온체인 분석 회사인 Chainalysis에 따르면 2021년 범죄 암호화폐 거래량은 14억 달러로 사상 최고치를 기록했습니다. 그러나 범죄 전송량의 증가에도 불구하고 2021년 전체 암호화폐 거래량에 대한 상대적 점유율은 역대 최저 수준이었습니다. 이 통계는 암호 화폐 영역의 확장이 암호 화폐와 관련된 사이버 범죄를 훨씬 능가하고 있으며 업계의 보안도 수요를 따라 잡고 있음을 보여줍니다.

2021년 가장 수익성 높은 사이버 공격

2021년 암호 화폐 공간에서 범죄 관련 거래량의 점유율이 감소했음에도 불구하고 몇 가지 눈살을 찌푸리게 하는 사례가 있었습니다. 여기에서 가장 눈길을 끄는 몇 가지를 살펴보겠습니다.

1. 폴리 네트워크 – 611억 XNUMX만 달러

Poly Network 해킹은 10년 2021월 611일에 발생했으며 Ethereum, BSC 및 Polygon의 세 가지 블록체인에서 약 XNUMX억 XNUMX만 달러 상당의 디지털 자산을 도난당했습니다. 눈에 띄는 세부 사항은 해커가 훔친 액수를 전액 반환하면서 이익을 추구하지 않는 Poly Network 프로토콜의 취약점을 지적하려는 시도로 설명했다는 것입니다.

폴리 네트워크는 사용자가 분산된 방식으로 크로스 블록체인 작업을 수행할 수 있도록 하는 크로스체인 네트워크입니다. 예를 들어, 한 블록체인에서 다른 블록체인으로 자금을 이체합니다. 이를 위해서는 프로토콜에 많은 유동성이 필요합니다. 폴리 네트워크에서 이 유동성은 특별한 스마트 계약에 의해 통제됩니다.

악용된 계약은 EthCrossChainManager 및 EthCrossChainData입니다. EthCrossChainData는 EthCrossChainManager가 소유하며 이 유동성(키퍼)을 제어할 수 있는 공개 키 목록을 저장합니다.

공격자는 EthCrossChainManager 계약의 취약점을 악용하고 이를 속여 계약의 키퍼를 공격자의 것으로 교체할 수 있습니다. 그런 다음 공격자는 프로토콜 작동에 대한 완전한 제어권을 얻은 Poly Network 프로토콜의 유동성을 차단했습니다.

2. 비트마트 – 196억 XNUMX만 달러

4년 2021월 200일 중앙 집중식 암호화폐 거래소 Bitmart가 공격을 받아 핫 월렛에서 XNUMX억 달러 상당의 암호화 자산이 도난당했습니다. 공격자는 거래소의 핫 월렛에 대한 개인 키를 훔쳤습니다.

Bitmart 거래소는 다음과 같이 주장했습니다. 150억 XNUMX천만 달러를 잃었다.그러나 블록체인 사이버 보안 회사인 Peckshield는 나중에 청구 196개 이상의 암호화폐와 토큰에서 이더리움 및 바이낸스 스마트 체인 블록체인에서 20억 1만 달러가 도난당했습니다. 또한 도난당한 자산이 최종 목적지를 제외하고 이동한 경로를 그래픽으로 보여주었습니다. 먼저 공격자는 DEX 애그리게이터 XNUMXinch를 사용하여 도난당한 자산을 Ether로 교환한 다음 개인 정보 믹서 Tornado Cash를 사용하여 Ether를 세척했습니다. 그 후 트레이스는 공백이 됩니다.

이번 사이버 공격은 개인 키를 단일 서버에 막대한 금액으로 여러 주소에 저장하는 취약점을 다시 한 번 보여주었습니다. 이로써 거래소의 모든 핫월렛이 한 번에 노출되었습니다.

3. 크림 파이낸스 – 130억 XNUMX천만 달러

2021년 130월에 발생한 크림 파이낸스 사이버 공격에서 한 해커 또는 두 명의 해커가 MakerDAO, AAVE, Curve, Yearn.finance와 같은 여러 프로토콜을 사용하여 XNUMX억 XNUMX만 달러 상당의 토큰과 암호 화폐 가치가 있는 크림 파이낸스의 강도를 제거했습니다.

증거에 따르면 두 명의 공격자가 있었을 수 있다고 가정합니다. 공격에는 주소 A와 주소 B가 사용되었습니다. 첫 번째 주소 A는 MakerDAO에서 500억 달러 상당의 DAI를 대출했으며 그 유동성을 Curve와 Year.finance를 통해 끌어들여 Cream Finance에서 500억 cryUSD를 발행했습니다. . 동시에, 주소 A는 Yearn.finance의 yUSD Vault의 유동성을 511억 XNUMX만 yUSDTVault로 늘렸습니다.

