코인 해킹·러그풀 사건 TOP10… DMM·플레이댑·와지르엑스 등

20250105 082045
슬로미스트

3일 블록체인 보안 감사 전문기업 슬로미스트가 발표한 2024년 주요 해킹 및 러그 풀 사건 10가지는 다음과 같다:

2024년 해킹 사건 TOP 10

1. 디엠엠 비트코인 (DMM Bitcoin) 해킹

2024년 5월 31일, 일본 암호화폐 거래소 디엠엠 비트코인(DMM Bitcoin)에서 4,502.9 비트코인(현 시세 약 6,000억 원)이 무단 유출되었다. 암호화폐 해킹 역사상 7번째로 큰 규모이며 2022년 12월 이후 최대 규모다. 일본 내에서는 2014년 마운트곡스(Mt. Gox) 사건(약 6,525억 원), 2018년 코인체크(Coincheck) 해킹(약 7,743억 원)에 이어 세 번째로 큰 규모다.

미국 FBI, 미국 국방부 사이버 범죄 센터(DC3), 일본 경찰청(NPA)은 12월 23일 해당 사건을 트레이더트레이터(TraderTraitor), 제이드 슬릿(Jade Sleet), UNC4899, 슬로우 피시스(Slow Pisces)로 알려진 캠페인과 연관시켰다. 트레이더트레이터는 동일 회사 여러 직원을 대상으로 소셜 엔지니어링 공격을 하는 것으로 알려져 있다.

2024년 3월, 북한 해커가 링크드인(LinkedIn) 채용 담당자로 위장하여 일본 기업용 암호화폐 지갑 소프트웨어 회사인 진코(Ginco) 직원에게 악성 파이썬(Python) 스크립트를 보냈다. 해당 직원은 자신도 모르게 코드를 깃허브(GitHub) 페이지에 업로드하여 해킹으로 이어졌다. 5월 중순까지 해커들은 진코의 암호화되지 않은 통신 시스템에 접근하여 디엠엠 비트코인 직원의 정상적인 거래 요청을 조작하여 4,502.9 비트코인을 탈취했다.

2. 플레이댑 (PlayDapp) 해킹

2024년 2월 9일, 블록체인 게임 플랫폼 플레이댑(PlayDapp)은 해커가 PLA 토큰 스마트 컨트랙트의 프라이빗 키를 해킹당하는 피해를 입었다. 공격자는 소유권 및 발행 권한을 획득하여 2억 개의 PLA 토큰을 생성하여 계정으로 전송했다. 플레이댑은 14억 5,000만 원의 화이트햇 보상금을 제공하는 등 공격자와 협상을 시도했지만 실패했다.

2월 12일, 해커는 15억 9천만 개의 PLA 토큰을 추가로 발행했지만, 거래소 동결 조치로 인해 유통되지는 못했다. 사건 분석 결과, 1월 16일에 팀에 보낸 피싱 이메일에서 비롯된 것으로 밝혀졌다. 이메일에는 주요 파트너 거래소의 일상적인 요청으로 위장한 악성 페이로드가 포함되어 있었고, 변조된 원격 액세스 도구가 설치되어 관리자 프라이빗 키 탈취로 이어졌다.

3. 와지르엑스 (WazirX) 해킹

2024년 7월 18일, 인도 암호화폐 거래소 와지르엑스(WazirX)는 멀티시그 지갑에서 의심스러운 거래를 감지했다. 조사 결과, 해커가 거래 검증 서비스인 리미널(Liminal)에서 인터페이스와 실제 거래 간의 불일치를 악용하여 지갑 제어권을 자신에게 이전하여 3,335억 원 이상의 손실을 입혔다.

4. 비티씨투르크 (BtcTurk) 해킹

2024년 6월 22일, 터키 암호화폐 거래소 비티씨투르크(BtcTurk)는 해킹 공격을 당해 약 1,305억 원의 손실을 입었다. 비티씨투르크는 6월 22일 성명을 통해 “사이버 공격이 핫월렛에 있는 10개 암호화폐 잔액 일부에 영향을 미쳤지만, 콜드월렛에 보관된 대부분의 자산은 안전하게 유지되었다”고 밝혔다.

바이낸스(Binance) CEO 리차드 텡(Richard Teng)에 따르면, 바이낸스는 도난당한 자산 중 77억 원 상당을 동결했다.

5. 먼치에이블스 (Munchables) 해킹

2024년 3월 27일, 블래스트(Blast) 생태계 프로젝트 먼치에이블스(Munchables)는 해킹 공격으로 한화 약 906억 원의 손실을 입었다. 이후, 블래스트 팀은 공격자이자 먼치에이블스의 전직 개발자가 몸값 없이 자발적으로 자금을 반환한 후 멀티시그 지갑을 통해 한화 약 1,406억원을 회수했다.

