[SlowMist] 슬로우미스트, 2020 DeFi, 거래소, 퍼블릭체인 분야 보안 및 개인정보 보호 사건(2) _체인뉴스

[SlowMist] 슬로우미스트, 2020 DeFi, 거래소, 퍼블릭체인 분야 보안 및 개인정보 보호 사건(2) _체인뉴스

​

2021.04.04

​

● EOS 프로젝트 EMD 실행

9월 9일, 슬로우미스트 정보에 따르면, EOS프로젝트 EMD가 도주한 것으로 의심된다. 지금까지 프로젝트 계약 emeraldmine1은 sji1111111 계정으로 78만 USDT, 49만 EOS, 5만6000 DFS를 이전했으며 12만1000 EOS는 changenow 코인 세탁 플랫폼으로 이전했다. 현재 손실 총 시장가치는 약 2,468,838달러이다.

​

● DeFi 유동성 채굴 프로젝트 “Coral” 공격

9월 10일, EOS 생태계 DeFi 유동성 채굴 프로젝트인 Coral의 wRAM이 해킹을 당해 12만 개 이상의 EOS를 잃었다.

​

● Bantiample BNB 현금화

9월 19일, 바이낸스 스마트 체인 프로젝트 Bantiample 팀은 3000개의 BNB를 현금화했고, 팀의 주요 개발자들은 텔레그램 계정을 삭제했으며, 프로젝트 코인 BMAP은 하루 동안 90% 넘게 떨어졌다.

​

● 이더리움 채굴 프로젝트 LV 금융 프로젝트 실행

9월 20일, 슬로우미스트에 따르면 이더리움 채굴 프로젝트 LV금융 프로젝트에서 이더리움 400만 개가 유실되었다고 알려졌는데, 이 사업은 허위감사사이트를 조작하여 허위감사정보를 제공하여 투자자를 유인하여 투자하게 하였으며, 일정기간 후 자금풀에 금액이 충분히 클 때 도주를 진행하였다고 한다.현재 이 사이트의 lv.finance 접속이 불가능하다.

​

● SushiSwap 디스크 시뮬레이션 프로젝트 GemSwap 실행

9월 26일, GemSwap의 SushiSwap 시뮬레이션 프로젝트로 LP가 휩쓸려간 것으로 드러났다. 조회 결과, 15시경에 트위터로 'whatitdobb' 개발자의 공격을 받은 것으로 밝혀졌으며, 이 프로젝트는 유동성 이동을 일찍이 완료한 것으로 파악되었지만, 공격을 한 개발자는 이전에 이미 허가받은 상태이며, 유동성 풀에 있는 토큰을 가져갈 수 있어 이번 공격으로 인한 정확한 피해는 알려지지 않았다.

​

● Eminence ( EMN ) 전격적인 대출 공격 당함

9월 29일, yearn finance의 창시자인 안드레 크론제(Andre Cronje)가 처음 내놓은 게임 프로젝트 Eminence(ENM)가 대출 공격을 당하자 해커는 800만 달러의 자금을 yearn 배포자에게 반환했다 .공격을 받은 800만 달러를 재분배할 것이다.

​

● DeFi Saver 거래소 취약점으로 인한 31만개 DAI 도난

10월 8일, 탈중앙화 지갑인 imToken은 DeFi Saver Exchange 취약성과 관련하여 31만 개의 DAI가 도난당했다고 보고했다. DeFi Saver 도난 자금은 여전히 안전하며 피해자에게 연락하고 있다고 답했다. 지금까지 자금은 모두 피해 사용자에게 반환되었다.

​

● 이더리움 프로젝트 WLEO 계약이 해킹됨

10월 11일 이더리움 프로젝트 WLEO가 해킹을 당해 4만2000달러 상당의 자금을 도난당했다. 해커는 자신에게 WLEO를 주조하고 이를 이더리움으로 바꿔서 탈중앙화 거래소인 Uniswap 풀에서 이더리움을 훔쳤다.

​

● Harvest.finance 플래시백 공격, 막대한 차익 실현

10월 26일, 디파이 채굴 프로젝트 Harvest.finance는 플래시백 기능으로 거액의 차익을 실현했다. Harvest.finaance측은 이번 스프레드 공격이 거액의 플래시 대출에서 시작됐으며 여러 차례 Curve y Pool의 가격을 조작해 fUSDT, fUSDC의 가격차에서 차익 거래를 통해 수익을 올렸다고 설명했다.

