건이었으며 그중 54 건은 스마트 컨트랙트 및 토큰 보안 사고였다. 거래소 보안 사고 29 건, 퍼블릭 체인 공격 12 건, 지갑 공격 12 건, 기타 공격 15 건이었다.

[슬로우미스트] 블록체인이 해킹된 아카이브에 의해 공격당한 사건 누적

​

다양한 애플리케이션의 구현으로, 블록체인 디지털 자산으로 인한 보안 문제가 일반적으로 증가하고 있다. 디지털 화폐 범죄는 매우 다양하며, 화폐 도용, 사기, 불법 자금 조달, 자금 세탁, 다크웹에서의 불법 거래, 범죄 등의 사건이 빈번하게 발생하고 있으며, 각종 원인으로 인해 블랙 스완 사건이 끊임없이 발생하고 있다. 데이터 통계를 보면 올해 스마트 컨트랙트 보안 사고가 크게 증가했으며 거래소 공격도 상대적으로 큰 비율을 차지하고 있음을 알 수 있다. 디지털 통화사기·협박·자금 세탁은 거의 매달 발생하고 있다.

​

​

슬로우미스트 테크놀로지는 2020년 블록체인의 보안과 개인 정보 보호 생태계에 영향을 미치는 중요한 사건들을 정리하고, 독자들에게 사건들의 상세한 이해를 돕고, 동시에 각각의 사건에 대해 슬로우미스트의 관점을 덧붙일 것이다.비록 본문에서는 빙산의 일각만을 열거하고 있지만, 매우 큰 대표성이 있다. 이 기사를 통해서 2020년 블록체인 생태계의 비범함도 엿볼 수 있다.

​

DApp & DeFi 보안사고

​

●bZx 두 번의 대출 공격 급습

2월 15일 디파이 대출 프로토콜 bZx가 공격을 받아, 해커는 동시에 여러 프로토콜에서 전격적인 대출 레버리지 차익 거래를 달성하여, 35만 달러의 상당의 ETH를 도난당했다. 2월 18일, bZx는 다시 대출 공격을 받았으며, 해커는 오라클 가격을 통제하여 2,388개의 ETH를 얻었으며, 약 64만 4천 달러의 수익을 획득했다.(상해 참조: SlowMist: DeFi 프로토콜 bZx 2차 해킹)

​

●MakerDAO 비정상 청산 매커니즘

3월 12일 이더리움의 가격이 급격하게 하락함에 따라, MakerDAO의 대량 모기지 채권은 청산 임계값 아래로 떨어지면서 청산 프로세스가 실행되었다. .청산에 참여해야 할 청산봇(Keeperbot)이 낮은 가스 값으로 인해 입찰에 막았고 청산자(Keeper)가 경쟁자 없이 0DAI로 입찰로 낙찰됐다.

​

●Uniswap의 ERC777 재진입 위험

4월 18일, DeF 이용플랫폼 Uniswap과 ERC777 표준의 호환성 문제 결함으로 인해 Uniswap에 대한 재진입 공격되었다. 구체적으로, 해커는 ETH-imBTC를 거래할 때 ERC777 표준에서 계좌이체를 하는 tokensToSend 콜백 기능을 사용했으며 총 34만 달러의 수익을 실현했다.(상해 참조:SlowMist : Uniswap의 ERC777 재진입 위험에 대한 설명)

​

●DeFi 플랫폼 Lendf.Me 재진입 취약성 문제

4월 19일 이더리움 DeFi 플랫폼 Lendf.Me가 재진입 취약성으로 공격을 받으며 약 2500만 달러의 손실을 입었다. SlowMist 보안팀이 도난당한 자산을 복원하는 데 도움을 주었다.(참조: SlowMist : DeFi 플랫폼 Lendf.Me 해킹 상세 분석 및 방어 제안 참조)

​

●DeFi 프로젝트 Hegic 코드의 취약점으로 고객 자산 영구 잠금

4월 27일, DeFi 프로젝트 Hegic 코드의 취약점으로 인해 사용자의 자산이 영구적으로 잠겼다. 이 프로젝트가 시작된 지 몇 시간 후, 코드 하나의 오류로 인해 이 플랫폼의 28,000 달러의 사용자 자금에 해당하는 스마트 컨트랙트가 잘못 잠겼는데, 이로 인해 기한을 넘긴 계약의 자금이 잠겨서 접근할 수 없게 되었다

​

●Bancor 새 계약서 보안 결함

6월 18일 새로운 Bancor Network 때문에 계약상 검증되지 않은 safeTransferFrom () 함수로 사용자 자금이 곧 소진될 것이다. Bancor 팀은 다음과 같이 말했다. 1.이전에 발표한 새로운 Bancor Network v0.6에서 보안상의 허점을 발견하였다. 2. 보안상의 허점을 발견한 후에 팀은 안전한 주소로 자금을 이전하기 위하여 화이트해킹을 실시하였다. 3. 스마트 컨트랙트 검토를 이미 마쳤다.하지만 135,229달러의 자금이 두 개의 미확인 차익 거래 로봇에 의해 선제적으로 거래되었다.

​

●Balancer 유동성 풀 2차 해킹으로 대출 공격

6월 29일, 유명 DeFi 플랫폼 Balancer 유동성 풀에 대한 전격적인 대출 공격으로 50만 달러의 손실을 입었다.Balancer 유동성 풀은 플래시 대출 공격을 받아 50만 달러의 손실을 입었으며, Balancer에서 STA와 StONK의 두 개의 코인 풀은 현재 유동성이 고갈되었다. 6월 30일, 해커는 다시 dYdX의 번개 대출을 이용하여 Balancer의 일부 유동성 광산의 COMP 거래를 공격하고, 수취하지 않은 COMP 인센티브를 풀에서 빼내어 2,408달러에 달하는 10.8 ETH의 수익을 얻었다.

