Web3에서 발생한 최대 규모의 DeFi 취약점: 유사한 보안 침해를 예방하는 방법

탈중앙화 금융(DeFi) 프로토콜은 사용자에게 탈중앙화 금융 서비스를 제공하여 다른 참여자들과 거래를 하고 계약을 체결할 수 있도록 합니다. DeFi 프로토콜은 사용자에게 안전하고 신뢰할 수 있는 플랫폼을 제공하는 것을 목표로 하지만, 최근 몇 년 동안 발생한 여러 공격으로 인해 상당한 자금 손실이 발생했습니다. 이 글에서는 최근 발생한 가장 큰 규모의 DeFi 공격 사례 몇 가지를 살펴보겠습니다.

반환된 자금을 차감한 후 웹3에서 발생하는 주요 암호화폐 DeFi 취약점 8가지를 소개합니다

로닌 체인 – 6억 달러

2023년 3월은 암호화폐 업계에 있어 여러 사건이 발생한 달이었으며, Axie Infinity Ronin 브리지 해킹 사건이 6억 1200만 달러의 손실을 기록하며 가장 큰 피해를 입혔습니다.

로닌 브리지는 인기 있는 플레이 투 언(Play-to-Earn) 게임인 액시 인피니티(Axie Infinity)에 사용되는 Ethereum 사이드체인입니다.

북한과 연관된 것으로 추정되는 사이버 범죄 조직 라자루스는 9명의 거래 검증자 개인 키에 접근하여 두 건의 대규모 거래를 승인하고 자금을 해당 지갑 주소에서 빼돌리는 데 성공했습니다. 다행히 당국, 보안 회사, 암호화폐 거래소의 협력으로 해커들이 오픈 소스 암호화폐 텀블러인 토네이도 cash 와 다른 거래소로 옮긴 자금 중 일부를 trac할 수 있었습니다.

웜홀 다리 – 3억 2300만 달러

2022년 2월, 암호화폐 해커들이 웜홀 코드를 악용하여 3억 2600만 달러 상당의 암호화폐를 훔쳐 달아나는 안타까운dent 발생했습니다.

웜홀은 Solana Ethereum연결하는 토큰 브리지인데, 안타깝게도 이번 공격을 막지 못했습니다. 이 공격은 서명 검증을 우회하고 서명 위임 체인을 가능하게 하는, 더 이상 사용되지 않는 불안정한 함수를 이용해 발생했습니다.

사이버 보안 전문가들은 개발자들이 모든 매개변수를 확인하는 '안전한 코딩 관행'을 준수했더라면 이러한 공격을 막을 수 있었을 것이라고 지적합니다. 이러한 검사를 통해 유효한 주소인지 확인하고, 불법적인 경로로 자산에 접근하는 것을 차단할 수 있었을 것이라는 설명입니다.

빈스토크 – 1억 8100만 달러

2022년 4월 어느 운명적인 주말, 한 해커가 암호화폐 커뮤니티를 뒤흔드는 공격을 감행했습니다. 탈중앙화 금융(DeFi) 프로토콜의 특징인 플래시론을 이용해, 그들은 Beanstalk 스테이블코인 프로토콜에서 1억 8200만 달러 상당의 이더리움(ETH), 빈(BEAN) 스테이블코인 및 기타 자산을 훔치는 데 성공했습니다.

해커들은 Beanstalk DAO의 긴급 커밋 기능을 통해 두 가지 악의적인 제안을 제출했습니다. 이 기능은 24시간 후 실행되려면 3분의 2의 찬성표가 필요합니다. 공격자는 플래시론 기술을 사용하여 토큰의 79%를 확보하고 두 제안을 모두 통과시켜 계획을 성공적으로 실행했습니다.

해당 자금은 프로토콜 내에서 송금되어 급전 대출금을 상환하는 데 사용되었으며, 나머지 금액은 우크라이나에 기반을 둔 긴급 구호 기금과 관련된 주소로 입금되었습니다. 이 대담한 행동을 저지른 사람은 총 7,600만 달러를 횡령했습니다.

