역대 최고의 암호화폐 및 DeFi 해킹 5가지

흥미롭지만 위험한 암호화폐 세계에서 재정적 자유를 추구하는 데에는 상당한 어려움이 있었습니다. 디지털 통화가 계속해서 주목을 받고 가격이 높아지면서 금전적 이익을 위해 취약점을 악용하려는 악의적인 행위자의 주요 표적이 되었습니다. 이번 탐구에서 우리는 마운트곡스(Mt. Gox)부터 최근(2023년까지)까지 역대 최악의 암호화폐 해킹을 조사할 것입니다.

게다가 우리는 DAG 기반 암호화폐 영역에 진출하여 이러한 혁신적인 방향성 비순환 그래프 기반 네트워크가 고유한 보안 문제에 직면한 사례를 조사할 것입니다. 혁신이 취약성과 맞물리고 위험이 그 어느 때보다 높은 암호화폐 세계의 최고점과 최저점을 여행할 준비를 하십시오.

마운트곡스

엄밀히 말하면, 이론상으로는 2014년 이후로 더 높은 피해를 입은 공격이 있었습니다. 그러나 그 해 전체 암호화폐 세계는 기본적으로 비트코인(BTC)이었습니다. Mt. Gox는 세계 최고의 비트코인 거래소였습니다. 이 플랫폼은 매우 변동성이 큰 가격 속에서 전 세계적으로 총 거래의 70% 이상을 처리하고 있었습니다. 그러다가 수많은 이슈와 숨겨진 해킹 이후 2014년 2월에 심각한 지급 능력 문제가 드러났습니다.

모든 인출은 2월 7일에 미약한 변명으로 인해 중단되었습니다. 2월 23일 CEO인 Mark Karpelès는 비트코인 재단 이사회에서 사임하고 Mt. Gox 트윗을 모두 삭제했습니다. 다음날 홈페이지가 오프라인이 되었고 유출된 문서 744,408 BTC(당시 약 4억 7,300만 달러)의 손실을 나타냈습니다. 현재 가격으로 환산하면 191억 달러가 넘을 것입니다 [CMC].

유출된 문서에 따르면 해커들은 회사에 알려지지 않은 채 수년 동안 Mt. Gox에서 비트코인을 빼돌리고 있었습니다. 에 따르면 WizSec의 연구 , 어떻게든 해커들은 Mt. Gox의 비트코인 핫(온라인) 지갑에서 개인 키를 훔쳐 자신의 의지대로 교환 자금을 처리할 수 있었습니다. 원장으로서의 비트코인은 해킹된 것이 아니라 거래소만 해킹되었기 때문에 그들의 보안은 최고가 아니었다고 말해야 합니다.

당시 암호화폐 커뮤니티의 규모가 여전히 작았기 때문에 그 인기는 엄청났습니다. 비트코인은 2월부터 12월까지 43% 이상 하락했습니다. 2015년 말까지 개선 조짐은 보이지 않았습니다. 마운트곡스(Mt. Gox) 해킹 피해자들은 보상에 대한 희망을 얻기까지 수년을 기다려야 했습니다. 엄청난 법적 공방 끝에 Mt. Gox 수탁자는 다음과 같이 결정했습니다. 드디어 갚다 2023년 10월 말까지 거래소 채권자.

코인체크

2018년 1월, 일본의 유명 암호화폐 거래소인 코인체크(Coincheck)가 역사상 최대 규모의 암호화폐 해킹 피해를 입었습니다. 해커들은 거래소 보안 시스템의 취약점을 악용하여 Coincheck의 핫 지갑(온라인)에 접근했습니다. 그들은 당시 약 5억 3천만 달러 상당의 NEM(XEM) 토큰 약 5억 2천 3백만 개를 훔쳤습니다.

보고된 바와 같이 일부 출처 , Coincheck 직원에게 악성 코드에 감염된 이메일을 보내는 방식으로 침해가 실행되었으며, 이를 통해 공격자는 내부 시스템을 제어할 수 있었습니다. 일단 내부로 들어가면 훔친 XEM 토큰을 다양한 주소로 신속하게 전송하여 자금 추적이 어려워졌습니다.

