한 암호화폐 거래자가 정교한 '주소 조작' 공격에 희생되어 테더( 테더 USDT(USDT) 에서 5천만 달러 상당의 손실을 입었습니다.
12월 20일, 블록체인 보안 회사인 스캠 스니퍼(Scam Sniffer)는 피해자가 자신의 주소로 50달러의 소액 테스트 거래를 보낸 후 공격이 시작되었다고 보고했습니다.
주소 조작 사건의 전말은 어떠했을까?
특히, 거래자들은 송금하는 주소가 정확한지 확인하기 위해 이러한 일반적인 예방 조치를 취합니다.
하지만 해당 활동은 공격자가 제어하는 자동화 스크립트에 경고를 보내 즉시 "위조된" 지갑 주소를 생성했습니다.
가짜 주소는 수신자의 주소와 영숫자 문자열의 시작과 끝 부분이 일치하도록 설계되었습니다. 차이점은 중간 문자에만 나타나므로 한눈에 사기를 알아차리기 어렵습니다.
공격자는 그 후 위조된 주소에서 피해자의 지갑으로 극소량의 암호화폐를 보냈습니다.
해당 거래로 인해 사기성 주소가 피해자의 최근 거래 내역에 추가되었는데, 많은 지갑 인터페이스에서는 주소 정보가 일부만 표시됩니다.
피해자는 해당 시각적 약어에 의존하여 전체 문자열을 확인하지 않고 거래 내역에서 주소를 복사했습니다. 그 결과, 안전한 개인 지갑으로 자금을 이체하는 대신 49,999,950 테더 USDT(USDT) 공격자에게 직접 보냈습니다.
온체인 기록에 따르면,악의적인 공격자는 자금을 수령한 후 자산 압류 위험을 최소화하기 위해 신속하게 움직였습니다. 공격자는 발행자가 동결할 수 있는 훔친 테더 USDT(USDT) MetaMask Swap을 사용하여 다이(Dai) 스테이블코인으로 즉시 교환했습니다.
공격자가 거래 내역을 은폐하려 하고 있습니다. 출처: Slowmist공격자는 그 자금을 약 16,680 이더리움(ETH) 로 환전했습니다.
공격자는 거래 내역을 더욱 모호하게 하기 위해 이더리움(ETH) 을 토네이도 캐시(Tornado Cash) 에 예치했습니다. 이 분산형 믹싱 서비스는 송금 주소와 수취 주소 간의 가시적인 링크(Chainlink) 차단하도록 설계되었습니다.
피해자, 100만 달러 현상금 제시
피해자는 자산을 되찾기 위해 도난당한 자금의 98%를 돌려주는 대가로 100만 달러의 화이트햇 현상금을 제시하는 메시지를 블록체인에 게시했습니다.
"저희는 공식적으로 형사 소송을 제기했습니다. 사법 당국, 사이버 보안 기관 및 여러 블록체인 프로토콜의 도움을 받아 귀하의 활동에 관한 상당하고 실행 가능한 정보를 이미 수집했습니다."라고 메시지 에 명시되어 있었습니다 .
해당 메시지는 가해자가 48시간 이내에 응하지 않을 경우 피해자가 "가차 없는" 법적 조치를 취할 것이라고 경고했습니다.
"만약 당신이 이를 준수하지 않을 경우, 우리는 법적 및 국제 사법 기관을 통해 이 문제를 제기할 것입니다. 당신의 신원은 공개되어 관련 당국에 제공될 것입니다. 우리는 완전한 정의가 실현될 때까지 형사 및 민사 소송을 끈질기게 추구할 것입니다. 이는 요청이 아닙니다. 돌이킬 수 없는 결과를 피할 수 있는 마지막 기회입니다."라고 피해자는 밝혔습니다.
이번 사건은 블록체인 코드의 결함보다는 디지털 지갑이 거래 정보를 표시하는 방식과 공격자가 사용자 행동을 악용하는 방식에 지속적인 취약점이 있음을 보여줍니다.
보안 분석가들은 지갑 제공업체들이 사용 편의성과 디자인상의 이유로 긴 주소 문자열을 축약하는 관행이 지속적인 위험을 초래한다고 반복적으로 경고해 왔습니다.
이 문제가 해결되지 않으면 공격자들은 사용자들이 주소의 처음과 마지막 몇 글자만 확인하는 경향을 계속해서 악용할 가능성이 높습니다.