노마드 - 1억 5500만 달러

2022년 8월 1일에 발생한 노마드 브리지 해킹 사건은 큰 화제를 불러일으켰습니다. 공격자들이 취약점을 악용하여 멀티체인 크로스 브리지에 저장된 1억 9천만 달러 상당의 Ethereum기반 자산을 빼돌리면서 많은 블록체인 애호가들에게 충격을 주었습니다.

해커들은 신속하고 맹렬하게 움직였으며, 수백 개의 지갑이 960건의 거래를 통해 브리지의 총 예치 자산(TVL)에서 1,175건의 개별 인출을 발생시켰습니다. 이 모든 것이 단 몇 시간 만에 이루어졌습니다.

이 해킹의 당혹스러운 점은 모든 사용자가 브리지 펀드를 해킹하기 위해 해야 할 일은 해커가 사용한 원래 거래 호출 데이터를 복사하여 붙여넣고 원래 주소를 자신의 주소로 바꾸기만 하면 거래가 완료된다는 것이었습니다.

이번 해킹 사건은 탈중앙화 금융(DeFi) 커뮤니티에 큰 충격을 주었으며, 해커들이 코드의 취약점을 악용하는 데 있어 여전히 한 발 앞서 있다는 사실을 다시 한번 입증했습니다. 노마드(Nomad) 브리지는 안전한 코딩 관행의 중요성을 보여주는 대표적인 사례이며, 오늘날 블록체인 프로젝트에서 보안이 여전히 중요한 과제로 남아 있는 이유를 재확인시켜 줍니다.

CREAM Finance – 1억 3,080만 달러

2021년 10월 CREAM에 대한 공격은 가장 큰 규모의 플래시론 공격 중 하나였지만, 결코 단발적인dent아니었습니다. 플래시론 공격은 유동성을 빠르게 확보하기 위한 '플래시론'을 이용하여 자금을 빌리고, 이를 상환하지 않는 등, 모든 과정이 단일 거래 내에서 이루어지는 수법입니다.

해커들은 가격 계산 오류를 악용하여 차용 자금을 빠르게 빼돌릴 수 있습니다. 예를 들어, CREAM의 경우 두 개의 서로 다른 주소가 yUSDVault에 접속하여 대량의 crYUSD 토큰을 발행했습니다. 이들은 토큰 가치를 두 배로 늘릴 수 있는 취약점을 악용했습니다. 그 결과 1억 3천만 달러 상당의 자금을 확보했지만, 약 10억 달러에 달하는 담보 자산을 활용하면 훨씬 더 많은 금액을 탈취할 수 있습니다. 

플래시론 공격이 점점 더 빈번해지고 있으며, 커뮤니티는 향후 보안 침해를 예방할 수 있는 방법에 대해 질문해야 합니다.

BSC 토큰 허브 – 1억 2,700만 달러

2022년 10월, 해커들은 BSC 비콘 크로스 브리지 코드의 치명적인 취약점을 악용하여 총 5억 7천만 달러 상당의 암호화 자산을 탈취했습니다.

토큰 허브라고도 알려진 BSc 비콘 체인은 BNB 비콘 체인(BEP2)과 BNB 체인(BEP20/BSC)을 연결하는 체인 간 브리지입니다.

해커는 거래와 같은 데이터의 유효성을 확인하는 데 사용되는 머클 증명이라는 암호화 증명을 위조했습니다. 그리고 이 위조된 머클 증명을 이용하여 BSC 비콘 크로스브리지에서 다른 블록체인으로 자금을 이체했습니다.

테더는 공격자의 주소를 차단 목록에 올리자마자 신속하게 조치를 취해 BNB 체인에서 이동된 700만 달러 이상을 동결하고, 그들이 불법적으로 취득한 자금의 대부분을 몰수했습니다.

하모니 호라이즌 – 1억 달러

2022년 6월, 하모니 호라이즌 브리지 프로젝트는 해커들이 검증자 개인 키 5개 중 2개를 탈취하면서 해킹 피해를 입었고, 사기범들은 이를 이용해 1억 달러 상당의 토큰을 빼돌렸습니다.