​

●Vether (VETH) 해킹됨

7월 1일, VETH가 탈중앙화거래소 Uniswap에서 해킹을 당했다. 해커는 0.9ETH만으로 919,299 VETH (90만 달러 상당)를 훔쳐갔다. 공격 사건이 발생한 후 VETH는 공식적으로 "transferForm()에 있는 UX 개선에 이용된 계약은 우리의 잘못이라고 했다. vether4를 재배치하고 Uniswap 참여자들에게 보상할 것이다.

​

●Opyn 풋옵션이 외부 참가자에게 악의적으로 이용됨

8월 5일, 온체인 옵션 플랫폼 Opyn은 자사의 이더리움 풋옵션을 외부 참여자들에 의해 악용됐다고 공개했다. Opyn은 이더리움의 풋옵션을 제외한 모든 Opyn 계약은 이 같은 취약점의 영향을 받지 않는다고 지적했다. 해커는 oToken을 이중으로 이용하고 풋옵션 매도자의 저당자산을 훔쳤다. Opyn 통계에 따르면 현재까지 총 371,260개의 USDC가 도난당했다. Opyn 팀은 Convexity Protocol에 의한 화이트 해킹에 성공하여 지불하지 못한 무급 금고에서 439,170 USDC를 회수하여 손실을 복구했다.

​

●DeFi 프로젝트 YAM 계약의 취약점

8월 13일,잘 알려진 이더리움 DeFi 프로젝트 YAM은 공식 트위터를 통해 계약에 허점이 발견되었으며, 24시간 내에 가격이 99% 폭락하여 거버넌스 계약이 영구 파괴되고 75만 달러의 가치가 있는 Curve 토큰이 잠금되어 사용할 수 없게 되었다고 밝혔다.

​

●DeFi 프로젝트 YFValue 에서 YFV 콘솔에서 취약점 발견

8월 25일, DeFi 프로젝트 YFValue(YFV)는 어제 팀이 YFV 콘솔에서 발견한 취약점을 악용해 YFV 타이머를 단독으로 재설정하고 1억7000만달러의 자금을 유치할 위험이 있다고 공식 발표했다.이미 한 악의적인 참여자가 팀을 협박하였다.

​

​

체인뉴스 원문기사: https://www.chainnews.com/articles/834671832518.htm

​

​

---

슬로우미스트(SlowMist) 테크놀로지 유한회사란?

샤먼(厦门)슬로미스트 테크놀로지 유한회사는 블록체인 생태 안전에 주력하고 있으며, 샤먼에 본사를 두고 있다, 10여 년 동안의 일선 사이버 보안 실전 경험을 갖고 있는 조직원들로 팀이 구성되었고 조직원들은 세계적인 영향력을 가진 안전 프로젝트를 만들었다. 중국 최초로 블록체인 생태 안전에 전념한 회사로서 슬로미스트는 이미 세계적으로 선두인 여러개 디지털통화거래소, 지갑, 말단 공유체인, 스마트계약 등의 프로젝트를 위해 보안감사 및 방어배치를 하였다. 슬로미스트의 보안 해결방안은 보안 감사, 보안 컨설턴트, 방어 배치, 위협 정보(BTI), 버그 바운티 등과 같은 서비스 및 관련 보안 제품 세트를 포함한다.업계에서는 여러 건의 통용 고위험 보안 취약점을 독립적으로 발견하여 공표한 바 있으며, 업계의 폭넓은 관심과 인정을 받았다.비트코인, 모네로, 이더리움, EOS, YOYOW, 온톨로지, Vechian등 세계적으로 유명한 퍼블릭 블록체인을 연구하는 것 외에도, 슬로미스트는 특히 이더리움과 EOS생태가 DApp의 안전공방 대결,보안감사 와 방어에 대한 스마트 계약 수백개를 깊이 연구하고 있다.블록체인 생태계에 안정감을 주는 것이 슬로미스트가 추구하는 방향이다.

홈페이지: https://www.slowmist.com/kr/index.html

 

慢雾科技(SlowMist) - 专注区块链生态安全

首页 服务 产品 动态 关于 联系 客户 GitHub | 慢雾区 EN 专注区块链生态安全 慢而有为，雾释冰融 慢雾已提供的安全防御 70+ 交易所 110+ 钱包 40+ 公链 1200+ 智能合约 最新产品 商业型产品 社区类产品 其他产品 慢雾 AML 阻拦洗币，规避风险 假充值漏洞扫描器 一款让交易所安全充提的保障利器 热钱包安全网关 "热钱包避风港"，一键部署安全防护引擎 慢雾 Safe Staking 观测公链运行状态，即时监测安全异常 被黑档案库 区块链攻击事件一网打尽 FireWall.X 强大的 EOS 智能合约防火墙 EOS 天眼 洞悉 EOS 合约的一切 区块链蜜罐网络...

www.slowmist.com

​

---

윈크립토코리아

공식 카카오톡 오픈채팅방: https://open.kakao.com/o/glR1VB1c

텔레그램 그룹: https://t.me/winkryptokorea

​

​

윈크립토 (Winkrypto)는 디지털 자산 시장의 통합 마케팅에 집중하고 혁신적인 프로젝트의 가치를 전달합니다.

중화권의 가장 큰 통합 마케팅 전문 회사로써

블록체인(Blockchain)과 핀테크(FinTech) 트렌드를 선도하고 있는

IT 커뮤니티 및 주류 미디어, 금융 기관들과 긴밀한 파트너십 관계를 맺고 있습니다.

​

윈크립토코리아 홈페이지:http://winkrypto.kr

​

사업제휴 문의

kr@winkrypto.com