화요일, 3월 5, 2024
디파이Ledger Connect 해커가 사용자를 속여 악의적인 승인을 하게 한 방법

Ledger Connect 해커가 사용자를 속여 악의적인 승인을 하게 한 방법

블록체인 보안 플랫폼인 Cyvers 팀에 따르면, 12월 14일 여러 Web3 앱에서 최소 484,000달러를 빼돌린 ‘Ledger 해커’는 Web3 사용자를 속여 악의적인 토큰 승인을 하게 했습니다.

관련된 여러 당사자의 공개 성명에 따르면 해킹은 12월 14일 오전에 발생했습니다. 공격자는 피싱 익스플로잇을 사용하여 전 Ledger 직원의 컴퓨터를 손상시키고 해당 직원의 NPMJS(노드 패키지 관리자 자바 스크립트) 계정에 액세스했습니다. .

액세스 권한을 얻은 후 Ledger Connect의 GitHub 저장소에 악성 업데이트를 업로드했습니다. Ledger Connect는 Web3 애플리케이션에 일반적으로 사용되는 패키지입니다.

일부 Web3 앱은 새 버전으로 업그레이드되어 앱이 사용자의 브라우저에 악성 코드를 배포하게 되었습니다. Web3 앱 Zapper, SushiSwap, Phantom, Balancer 및 Revoke.cash가 코드에 감염되었습니다.

그 결과, 공격자는 해당 앱 사용자로부터 최소 484,000달러를 빼돌릴 수 있었습니다. 다른 앱도 영향을 받을 수 있으며, 전문가들은 이 취약점이 전체 EVM(Ethereum Virtual Machine) 생태계에 영향을 미칠 수 있다고 경고했습니다.

어떻게 그런 일이 일어날 수 있었을까

Cyvers CEO Deddy Lavid, 최고 기술 책임자 Meir Dolev, 블록체인 분석가 Hakal Unal은 Cointelegraph와의 인터뷰에서 공격이 어떻게 발생했는지에 대해 추가로 밝혔습니다.

이들에 따르면 공격자는 악성 코드를 사용해 사용자의 지갑에 혼란스러운 거래 데이터를 표시해 사용자가 의도하지 않은 거래를 승인하도록 유도했을 가능성이 크다.

개발자는 Web3 앱을 만들 때 오픈 소스 ‘연결 키트’를 사용하여 앱이 사용자의 지갑과 연결할 수 있도록 한다고 Dolev는 말했습니다. 이러한 키트는 여러 앱에 설치할 수 있는 기본 코드 조각으로, 코드를 작성하는 데 시간을 소비하지 않고도 연결 프로세스를 처리할 수 있습니다. Ledger의 연결 키트는 이 작업을 처리하는 데 사용할 수 있는 옵션 중 하나입니다.

개발자가 처음 앱을 작성할 때 일반적으로 NPM(Node Package Manager)을 통해 연결 키트를 설치합니다. 빌드를 생성하고 사이트에 업로드하면 해당 앱에는 코드의 일부로 연결 키트가 포함되며, 이는 사용자가 사이트를 방문할 때마다 사용자의 브라우저에 다운로드됩니다.

Cyvers 팀에 따르면 Ledger Connect Kit에 삽입된 악성 코드를 통해 공격자는 사용자의 지갑으로 푸시되는 거래를 변경할 수 있을 가능성이 높습니다. 예를 들어, 앱 사용 프로세스의 일부로 사용자는 토큰 계약에 대한 승인을 발행하여 앱이 사용자 지갑에서 토큰을 사용할 수 있도록 해야 하는 경우가 많습니다.

악성 코드로 인해 사용자의 지갑에 토큰 승인 확인 요청이 표시되지만 앱 주소 대신 공격자의 주소가 표시되었을 수 있습니다. 또는 해석하기 어려운 코드로 구성된 지갑 확인이 나타나 사용자가 동의한 내용을 이해하지 못한 채 혼란스럽게 “확인”을 누르게 만들었을 수도 있습니다.

Web3 토큰 승인의 예. 출처: 메타마스크.

블록체인 데이터에 따르면 공격 피해자는 악의적인 계약에 대해 매우 큰 규모의 토큰 승인을 했습니다. 예를 들어 공격자는 한 번의 거래로 이더리움 주소 0xAE49C1ad3cf1654C1B22a6Ee38dD5Bc4ae08fEF7에서 10,000달러 이상을 빼냈습니다. 이 거래의 로그는 사용자가 승인됨 악의적인 계약으로 인해 엄청난 양의 USDC가 소비됩니다.

익스플로잇 피해자의 토큰 승인. 출처: 이더스캔.

이번 승인은 악성코드로 인해 사용자의 실수로 이뤄졌을 가능성이 높다고 사이버스팀은 밝혔다. 그들은 지갑이 사용자에게 동의하는 내용에 대한 명확한 정보를 항상 제공하는 것은 아니기 때문에 이러한 종류의 공격을 피하는 것은 매우 어렵다고 경고했습니다. 도움이 될 수 있는 보안 방법 중 하나는 앱을 사용하는 동안 나타나는 각 거래 확인 메시지를 주의 깊게 평가하는 것입니다. 그러나 트랜잭션이 쉽게 읽을 수 없거나 혼란스러운 코드로 표시되는 경우에는 도움이 되지 않을 수 있습니다.

Cyvers는 자사 플랫폼을 통해 기업이 계약 주소를 확인하고 해당 주소가 보안 사고에 연루되었는지 확인할 수 있다고 주장했습니다. 예를 들어, 이번 공격에 사용된 스마트 계약을 생성한 계정은 180건의 보안 사고에 연루된 것으로 Cyvers에 의해 감지되었습니다.

사이버 보안 플랫폼. 출처: 사이버스.

미래의 Web3 도구를 사용하면 이와 같은 공격을 사전에 감지하고 저지할 수 있지만 업계에서는 이 문제를 해결하기 위해 아직 “갈 길이 멀다”고 팀은 Cointelegraph에 말했습니다.


RELATED ARTICLES

회신을 남겨주세요

귀하의 의견을 입력하십시오!
여기에 이름을 입력하십시오.

가장 인기 있는