2024년 상위 10가지 Web3 보안 사고: Beosin의 리뷰

2024년 블록체인 산업은 기술 혁신과 생태계 확장과 함께 점점 더 심각한 보안 문제에 직면해 있습니다.

Despite the rapid technological advancements and expanding ecosystem in the blockchain industry, 2024 has witnessed a surge in severe security challenges. According to the Alert platform of security audit company Beosin, Web3-related losses due to hacker attacks, phishing scams, and project party "Rug Pulls" have reached an alarming total of US$2.491 billion by press time.

블록체인 산업의 급속한 기술 발전과 생태계 확장에도 불구하고 2024년에는 심각한 보안 문제가 급증했습니다. 보안 감사 회사인 Beosin의 Alert 플랫폼에 따르면 해커 공격, 피싱 사기, 프로젝트 파티 "Rug Pulls"로 인한 Web3 관련 손실은 보도 시점 기준으로 총 24억 9100만 달러에 달했습니다.

These incidents not only highlighted technical vulnerabilities such as private key mismanagement and smart contract flaws but also brought to light the potential risks posed by social engineering and internal management. In this article, we will delve into the top ten Web3 security

이러한 사건은 개인 키 관리 부실, 스마트 계약 결함 등 기술적 취약점을 부각시켰을 뿐만 아니라 사회 공학 및 내부 관리로 인한 잠재적인 위험도 조명했습니다. 이 기사에서는 상위 10가지 Web3 보안에 대해 살펴보겠습니다.

incidents of 2024 to help the industry learn from past experiences and better prepare for future threats.

업계가 과거 경험으로부터 교훈을 얻고 미래의 위협에 더 잘 대비할 수 있도록 2024년의 사고를 조사합니다.

No.1 DMM Bitcoin

No.1 DMM 비트코인

Amount of Loss: $304 million

손실액: 3억 4백만 달러

Attack Method: Private key leakage

공격방법 : 개인키 유출

On May 31, 2024, a long-established cryptocurrency exchange in Japan, DMM Bitcoin, fell victim to a massive attack. The attacker, having obtained the leaked private key, directly transferred Bitcoin valued at over $300 million and swiftly dispersed the stolen funds across 10 different addresses.

2024년 5월 31일, 일본의 오랜 암호화폐 거래소인 DMM 비트코인이 대규모 공격의 희생양이 되었습니다. 유출된 개인키를 획득한 공격자는 3억 달러가 넘는 비트코인을 직접 전송하고, 훔친 자금을 10개의 다른 주소로 재빠르게 분산시켰다.

This attack exposed DMM Bitcoin's critical deficiencies in private key management and multi-layer security protection. Despite the exchange's attempt to track the stolen Bitcoin on-chain and freeze the funds, the attacker's use of mixing tools to disperse and clean the funds posed a significant challenge.

이 공격은 개인 키 관리 및 다층 보안 보호에 있어서 DMM 비트코인의 심각한 결함을 드러냈습니다. 도난당한 비트코인을 온체인으로 추적하고 자금을 동결시키려는 거래소의 시도에도 불구하고 공격자가 자금을 분산하고 정리하기 위해 혼합 도구를 사용하는 것은 심각한 문제를 야기했습니다.

On December 24, Japanese police concluded that the DMM Bitcoin theft was perpetrated by the North Korean hacker organization Lazarus Group.

12월 24일 일본 경찰은 DMM 비트코인 ​​절도 사건이 북한 해커 조직인 라자루스 그룹(Lazarus Group)에 의해 저질러졌다고 결론 내렸다.

No.2 PlayDapp

No.2 플레이댑

Amount of Loss: $290 million

손실액 : 2억 9천만 달러

Attack Method: Private key leakage

공격방법 : 개인키 유출

A devastating blow was dealt to PlayDapp on February 9, 2024, when hackers stole the project's private keys and minted 2 billion PLA tokens, initially valued at $36.5 million. Following failed negotiations between the project and the hackers, the attackers minted an additional 15.9 billion PLA tokens, valued at $253.9 million, in a short span of time.

2024년 2월 9일 해커들이 프로젝트의 개인 키를 훔치고 초기 가치가 3,650만 달러에 달하는 20억 개의 PLA 토큰을 발행하면서 PlayDapp에 엄청난 타격이 가해졌습니다. 프로젝트와 해커 간의 협상이 실패한 후, 공격자들은 단기간에 2억 5390만 달러 상당의 159억 개의 PLA 토큰을 추가로 발행했습니다.

After some of these tokens entered the Gate exchange, PlayDapp was compelled to suspend the PLA contract and migrate to the PDA token contract. This incident underscored the shortcomings in private key protection and incident emergency response among blockchain projects.

이러한 토큰 중 일부가 Gate 거래소에 들어간 후 PlayDapp은 PLA 계약을 중단하고 PDA 토큰 계약으로 마이그레이션해야 했습니다. 이번 사건은 블록체인 프로젝트의 개인키 보호 및 사고 비상 대응의 단점을 부각시켰습니다.

