데이터

코인 해킹·러그풀 사건 TOP10… DMM·플레이댑·와지르엑스 등

이코노미블록
2025.01.05
08:31

3일 블록체인 보안 감사 전문기업 슬로미스트가 발표한 2024년 주요 해킹 및 러그 풀 사건 10가지는 다음과 같다:

2024년 해킹 사건 TOP 10

1. 디엠엠 비트코인 (DMM Bitcoin) 해킹

2024년 5월 31일, 일본 암호화폐 거래소 디엠엠 비트코인(DMM Bitcoin)에서 4,502.9 비트코인(현 시세 약 6,000억 원)이 무단 유출되었다. 암호화폐 해킹 역사상 7번째로 큰 규모이며 2022년 12월 이후 최대 규모다. 일본 내에서는 2014년 마운트곡스(Mt. Gox) 사건(약 6,525억 원), 2018년 코인체크(Coincheck) 해킹(약 7,743억 원)에 이어 세 번째로 큰 규모다.

미국 FBI, 미국 국방부 사이버 범죄 센터(DC3), 일본 경찰청(NPA)은 12월 23일 해당 사건을 트레이더트레이터(TraderTraitor), 제이드 슬릿(Jade Sleet), UNC4899, 슬로우 피시스(Slow Pisces)로 알려진 캠페인과 연관시켰다. 트레이더트레이터는 동일 회사 여러 직원을 대상으로 소셜 엔지니어링 공격을 하는 것으로 알려져 있다.

2024년 3월, 북한 해커가 링크드인(LinkedIn) 채용 담당자로 위장하여 일본 기업용 암호화폐 지갑 소프트웨어 회사인 진코(Ginco) 직원에게 악성 파이썬(Python) 스크립트를 보냈다. 해당 직원은 자신도 모르게 코드를 깃허브(GitHub) 페이지에 업로드하여 해킹으로 이어졌다. 5월 중순까지 해커들은 진코의 암호화되지 않은 통신 시스템에 접근하여 디엠엠 비트코인 직원의 정상적인 거래 요청을 조작하여 4,502.9 비트코인을 탈취했다.

2. 플레이댑 (PlayDapp) 해킹

2024년 2월 9일, 블록체인 게임 플랫폼 플레이댑(PlayDapp)은 해커가 PLA 토큰 스마트 컨트랙트의 프라이빗 키를 해킹당하는 피해를 입었다. 공격자는 소유권 및 발행 권한을 획득하여 2억 개의 PLA 토큰을 생성하여 계정으로 전송했다. 플레이댑은 14억 5,000만 원의 화이트햇 보상금을 제공하는 등 공격자와 협상을 시도했지만 실패했다.

2월 12일, 해커는 15억 9천만 개의 PLA 토큰을 추가로 발행했지만, 거래소 동결 조치로 인해 유통되지는 못했다. 사건 분석 결과, 1월 16일에 팀에 보낸 피싱 이메일에서 비롯된 것으로 밝혀졌다. 이메일에는 주요 파트너 거래소의 일상적인 요청으로 위장한 악성 페이로드가 포함되어 있었고, 변조된 원격 액세스 도구가 설치되어 관리자 프라이빗 키 탈취로 이어졌다.

3. 와지르엑스 (WazirX) 해킹

2024년 7월 18일, 인도 암호화폐 거래소 와지르엑스(WazirX)는 멀티시그 지갑에서 의심스러운 거래를 감지했다. 조사 결과, 해커가 거래 검증 서비스인 리미널(Liminal)에서 인터페이스와 실제 거래 간의 불일치를 악용하여 지갑 제어권을 자신에게 이전하여 3,335억 원 이상의 손실을 입혔다.

4. 비티씨투르크 (BtcTurk) 해킹

2024년 6월 22일, 터키 암호화폐 거래소 비티씨투르크(BtcTurk)는 해킹 공격을 당해 약 1,305억 원의 손실을 입었다. 비티씨투르크는 6월 22일 성명을 통해 “사이버 공격이 핫월렛에 있는 10개 암호화폐 잔액 일부에 영향을 미쳤지만, 콜드월렛에 보관된 대부분의 자산은 안전하게 유지되었다”고 밝혔다.

바이낸스(Binance) CEO 리차드 텡(Richard Teng)에 따르면, 바이낸스는 도난당한 자산 중 77억 원 상당을 동결했다.

5. 먼치에이블스 (Munchables) 해킹

2024년 3월 27일, 블래스트(Blast) 생태계 프로젝트 먼치에이블스(Munchables)는 해킹 공격으로 한화 약 906억 원의 손실을 입었다. 이후, 블래스트 팀은 공격자이자 먼치에이블스의 전직 개발자가 몸값 없이 자발적으로 자금을 반환한 후 멀티시그 지갑을 통해 한화 약 1,406억원을 회수했다.

6. 라디안트 캐피탈 (Radiant Capital) 해킹

2024년 10월 17일, 라디안트 캐피탈(Radiant Capital)은 3개의 멀티시그 지갑을 해킹한 공격자가 악성 컨트랙트를 업그레이드하여 비앤비 체인(BNB Chain)과 아비트럼(Arbitrum)에서 운영을 중단하고 한화 약 725억 원의 손실을 입었다. 보안 회사 맨디언트(Mandiant)는 나중에 해당 공격이 북한과 연계된 그룹인 UNC4736의 소행으로 파악했다.

7. 빙엑스 (BingX) 해킹

2024년 9월 20일, 싱가포르 기반 암호화폐 거래소 빙엑스(BingX)는 핫월렛에 대한 무단 액세스를 감지하여 652억 원의 손실을 입었다. 미스트트랙(MistTrack)의 분석에 따르면, 이 사건과 인도닥스(Indodax) 해킹 사건은 북한 해킹 조직인 라자루스 그룹(Lazarus Group)과 관련된 주소를 통한 자금 세탁이 연관된 것으로 나타났다.

8. 헤지 파이낸스 (Hedgey Finance) 해킹

2024년 4월 19일, 헤지 파이낸스(Hedgey Finance)는 불충분한 입력 검증으로 인해 공격을 받아 이더리움(Ethereum)과 아비트럼에서 무단 승인 및 약 648억원의 손실을 입었다.

9. 펜파이 (Penpie) 해킹

2024년 9월 4일, 유동성 보상 프로젝트 펜파이(Penpie)는 펜들 파이낸스(Pendle Finance)의 시장 조성 프로세스에 대한 잘못된 가정으로 인해 공격을 받아 약 430억 원의 손실을 입었다. 공격자는 악의적인 스마트 계약과 플래시 대출을 사용하여 보상을 인위적으로 증폭시켰다.

10. 픽스드플로트 (FixedFloat) 해킹

2024년 2월 16일, 암호화폐 플랫폼 픽스드플로트(FixedFloat)는 외부 취약점으로 인해 409 비트코인(약 306억 9,650만 원)과 1,728 이더리움(약 70억 원)을 도난당했다. 4월 2일에 발생한 후속 공격으로 총 손실액은 약 420억 원으로 증가했다.