암호화폐 세계에서 이번 주에 드문 희소식이 있었는데, 사용자가 지갑 버그로 인해 잃었던 100 이더리움(ETH)을 회수했습니다.
이 회수는 Safe 지갑 팀의 조치와 프로토파이어의 화이트햇 개발자들의 선견지명 덕분입니다.
지갑 버그로 100 이더리움(ETH) 분실—놀라운 구조로 회복
이 사건은 오랜 이더리움 사용자 khalo_0x가 X(트위터)에서 이더리움 메인넷에서 베이스 블록체인으로 100 이더리움(ETH)을 브릿징하려고 시도할 때 발생했습니다. 그는 공식 Safe 지갑 브릿지 인터페이스를 사용했습니다.
현재 환율로, 이더리움(ETH)이 $2,635에 거래되고 있어 이 이체는 $263,500 이상의 가치가 있었습니다.
이더리움(ETH) 가격 성과. 출처: 비인크립토(BeInCrypto)그는 모르는 사이에 브릿지 도구 내의 중요한 사용자 경험 버그로 인해 자신의 것으로 보이는 스마트 계약 지갑으로 이체되었습니다.
하지만 이 지갑은 다른 주체에 의해 통제되었습니다.
문제의 근본 원인은 Khalo가 2020년에 배포된 오래된 버전의 Safe(v1.1.1)를 사용했기 때문입니다. 이 레거시 버전은 멀티체인 고려사항 이전의 것으로, 현재 새로운 버전에서 표준인 보호 장치가 없었습니다.
결과적으로, 처음에는 공격자로 보였던 누군가가 이전에 베이스에 Khalo의 지갑 주소 복사본을 다른 소유자 구성으로 배포했습니다. 이로써 그들은 자금이 브릿징되는 즉시 효과적으로 자금을 탈취했습니다.
"어제 밤 Safe를 사용해 평생 모은 자금을 한 번의 클릭으로 잃었습니다. 8년 동안 이더리움(ETH)을 보유하고 사기를 피해왔는데도 말입니다. 공식 브릿지 기능 내의 UX 버그로 목적지 주소가 베이스의 내 Safe인 것처럼 보였지만, 그렇지 않았습니다," Khalo가 한탄했습니다.
이 트윗은 암호화폐 커뮤니티의 주목을 받았고, Safe 팀도 관심을 가졌습니다. 빌더 Tschubotz.eth가 조사한 결과, 브릿지된 이더리움(ETH)을 통제하는 베이스 주소가 실제로는 악의적이지 않다는 것을 발견했습니다.
구식 지갑 버전이 크로스체인 익스플로잇의 문을 열었습니다
오히려 이 주소는 화이트햇 개발 회사인 프로토파이어가 악의적인 공격자들이 그렇게 하지 못하도록 베이스에 수백 개의 Safe v1.1.1 지갑을 선제적으로 배포한 것이었습니다.
"EOA(외부 소유 계정)와 달리 Safe와 같은 스마트 계정은 배포된 스마트 계약 코드에 의해 관리됩니다. 기술적으로 동일한 주소에서 다른 체인에 동일한 배포 구성(동일한 서명자)으로 스마트 계정을 배포하는 것이 가능합니다... 하지만 이 경우는 달랐습니다... 당시의 스마트 계정 버전(v1.1.1)은 멀티체인을 고려하지 않았기 때문에, 누구나 다른 체인에서 완전히 다른 구성으로 동일한 주소에 스마트 계정을 배포할 수 있었습니다," Safe 공동 창립자 루카스 쇼어가 설명했습니다.
Khalo의 신원을 확인한 후, 프로토파이어는 즉시 전체 100 이더리움(ETH)을 반환했습니다. 테스트 거래 후 성공적인 전체 이체가 이루어져 위기는 시작된 지 몇 시간 만에 해결되었습니다.
"이것은 최근 제가 본 가장 멋진 암호화폐 이야기 중 하나입니다," 드래곤플라이의 상임 파트너 하세브 쿠레이시가 말했습니다.
이 사건은 암호화폐 지갑이 멀티체인 생태계로 발전함에 따라 더 나은 사용자 보호장치의 시급한 필요성을 강조합니다.
Safe의 업데이트된 버전 v1.2.0은 이제 계약 배포 중 CREATE2 솔트 계산 방식을 변경하여 이러한 유형의 익스플로잇을 방지하는 보호 장치를 포함하고 있습니다.
브릿지 도구는 또한 목적지 주소에 충돌하는 스마트 계약 코드가 존재할 경우 경고를 발행하도록 업그레이드되었습니다.
그럼에도 불구하고 이 사건은 사용자들이 여전히 미묘하고 명확하지 않은 버그에 취약하다는 냉정한 경고입니다.
"... 우리는 아직 사용자들이 더 큰 자금을 이동하기 전에 테스트 거래를 해야 하는 단계에 있습니다," 쇼어가 덧붙였습니다.
초기의 트라우마에도 불구하고 Khalo의 이야기는 그의 자금이 복구되며 마무리되었습니다.
