5,000만 달러 도난 - 주소 재확인 실패로 인한 도난

에릭, 포사이트 뉴스

북경 시간으로 어제 새벽, X 온체인 분석가인 스펙터가 이체 주소를 다시 확인하지 않아 해킹된 주소로 약 5천만 USDT가 이체된 사례를 발견했습니다.

작성자에 따르면, 해당 주소(0xcB80784ef74C98A89b6Ab8D96ebE890859600819)는 3월 19일 13:00경에 코인에이드에서 대량 인출 전 50 USDT를 테스트하는 데 사용되었다고 합니다.

약 10시간 후, 이 주소는 코인세이프로부터 49,999,950 USDT를 일회성으로 제공받았으며, 앞서 제공받은 50 USDT와 합쳐 정확히 5천만 달러를 받았습니다.

약 20분 후, 5천만 USDT를 받은 주소가 테스트를 위해 0xbaf4...95F8b5로 50 USDT를 먼저 이체했습니다.

테스트 전송이 완료된 후 15분 이내에 해커는 0xbaff...08f8b5 주소에 49,999,950 USDT가 남아 있는 주소로 0.005 USDT를 전송했습니다. 50 USDT를 받은 주소와 시작과 끝이 비슷한 주소를 사용했습니다. 해커가 사용한 주소는 50 USDT를 받을 때 사용한 주소와 시작과 끝이 비슷하여 명백한 "주소 중독" 공격입니다.

10분 후 0xcB80 주소가 나머지 4천만 USDT를 이체하려고 할 때, 해커가 '포이즈닝'한 주소인 이전 트랜잭션이 실수로 복제되어 5천만 USDT에 가까운 금액을 해커에게 직접 송금한 것으로 보입니다.

해커들은 5천만 달러를 손에 넣은 후 30분 후부터 자금 세탁을 시작했습니다. 슬로우포그의 모니터링에 따르면, 해커들은 먼저 메타마스크를 통해 USDT를 DAI로 거래한 후, 해당 DAI를 모두 사용해 약 16,690개의 이더를 구매하고 10개의 이더를 남긴 후 나머지 이더를 모두 토네이도 캐시로 이체했습니다.

어제 16:00경, 해커들은 체인에서 피해자에게 해킹당한 사실을 외치며 해킹 사실을 알지 못한다고 말했습니다. 피해자는 체인에 있는 해커에게 공식적인 형사 고소가 접수되었으며 법 집행 기관, 사이버 보안 기관 및 여러 블록체인 프로토콜의 도움을 받아 해커의 활동에 대한 신뢰할 수 있는 많은 정보를 수집했다고 소리쳤습니다. 소유주는 해커가 100만 달러를 남기고 나머지 98%의 자금을 반환할 수 있으며, 해커가 이에 응하면 더 이상 추적을 하지 않고, 협조하지 않으면 법적 채널을 통해 형사 및 민사 책임을 묻고 해커의 신원을 공개하겠다고 말했습니다. 하지만 현재까지 해커는 아무런 움직임도 보이지 않고 있습니다.

아캄 플랫폼에서 수집한 데이터에 따르면 해당 주소와 코인하코, 크라켄, 코인하코, 코보 주소에는 대량의 이체 기록이 있습니다. 코인하코, 크라켄, 코보는 소개할 필요가 없지만 코인하코는 비교적 생소한 이름일 수 있습니다. 코인하코는 2014년에 설립된 싱가포르 현지 암호화폐 거래소로, 2022년 싱가포르 통화청으로부터 대형 결제 기관 라이선스를 획득하여 싱가포르에서 규제되는 거래소로 인정받았습니다.

이 주소가 여러 거래소와 코보 호스팅을 사용한다는 점과 사건 발생 24시간 이내에 해커를 추적하기 위해 모든 당사자에게 신속하게 연락할 수 있다는 점을 고려할 때 개인보다는 조직이 소유한 주소일 가능성이 더 높다고 생각합니다.