이 보안 문제는 2/5 검증 방식을 사용하는 브리지 설정 방식 때문에 발생했습니다. 결과적으로 공격자는 악의적인 거래를 승인하는 데 단 두 번의 승인만 필요했습니다. 공격자들은 자신들의 범죄 행각을 은폐하기 위해 토네이도 trac를 이용하여 불법 수익금의 일부를 Cash 세탁했습니다. 

이러한 설정은 처음에는 안전해 보였을지 모르지만, 악의적인 행위자들에게는 매력적인 표적이 되었고, 적발된 사람들에게는 블록체인 보안에 대한 값비싼 교훈을 안겨주었습니다.

라리 - 9100만 달러

재진입 공격은 Ethereum초기부터 존재해 왔습니다. 이러한 공격은 계약 취약점을 이용하여 최초 거래가 승인되거나 거부되기 전에 자금을trac으로 인출합니다.

2022년 5월, 두 개의 탈중앙화 금융 플랫폼이 이와 같은 방식으로 해킹당해 해커들이 9천만 달러를 훔쳐갔습니다. 라리 캐피털(Rari Capital)의 잭 롱가르조는 공격자가 회사의 취약점을 악용했다고 밝혔으며, 라리 캐피털과 합병한 페이 프로토콜(Fei Protocol)은 해커에게 1천만 달러의 현상금을 걸었습니다.

블록체인 보안 회사인 블록섹(BlockSec)은 해커들이 재진입 취약점을 이용했다고 설명했습니다. 

개발자는 Ethereum 블록체인에 배포하기 전에 계약을 적절히 테스트하고trac함으로써 이러한 유형의 공격을 방지할 수 있습니다.

DeFi 공격으로부터 자신을 보호하는 방법

DeFi 프로토콜은 점점 더 인기를 얻고 복잡해짐에 따라 해커들의trac공격 대상이 되고 있습니다. 다음은 DeFi 공격으로부터 자신을 보호하는 데 도움이 되는 7가지 팁입니다

1. 투자하기 전에 모든 프로젝트에 대해 철저한 실사를 수행하십시오. 플랫폼의 코드, 웹사이트, 팀 구성원 및 소셜 채널에 문제가 있는지 확인하십시오.
2. 귀하가 체결하는 계약에 대해 신뢰할 수 있는 기관이trac를 실시하고, 감사 결과가 공개적으로 제공되는지 확인하십시오.
3. 하나의 DeFitrac에 많은 자금을 보관하지 마세요. 공격에 더욱 취약해집니다.
4. 새로운 공격 방식에 대한 정보를 얻으려면 최신 보안 뉴스를 꾸준히 확인하세요.
5. DeFi 프로토콜과 상호 작용하는 모든 계정에 대해 적절한 인증 및 권한 부여 절차를 구현하십시오.
6. 지갑 보안을 철저히 하고, 가능한 한 이중 인증을 사용하세요.
7. 블록체인 상의 자금과 거래 내역을 정기적으로 모니터링하여 의심스러운 활동이나 무단 인출을 감지하십시오.

이러한 팁을 따르면 DeFi 악용으로부터 자신을 보호하고 탈중앙화 금융 프로토콜을 이용할 때 자금을 안전하게 지킬 수 있습니다. 하지만 어떤 시스템도 완벽하지 않으므로 디지털 자산을 다룰 때는 항상 각별한 주의를 기울이는 것이 중요합니다.

결론

전반적으로 보안은 암호화폐와 DeFi 프로토콜을 다룰 때 가장 중요한 고려 사항 중 하나입니다. 안타깝게도 이 산업이 성장함에 따라 악의적인 활동의 위험도 증가하고 있습니다. 완벽한 안전을 보장하는 것은 불가능하지만, 다음 팁들을 따르면 DeFi 공격으로부터 자신을 보호하고 자금을 안전하게 지킬 수 있습니다. 

블록체인 보안의 최신 동향을 파악하고 모든 계정에 적절한 인증 절차를 마련함으로써 디지털 자산을 안전하게 보호할 수 있습니다.