​

● SharkTron 익명 개발자 도주

11월 10일, 트론 기반 블록체인의 DeFi 프로젝트, JustSwap 화이트리스트 프로젝트, SharkTron의 익명 개발자 Daniel Wood가 도주하여 현재 정확한 손실은 알 수 없지만 3.66억에서 4억개의 TRX(약 1000만 달러)의 손실이 났다고 보고했다.

​

● Akropolis 계약은 여러 번 연속 공격 반복

11월 13일, 해커 이용 Akropolis 프로젝트에 존재하는 메모리 자산 검사 결함, 계약에 대한 연속적인 재진입 공격, Akropolis 계약은 새로운 자산의 주입 없이 많은 pooltokens를 추가할 수 있으며, 이러한 Pooltokens 를 이용하여 YCurve와 sUSD 풀에서 최종적으로 DAI를 추출한.203만개의 DAI가 손실되었다.

​

● Value DeFi 프로토콜에 대한 플래시 드라이브 공격

11월 15일, Value DeFi 협약은 토요일에 전격적으로 대출 공격을 받았다.공격자는 Aave 프로토콜로부터 80000 ETH를 빌려, 전격적인 대출 공격을 실행해, DAI와 USDC 사이에 차익을 올린 것으로 알려졌다.공격자는 740만 달러 DAI를 이용한 후 Value DeFi에 200만 달러를 반환하고 540만 달러를 보류했다.이후, Value DeFi 그룹에서 Mu를 확인했다.ltiStables vault는 복잡한 공격을 받아 순손실이 600만 달러에 이른다.

​

● 치즈뱅크 공격 피해 330만 달러

11월 16일 이더리움의 디지털 뱅킹 플랫폼 치즈뱅크가 해킹으로 330만 달러의 피해를 입었다.해커는 AMM 기반의 예언기를 이용하여 dYdX, Uniswap 등의 플랫폼에서 USDC 200만 달러 등 330만 달러 이상의 가치가 있는 악의적인 대출 조작을 수행하였다.。

​

● OUSD 번개+재진입 공격

11월 17일, DeFi 프로토콜 Origin Protocol 안정화 OUSD가 공격당했는데 공격자가 dYdX의 플래시 대출을 이용한 재진입 공격으로 770만 달러의 ETH와 DAI가 손실되었다.

​

● Pickle Finance 검증되지 않은 계약서 허점 이용

11월 22일, V신에게 트윗이 올라온 적이 있다. 칭찬의 글을 올린 DeFi 프로젝트 Pickle Finance는 검증되지 않은 새로운 스마트 계약의 허점을 해킹당하여 2000만 달러에 가까운 DAI 손실을 입었다.

​

● Compound 값이 잘못되어, 9000만 달러의 자산이 청산됨

11월 26일, 컴파운드 9000만 달러의 자산이 청산되었다.디뱅크 설립자인 hongbo는 이번 컴파운드 거액의 청산 사건은 예언기 데이터원인 코인베이스 프로의 DAI 가격이 급변동하면서 발생한 것이라며 예언기 의존적인 정보원을 조작함으로써 짧은 시간 내에 가격을 조작할 수 있어 가이드 체인의 가격을 오도할 수 있다고 밝혔다.

​

● SushiSwap 유동성 공급자 공격

11월 30일 슬로프존 정보에 의하면 이더리움 AMM 토큰 스와프 SushiSwap은 유동성 공급자의 공격을 받아 약 1만 5천 달러의 손실을 입었다.

​

● Warp Finance 플래시 대출 공격

12월 18일, 유동성 LP토큰 변제 담보대출 DeFi 프로토콜인 Warp Finance가 전격적인 대출 공격을 받아 약 800만 달러를 도난당했다.이후 Warp Finance는 전격적인 대출 공격에 대한 성명을 발표하였다.알려진 바에 따르면, 전격적인 대출 공격자는 최대 770만 달러의 안정화폐를 훔칠 수 있다고 하지만, Warp Finance 팀은 이미 계획을 세워서 회수하고 있다. 모기지금고에 있는 약 550만 달러의 안정화 화폐가 있다. 550만 달러는 피해를 입은 사용자에게 비례하여 분배될 것이다.