No.3 WazirX

No.3 와지르엑스(WazirX)

Amount of Loss: $235 million

손실액: 2억 3,500만 달러

Attack Methods: Cyberattack, phishing

공격방법 : 사이버공격, 피싱

On July 18, 2024, the Safe Wallet multi-signature wallet of WazirX, India's largest cryptocurrency exchange, was precisely targeted by hackers. The attacker employed social engineering tactics to manipulate a multi-signature signer into approving a contract upgrade transaction, which was then exploited to siphon off all the assets in the wallet.

2024년 7월 18일, 인도 최대 암호화폐 거래소인 WazirX의 Safe Wallet 다중 서명 지갑이 해커의 정확한 표적이 되었습니다. 공격자는 다중 서명 서명자를 조작하여 계약 업그레이드 거래를 승인하도록 사회 공학적 전술을 사용했으며, 이를 악용하여 지갑의 모든 자산을 빼돌렸습니다.

This case highlighted the potential risks associated with multi-signature wallets in terms of management authority configuration and operational transparency. It also sparked industry-wide introspection on the internal risk control and security mechanisms of the project.

이 사례는 관리 권한 구성 및 운영 투명성 측면에서 다중 서명 지갑과 관련된 잠재적 위험을 강조했습니다. 이는 또한 프로젝트의 내부 위험 통제 및 보안 메커니즘에 대한 업계 전반의 성찰을 촉발시켰습니다.

For an in-depth analysis of the incident and fund tracking, please refer to "Beosin | Analysis of the $235 million theft from Indian exchange WazirX".

이번 사건에 대한 심층분석과 자금추적은 '베오신 | 인도 거래소 와지르엑스(WazirX) 2억3500만 달러 도난 사건 분석'을 참고하시기 바랍니다.

No.4 Gala Games

No.4 갈라 게임

Amount of Loss: $216 million

손실액: 2억 1,600만 달러

Attack Method: Access control vulnerability

공격방법 : 접근통제 취약점

A privileged address of Gala Games was compromised on May 20, 2024. The attacker exploited a vulnerability in the token contract's mint function to generate 5 billion GALA tokens at once. Subsequently, the attacker exchanged the additional tokens for ETH in batches, directly leading to a loss of 216 million US dollars.

Gala Games의 권한 있는 주소가 2024년 5월 20일에 손상되었습니다. 공격자는 토큰 계약의 발행 기능의 취약점을 악용하여 한 번에 50억 개의 GALA 토큰을 생성했습니다. 이후 공격자는 추가 토큰을 ETH로 일괄 교환하여 직접적으로 2억 1600만 달러의 손실을 입었습니다.

In the aftermath of the incident, the Gala Games team promptly activated the blacklist function to block several hacker accounts and recovered the losses through legal channels.

사건 발생 후 갈라게임즈 팀은 즉각 블랙리스트 기능을 활성화해 여러 해커 계정을 차단하고 법적 채널을 통해 피해를 복구했다.

No.5 Chris Larsen (Ripple's co-founder)

No.5 Chris Larsen (리플 공동 창립자)

Amount of Loss: $112 million

손실액: 1억 1,200만 달러

Attack Method: Private key leakage

공격방법 : 개인키 유출

Four personal wallets belonging to Chris Larsen, co-founder of Ripple, were hacked on January 31, 2024, resulting in the theft of $112 million in XRP. These wallets are suspected to have become targets of attack due to the lack of dual protection for hardware devices.

Ripple의 공동 창립자인 Chris Larsen의 개인 지갑 4개가 2024년 1월 31일 해킹되어 XRP 1억 1,200만 달러를 도난당했습니다. 이들 지갑은 하드웨어 장치에 대한 이중 보호가 부족해 공격 대상이 된 것으로 의심된다.

Binance successfully froze XRP valued at $4.2 million and assisted Larsen in tracking the stolen assets, but the majority of the funds had already been laundered through decentralized exchanges and currency mixing services.

Binance는 420만 달러 상당의 XRP를 성공적으로 동결하고 Larsen이 도난당한 자산을 추적하도록 지원했지만 대부분의 자금은 이미 분산형 거래소 및 통화 혼합 서비스를 통해 세탁되었습니다.

No.6 Munchables

No.6 먼처블스

Amount of Loss: $62.5 million

손실액: 6,250만 달러

Attack Method: Social engineering attack

공격방법 : 사회공학적 공격

On March 26, 2024, Munchables, a Web3 game platform built on Blast, encountered a rare internal penetration attack. The attacker, a North Korean hacker, posed as a blockchain developer and managed to obtain the core code and sensitive keys through a prolonged period of lurking.

2024년 3월 26일, Blast를 기반으로 구축된 Web3 게임 플랫폼인 Munchables에서 드물게 내부 침투 공격이 발생했습니다. 공격자는 북한 해커로, 블록체인 개발자를 사칭해 장기간 잠복해 핵심코드와 민감한 키를 탈취했다.

Despite the attack causing substantial

공격으로 인해 상당한 피해가 발생했음에도 불구하고