그 여파로 Coincheck는 규제 당국의 철저한 조사를 받아 보안 조치가 개선되고 대규모 환급 노력이 이루어졌습니다 . 교환 맹세하다 훔친 XEM 토큰을 당시 시장 가치보다 훨씬 낮은 코인당 88.549 JPY의 비율로 반환하여 영향을 받은 사용자에게 보상합니다. 그들은 자신들의 자금으로 그것을 해냈습니다.

에도 불구하고 상환 노력 , 이 해킹은 Coincheck와 더 넓은 암호화폐 커뮤니티 모두에 심각한 영향을 미쳤습니다. 이는 중앙 집중식 암호화폐 거래소와 관련된 보안 위험과 강력한 보안 프로토콜의 중요성을 극명하게 상기시켜 주는 역할을 했습니다. Coincheck의 이번 사건 처리로 인해 거래소에 위탁된 자금의 안전성에 대한 의문이 제기되었고 전 세계 규제 당국은 투자자를 보호하고 향후 위반을 방지하기 위해 암호화폐 플랫폼에 대한 감독을 강화하게 되었습니다.

BSC 토큰 허브

바이낸스 브랜드도 문제에서 면제되지 않았습니다. 2022년 10월 7일, BNB 비콘 체인과 BNB 스마트 체인 사이의 BNB 스마트 체인의 기본 크로스 체인 브리지가 해킹의 희생양이 되었습니다. 이 악용으로 인해 피해를 막기 위해 바이낸스 스마트 체인이 일시적으로 중단되었습니다. 공격자는 당시 약 5억 6,600만 달러 상당의 BNB 토큰 200만 개를 불법적으로 발행했습니다. 대부분은 팀에 의해 신속하게 동결되었지만 해커는 약 1억 3,700만 달러를 다른 체인으로 이동했습니다.

위반 공격자는 2022년 10월 5일 ChangeNOW 지갑에서 100 BNB를 받은 것으로 시작되었습니다. 이를 통해 공격자는 BNB 비콘 체인(BEP2)과 바이낸스 스마트 체인(BEP20) 간의 크로스체인 거래를 촉진하는 BSC 토큰 허브의 중계자로 등록할 수 있었습니다. . 공격자는 BSC 토큰 허브가 증명을 확인하는 방식의 취약점을 악용하여 임의의 메시지를 위조하고 두 번의 거래에서 200만 BNB의 생성 및 출금을 시작했습니다.

공격자는 훔친 자금을 즉시 거래소로 옮기는 대신 BNB 체인의 인기 있는 대출 프로토콜인 Venus를 사용했습니다. 그들은 USDT, USDC, BUSD와 같은 스테이블 코인을 5번의 거래로 빌리기 위해 90만 BNB를 담보로 제공했으며 이는 2억 5천만 달러 이상의 가치가 있습니다 . 그런 다음 이러한 스테이블 코인은 브리지를 사용하여 여러 체인으로 라우팅되었으며 탐지를 피하기 위해 다양한 DeFi 제품이 사용되었습니다.

해킹 이후 BSC는 불규칙한 활동으로 인해 체인을 중단하여 추가 자금 이동을 막았습니다. 체인 전체에 걸쳐 공격자의 잔액이 면밀히 모니터링되었습니다. BNB 체인은 취약점을 해결하기 위해 하드포크(업데이트)를 구현하고 향후 공격에 맞서기 위해 새로운 온체인 거버넌스 메커니즘을 도입했습니다.