"부주의"는 큰 실수

성공적인 "주소 중독" 공격에 대한 유일한 설명은 "부주의"이며, 이는 송금 전에 주소를 다시 확인함으로써 피할 수 있습니다. 하지만 이번 사건의 주인공은 이 중요한 단계를 건너뛴 것 같습니다.

주소 중독 공격은 2022년부터 존재해 왔으며, 이 이야기의 발단은 EVM 주소의 시작 부분을 사용자 지정할 수 있는 도구인 '예쁜 주소' 생성기입니다. 예를 들어, 작성자가 직접 0xeric으로 시작하는 주소를 생성하여 주소에 더 많은 레이블을 붙일 수 있습니다.

이 도구는 나중에 해커들에 의해 개인 키를 무차별 대입하도록 설계된 것으로 밝혀졌으며, 이로 인해 여러 건의 대규모 자금 도난이 발생했습니다. 그러나 사용자 정의된 시작과 끝을 생성하는 기능은 일부 사기꾼에게 아이디어를 제공하기도 했습니다. 사용자가 송금할 때 일반적으로 사용하는 주소와 비슷한 시작과 끝을 가진 주소를 생성하고 사용자가 일반적으로 사용하는 다른 주소로 송금하면 일부 사용자는 실수로 해커의 주소를 자신의 주소로 착각하여 자발적으로 체인에서 해커의 주머니로 자산을 전송할 수 있습니다.

과거 온체인 정보에 따르면 0xcB80으로 시작하는 주소는 거의 1년 전에 시작된 이번 공격 이전에 해커의 가장 중요한 표적 중 하나였던 것으로 나타났습니다. 이 공격은 본질적으로 해커가 너무 귀찮거나 주의를 기울이지 않아 언젠가는 넘어갈 것이라고 내기하는 방식이며, 한 눈에 알아볼 수 있는 이런 종류의 공격이지만 '어설픈' 사람들이 잇달아 희생되는 공격이기도 합니다.

이 사건에 대해 F2Pool의 공동 창업자 왕춘은 트위터를 통해 작년에 자신의 주소가 개인 키 유출을 당했는지 테스트하기 위해 500 비트코인을 전송했다가 해커에게 490 비트코인을 도난당했다며 피해자에 대한 동정심을 표했습니다. 춘 왕의 경험은 주소 중독 공격과는 아무런 관련이 없지만, 그는 누구나 어리석은 실수를 할 수 있으며 피해자가 부주의한 탓을 할 것이 아니라 해커를 탓해야 한다는 점을 강조하려고 했던 것 같습니다.

5천만 달러는 적은 금액은 아니지만, 이런 종류의 공격으로 도난당한 금액 중 가장 큰 금액은 아닙니다. 2024년 5월, 이런 유형의 공격으로 인해 7천만 달러 이상의 WBTC가 해커의 주소로 이체되었지만 피해자는 결국 보안 회사 Match Systems와 Cryptex가 운영하는 체인 거래소의 도움을 받아 피해금을 되찾을 수 있었습니다. 피해자는 결국 보안 회사인 매치 시스템즈와 크립텍스의 도움을 받아 온체인 협상을 통해 거의 모든 자금을 회수할 수 있었습니다. 하지만 이번 사건의 경우 해커가 탈취한 자금을 이더리움으로 빠르게 거래하여 토네이도 캐시로 이체했기 때문에 결국 자금을 회수할 수 있을지는 확실하지 않습니다.

카사의 공동 설립자이자 최고 보안 책임자인 제임스슨 롭은 4월에 주소 중독 공격이 빠르게 확산되고 있으며, 2023년 이후 비트코인 네트워크에서만 48,000건의 사건이 발생했다고 경고한 바 있습니다.

텔레그램의 가짜 줌 회의 링크를 포함한 이러한 공격은 영리하지는 않지만, 사람들이 경계를 늦출 수 있는 '평범한' 공격입니다. 어두운 숲 속에 있는 우리에게는 경계를 늦추지 않는 것이 결코 나쁜 생각은 아닙니다.