6. 라디안트 캐피탈 (Radiant Capital) 해킹

2024년 10월 17일, 라디안트 캐피탈(Radiant Capital)은 3개의 멀티시그 지갑을 해킹한 공격자가 악성 컨트랙트를 업그레이드하여 비앤비 체인(BNB Chain)과 아비트럼(Arbitrum)에서 운영을 중단하고 한화 약 725억 원의 손실을 입었다. 보안 회사 맨디언트(Mandiant)는 나중에 해당 공격이 북한과 연계된 그룹인 UNC4736의 소행으로 파악했다.

7. 빙엑스 (BingX) 해킹

2024년 9월 20일, 싱가포르 기반 암호화폐 거래소 빙엑스(BingX)는 핫월렛에 대한 무단 액세스를 감지하여 652억 원의 손실을 입었다. 미스트트랙(MistTrack)의 분석에 따르면, 이 사건과 인도닥스(Indodax) 해킹 사건은 북한 해킹 조직인 라자루스 그룹(Lazarus Group)과 관련된 주소를 통한 자금 세탁이 연관된 것으로 나타났다.

8. 헤지 파이낸스 (Hedgey Finance) 해킹

2024년 4월 19일, 헤지 파이낸스(Hedgey Finance)는 불충분한 입력 검증으로 인해 공격을 받아 이더리움(Ethereum)과 아비트럼에서 무단 승인 및 약 648억원의 손실을 입었다.

9. 펜파이 (Penpie) 해킹

2024년 9월 4일, 유동성 보상 프로젝트 펜파이(Penpie)는 펜들 파이낸스(Pendle Finance)의 시장 조성 프로세스에 대한 잘못된 가정으로 인해 공격을 받아 약 430억 원의 손실을 입었다. 공격자는 악의적인 스마트 계약과 플래시 대출을 사용하여 보상을 인위적으로 증폭시켰다.

10. 픽스드플로트 (FixedFloat) 해킹

2024년 2월 16일, 암호화폐 플랫폼 픽스드플로트(FixedFloat)는 외부 취약점으로 인해 409 비트코인(약 306억 9,650만 원)과 1,728 이더리움(약 70억 원)을 도난당했다. 4월 2일에 발생한 후속 공격으로 총 손실액은 약 420억 원으로 증가했다.

2024년 러그 풀 사건 TOP10

  • 지카지노 (ZKasino)
  • 아이비엑스트레이드 (IBXtrade)
  • 에센스 파이낸스 (Essence Finance)
  • 샤페이 (SHARPEI)
  • 젬홀릭 (Gemholic)
  • 시도 네트워크 (Shido Network)

관련정보: 스캠코인 이란? : 뜻 종류 유형

2025년 바이비트 역대 최대 해킹사건 발생(업데이트)

✉ eb@economybloc.com

└관련뉴스

톤코인 재단 소속 인턴, 개인 밈코인 발행·홍보로 해고 당해

소프트웨어 공급망 공격, 가상자산 피해 거의 없어

미국 가상자산 채택 2위로 급등…아시아 태평양이 성장 주도

피델리티, 이더리움 세 가지 시나리오 제시

바이낸스, 롬바드(BARD) 코인 현물마켓 상장 · HODLer 에어드랍 진행

아스타 네트워크, ASTR 코인 고정 공급량 전환 투표 시작

코인원, 얄라(YALA) 코인 거래유의종목 지정·스마트 레이어(SLN) 코인 연장

바이낸스, 알파(ALPHA) 코인 무기한 선물 상장폐지 예정

미국 월가
업비트
업비트
비트코인 현물 ETF

인기뉴스

1

비트멕스, 17일 국내 유명 고래 트레이더 ‘워뇨띠’와 실시간 AMA 개최

워뇨띠
2

아발론 랩스, BTC트레저리스넷 기준 비트코인 보유 5위 비공개 기업

아발론 랩스(Avalon Labs)
3

바이낸스, 토시(TOSHI)·에스티비엘(STBL) 코인 무기한 선물마켓 상장 예정

바이낸스
4

오케이엑스, 에테나(ENA) 코인 현물마켓 상장 예정

OKX 거래소
5

비트마인·판테라·크립토퀀트·매트릭스포트, 비트코인 전망

비트코인
6

비트코인 전략 비축법 추진 위해 워싱턴 집결한 세일러 등 가상자산 업계 인사들

신시아 루미스 / 뉴욕포스트
7

빗썸, 토시(TOSHI)·홀로월드(HOLO) 코인 원화마켓 상장 예정

빗썸