​

● Cover 계약서 구멍 해킹

트위터는 계정에 따르면 인센티브 계약서 때문에 누락됐다고 밝혔다. Cover Protocol은 300만 달러의 손실을 보았다. 또한,기존 공격자 (0xf05Ca....943DF)는 Cover 계약으로 약 1만개의 COVER를 증발했으며, 이를 WBTC와 DAI와 같은 자산으로 교체한 것으로 보인다. 백엔드 브라우저에 추가 COVER 발행을 통해 300만 달러를 벌었던 공격자(주소 라벨,Grap Finance: Deployer)에 대한 4350개의 ETH를 YieldFarming.insure: Deployer 의 주소로 반환한다. Cover Protocol 공식 트위터에서는 기존 스냅샷에 따라 새로운 COVER 코인을 제공한다고 밝혔다. 또한 공격자가 반환한 4350 ETH도 스냅샷 처리를 통해 LP 코인 소유자에게 반환된다.

​

슬로우미스트 관점

DeFi 프로젝트 열기 때문에 Defi를 겨냥한다. DeFi 프로젝트에 대한 해킹 공격이 활발해지고 수법도 고급화됐다. 투자자는 프로젝트 투자를 진행할 때 프로젝트 리스크에 주의해야 하며, 플랫폼용 스마트 계약이 개시되었는지, 플랫폼 자체의 보안 감사가 있는지, 스마트 계약에 문제가 없는지, 그리고 어떠한 DeFi 프로젝트에 접속하기 전에 반드시 전문 보안팀의 충분한 감사를 거쳐야 한다.

​

---

​

슬로우미스트(SlowMist) 테크놀로지 유한회사란?

 

샤먼(厦门)슬로미스트 테크놀로지 유한회사는 블록체인 생태 안전에 주력하고 있으며, 샤먼에 본사를 두고 있다, 10여 년 동안의 일선 사이버 보안 실전 경험을 갖고 있는 조직원들로 팀이 구성되었고 조직원들은 세계적인 영향력을 가진 안전 프로젝트를 만들었다. 중국 최초로 블록체인 생태 안전에 전념한 회사로서 슬로미스트는 이미 세계적으로 선두인 여러개 디지털통화거래소, 지갑, 말단 공유체인, 스마트계약 등의 프로젝트를 위해 보안감사 및 방어배치를 하였다. 슬로미스트의 보안 해결방안은 보안 감사, 보안 컨설턴트, 방어 배치, 위협 정보(BTI), 버그 바운티 등과 같은 서비스 및 관련 보안 제품 세트를 포함한다.업계에서는 여러 건의 통용 고위험 보안 취약점을 독립적으로 발견하여 공표한 바 있으며, 업계의 폭넓은 관심과 인정을 받았다.비트코인, 모네로, 이더리움, EOS, YOYOW, 온톨로지, Vechian등 세계적으로 유명한 퍼블릭 블록체인을 연구하는 것 외에도, 슬로미스트는 특히 이더리움과 EOS생태가 DApp의 안전공방 대결,보안감사 와 방어에 대한 스마트 계약 수백개를 깊이 연구하고 있다.블록체인 생태계에 안정감을 주는 것이 슬로미스트가 추구하는 방향이다.

홈페이지: https://www.slowmist.com/kr/index.html

슬로우미스트 협업 문의: kr@slowmist.io

​

​

---

 

​

윈크립토 (Winkrypto)는 디지털 자산 시장의 통합 마케팅에 집중하고 혁신적인 프로젝트의 가치를 전달합니다.

중화권의 가장 큰 통합 마케팅 전문 회사로써

블록체인(Blockchain)과 핀테크(FinTech) 트렌드를 선도하고 있는

IT 커뮤니티 및 주류 미디어, 금융 기관들과 긴밀한 파트너십 관계를 맺고 있습니다.

​

윈크립토코리아 홈페이지:http://winkrypto.kr

공식 카카오톡 오픈채팅방: https://open.kakao.com/o/glR1VB1c

텔레그램 그룹: https://t.me/winkryptokorea

​​

사업제휴 문의

kr@winkrypto.com