폴리 네트워크

서로 다른 체인 간의 거래를 촉진하는 상호 운용성 프로토콜인 Poly Network는 2021년 8월 10일 공격의 피해자 가 되었습니다. 익명의 해커가 이를 조직하여 6억 1천만 달러 이상의 암호화폐를 그들의 통제권으로 이전했습니다. 그들은 ETH, USDC, DAI, UNI, SHIB, FEI, MATIC 및 여러 BSC 토큰을 훔쳤습니다. 모두 일반 커뮤니티 회원들입니다. 특히 이는 탈중앙화 금융(DeFi) 역사상 최대 규모의 보안 사고 중 하나였습니다.

해커들 도난당한 자금을 Ethereum, Binance Smart Chain 및 Polygon에서 통제하는 주소로 옮겼습니다. 공격 이후 폴리 팀은 거래소와 채굴자에게 도난당한 토큰의 흐름을 모니터링하고 해커의 거래를 중단할 것을 촉구했습니다. 테더는 3,300만 달러 상당의 USDT를 동결했습니다.

놀랍게도 해커들은 2021년 8월 11일에 토큰을 반환하겠다는 의사를 밝혔으며, 이번 도난은 취약점을 노출하고 Poly Network의 보안을 강화하기 위한 것이라고 주장했습니다. 그들은 공개적으로 의사소통하기 위해 거래에 포함된 메시지를 사용했습니다.

이에 대응하여 프로토콜 팀은 복구 프로세스를 시작하고 해커를 "Mr. White Hat"이라고 불렀습니다. 그들은 남은 자산의 안전한 반환을 보장하기 위해 $500,000의 버그 현상금과 "최고 보안 고문"의 역할을 제안했습니다. 도난당한 자금의 마지막 부분이 반환되었습니다.8월 23일 .

이 사건은 해커들에게 "화이트 햇"이라는 용어를 사용하는 것에 대한 논란을 불러일으켰으며, 이것이 범죄 해커들이 자신들의 행동을 위생화하는 선례가 될 수 있다는 우려를 불러일으켰습니다. 그러나 Poly Network는 보안을 개선하기 위해 버그 현상금 프로그램을 시작하여 보안 기관과 화이트 해커 조직을 초대하여 핵심 기능을 감사했습니다. 심각한 취약점에 대해서는 최대 100,000달러의 보상이 제공되었습니다.

로닌(액시 인피니티)

이는 암호화폐 세계에서 역대 최대 규모의 해킹으로 간주됩니다. 2022년 3월 23일, Axie Infinity 게임의 이더리움 사이드체인인 Ronin Network가 대규모 공격의 희생양이 되었습니다. 해커들은 ETH 173,600개와 USDC 2,550만 달러를 벌어 들였습니다. 6억 2천 5백만 달러 이상 , 이전의 기록적인 암호화폐 강도 사건을 능가합니다.

해킹 Ronin과 다른 생태계 간의 자산 전송에 중요한 구성 요소인 Ronin 브리지를 활용했습니다. 공격자는 Sky Mavis(Axie Infinity 뒤에 있는 회사)에 호스팅된 4개의 Ronin 검증기 키에 대한 제어권을 얻었습니다. 블록체인에서는 이 적은 수의 키만으로 네트워크를 제어하는 데 충분하다는 것이 일반적입니다. 계획을 완료하기 위해 그들은 가스가 없는 RPC 노드를 통해 백도어를 활용하여 Axie DAO 유효성 검사기에 대한 서명을 얻었습니다. 이를 통해 가짜 인출을 수행하는 데 필요한 모든 키를 제어할 수 있게 되었습니다.

Sky Mavis는 공격 후 6일 후에 사용자가 철회 문제를 보고한 후 위반을 감지했습니다 . 도난당한 자금의 상당 부분이 해커의 손에 남아 있었지만 중앙화된 암호화폐 거래소를 통해 더 적은 금액을 인출하려고 시도했습니다. 적어도 스카이 마비스는 타협하다 사용자에게 상환합니다.