그런 다음 주소 B 플래시는 AAVE에서 2억 달러의 Ether를 빌렸고 빌린 2억 달러의 ETH를 Cream에 예치하여 2억 달러 상당의 cEther를 발행했습니다. 그런 다음 주소 B는 이를 사용하여 1억 yUSDVault를 꺼내어 1억 cryUSD에 상환하고 주소 A로 이체했습니다. 따라서 주소 A는 1.5억 cryUSD를 얻었습니다.

그 주소 이후 A는 Curve에서 3만 DUSD를 구입하고 모두 yUSDVault에 상환하여 잔액에서 503백만 yUSDVault를 얻었습니다. 그런 다음 주소 A는 기본 yUSD 토큰에 대해 503억 8백만 yUSDVault를 상환하고 yUSDVault의 총 공급량을 XNUMX백만으로 가져왔습니다.

그런 다음 주소 A는 8백만 yUSD를 Yearn.finance yUSD 금고로 이체하고 금고 가치를 두 배로 늘렸습니다. 이것은 (yUSD Yearn Vault의 평가) / (yUSDVault의 총 공급량), 즉 $16백만 / 8백만 yUSDVault를 기반으로 cryUSD의 가격을 결정하기 때문에 Cream의 PriceOracleProxy의 cryUSD 평가를 두 배로 만들었습니다. 따라서 Cream은 주소 A가 cryUSD에 3억 달러를 가지고 있다고 인식했습니다.

이 실수는 결국 크림 파이낸스에 손해를 입혔습니다. 해커는 생성한 초과 유동성으로 플래시 대출을 반환하고 남은 130억 달러의 cryUSD를 사용하여 Cream Finance에 잠긴 전체 유동성(1억 XNUMX천만 달러)을 주머니에 넣을 수 있었습니다.

2021년 가장 인기 있는 공격 유형

스마트 컨트랙트에 대한 공격이라고 하면 위에서 설명한 것과 같은 플래시 대출 공격이 가장 인기 있는 공격 유형이었습니다. 에 따르면 블록 암호화, 70년에 2021건의 DeFi 공격 중 34건이 플래시 대출을 사용했으며 XNUMX월 크림 파이낸스 강도는 도난 금액 측면에서 절정입니다. 이러한 공격의 전형적인 특징은 다중 프로토콜을 사용한다는 것입니다. 그 자체로는 안전할 수 있지만 문자열을 사용하는 경우 취약점을 찾을 수 있습니다.

고전적인 DeFi 공격으로 분류될 수 있는 스마트 계약에 대한 또 다른 유형의 공격은 재진입 공격입니다. 외부 계약을 호출하는 함수가 해당 계약을 다시 호출하기 전에 주소 균형을 업데이트하지 않으면 재진입 공격이 발생할 수 있습니다. 이 경우 대상 계약의 주소 잔액이 출금할 때마다 업데이트되지 않기 때문에 외부 계약에서 재귀적으로 자금을 출금할 수 있습니다. 그리고 이러한 재귀 호출은 계약의 잔액이 고갈될 때까지 계속될 수 있습니다.

그리고 2021년의 세 번째 일반적인 공격 유형은 거래소의 핫월렛에 대한 개인 키를 훔치는 방식으로 중앙 집중식 거래소에 대한 공격이었습니다. 이것은 암호 화폐의 역사에서 매우 오래된 사이버 공격 방식이지만 너무 오래되지는 않습니다.

암호화폐 공간에서 자금을 보호하는 방법은 무엇입니까?

개별 사용자의 자금에 관해서는 자금을 예치할 플랫폼의 실사를 하는 것이 좋습니다. 사이트, 팀원의 소셜, 백서 및 기술 감사. 또한 사용자가 정기적으로 사용하는 계약을 화이트리스트에 등록할 수 있는 암호화폐 지갑의 기능을 사용하는 것이 좋을 것입니다. 이 기능은 Unrekt와 Debank를 안전하게 보관하는 암호화폐를 위한 전용 온라인 서비스와 Metamask 지갑에 존재합니다. 익숙하지 않은 계약으로의 이전이 승인된 경우 해당 계약을 강조 표시합니다.

DeFi 프로토콜의 안전성을 고려한다면 다른 시도와 테스트를 거친 프로젝트의 코드베이스를 사용하는 것이 좋습니다. 그러나 설립자는 여전히 프로젝트의 스마트 계약에 대한 적어도 하나의 기술 감사를 승인해야 합니다. 이는 여러 블록체인에 배포된 프로토콜과 다른 프로토콜과의 상호 작용에서 특히 중요합니다. 감사 중에 특히 엄격한 조사가 필요합니다.

출처: https://cryptoslate.com/the-biggest-security-breaches-of-2021/