이 사건으로 인해 Ronin의 토큰 가격은 20% 이상 급락했고, 이미 일련의 세간의 이목을 끄는 공격으로 어려움을 겪고 있는 DeFi 공간 내의 우려를 더욱 악화시켰습니다. 암호화폐 거래소인 바이낸스와 후오비는 도난당한 자금을 추적하고 Axie Infinity 사용자에게 반환하는 데 도움을 주기로 약속했으며, Sky Mavis는 해커를 처벌하기 위해 정부 기관과 협력하고 있습니다.

Obyte와 같은 DAG에서 이 모든 것이 가능합니까?

Obyte와 같은 방향성 비순환 그래프(DAG) 원장은 고유한 구조와 합의 메커니즘을 가지고 있어 블록체인 시스템에 비해 분산화 측면에서 특정 이점을 제공할 수 있습니다. 그러나 보안 취약점과 잠재적인 해킹으로부터 완전히 면역되지는 않습니다.

특정 공격 벡터와 잠재적인 악용 블록체인과 다를 수 있지만 DAG 기반 시스템은 여전히 다양한 유형의 공격에 취약할 수 있습니다. 관련된 플랫폼에 따라 발생할 수 있는 몇 가지 우려 사항은 다음과 같습니다.

• 시빌(Sybil) 공격: 가해자는 네트워크를 제어하기 위해 수많은 가짜 ID 또는 노드를 생성하고 인위적인 영향과 조작을 통해 네트워크의 신뢰, 보안 및 합의 메커니즘을 손상시킵니다. 순진하게 설계된 일부 DAG만이 이 문제에 취약하며 일반적으로 중앙 집중화(예: IOTA)를 통해 이 문제를 해결합니다.
  

• 스마트 계약 취약점: 코딩 결함을 악용하여 무단 작업을 실행하거나, 자산을 빼돌리거나, 분산형 애플리케이션을 방해하여 종종 금전적 손실을 초래합니다.
  

• 이중 지출: 사용자가 암호화폐 거래를 복제하여 동일한 디지털 자산을 여러 번 사용할 수 있게 하여 원장의 무결성을 훼손하는 사기 행위입니다. 블록체인에서와 마찬가지로 이 문제는 사용자가 최종성을 기다리지 않고(또는 결정적 최종성이 없는 경우 충분히 오래 기다리지 않고) 결제를 수락하는 경우에만 발생합니다.
  

• 잠재적인 중앙화: 일부 DAG는 네트워크의 소수 엔터티(예: 회사, 채굴자 또는 검증자)에 의해 과도한 통제 또는 영향력을 행사하여 분산화를 침식하고 보안, 불변성 및 신뢰성을 잠재적으로 손상시킬 위험이 있습니다. 하지만 Obyte의 주문 공급자 의 경우에는 그렇지 않습니다.
  

• 외부 거래소의 장애: 외부 암호화폐 거래소의 취약점으로 인해 보안 침해, 해킹 사고 또는 거래소 부실이 발생하여 상당한 금전적 손실을 초래하고 거래 활동이 중단될 수 있습니다.

  
  

모든 DAG가 이러한 모든 문제에 취약한 것은 아니며 이러한 문제를 방지할 수 있는 고유한 방법이 있습니다. 따라서 DAG는 고유한 장점을 제공하지만 보안 문제로부터 자유롭지는 않습니다. 잠재적인 공격의 구체적인 성격은 다를 수 있지만 분산 원장을 확보하는 기본 원칙은 여전히 적용됩니다. 모든 블록체인 또는 DAG 기반 시스템의 보안 취약성을 지속적으로 평가하고 해결하는 것이 중요합니다.

이것이 바로 Obyte가 버그 현상금 프로그램 Immunefi에서는 누구나 버그를 발견하면 이를 보고할 수 있습니다. 우리는 심각한 버그당 최대 $50,000를 제공하고 있습니다. 지금까지 Obyte는 Immunefi를 통해 화이트 햇에 약 5,000달러를 지불했으며 이 프로그램 이전에 버그 보고서로 약 10,000달러를 지불했습니다. 모든 종류의 암호화폐 플랫폼에는 보안이 항상 필수적입니다!

주요 벡터 이미지 작성자: 프리픽