최근 해커의 USDC 탈취 사건
최근 해커가 지갑 소유자가 악의적인 “허가” 서명을 무의식적으로 서명한 후 440,000달러 이상의 USDC를 탈취한 사건이 발생했다. 이는 Scam Sniffer의 월요일 트윗을 통해 알려졌다. 이번 도난 사건은 피싱 손실이 급증하는 가운데 발생했다. Scam Sniffer의 월간 보고서에 따르면, 11월에 6,000명 이상의 피해자로부터 약 777만 달러가 유출되었으며, 이는 10월 대비 총 손실이 137% 증가한 수치이다. 피해자 수는 42% 감소했음에도 불구하고 개인 손실은 크게 증가했다. “고래 사냥이 심화되었으며, 최고 피해액은 122만 달러(허가 서명)였다. 공격 횟수는 줄어들었지만, 개인 손실은 상당히 증가했다,”고 회사는 언급했다.
허가 기반 사기의 메커니즘
허가 기반 사기는 사용자가 합법적으로 보이는 거래에 서명하도록 속여 공격자에게 자신의 토큰을 사용할 권한을 조용히 넘기는 방식이다. 악의적인 dapp은 필드를 위장하거나 계약 이름을 스푸핑하거나 서명 요청을 일상적인 것으로 제시할 수 있다. 사용자가 세부 사항을 면밀히 검토하지 않으면, 요청에 서명하는 것은 사실상 공격자에게 사용자의 모든 ERC-20 토큰에 접근할 수 있는 권한을 부여하는 것이다. 일단 권한이 부여되면, 사기꾼들은 일반적으로 즉시 자금을 빼낸다. 이 방법은 사용자가 신뢰하는 애플리케이션에 지출 권한을 위임할 수 있도록 설계된 이더리움의 허가 기능을 악용한다. 이러한 편리함은 공격자에게 권한이 부여될 때 취약점이 된다.
“이 공격 유형의 특히 까다로운 점은 공격자가 한 거래에서 허가와 토큰 전송을 동시에 수행할 수 있거나(강탈형 접근 방식) 허가를 통해 접근 권한을 부여한 후 나중에 추가된 자금을 전송하기 위해 대기할 수 있다는 점이다(허가 기능 메타데이터 내에서 적절히 먼 접근 기한을 설정하는 한),” Tara Annison이 Decrypt에 말했다. “이러한 유형의 사기의 성공은 당신이 서명하는 것이 무엇을 할지 잘 인식하지 못하는 것에 의존한다,”고 그녀는 덧붙이며, “모든 것은 인간의 취약성과 사람들의 열망을 이용하는 것에 관한 것이다.”
피싱 사기의 증가와 대응
Annison은 이번 사건이 고립된 것이 아니라고 강조했다. “사용자를 속여서 그들이 완전히 이해하지 못하는 것에 서명하도록 유도하는 피싱 사기의 큰 가치와 높은 볼륨의 사례가 많이 있다. 종종 무료 에어드롭의 가장을 쓰거나, 지갑을 연결하기 위한 가짜 프로젝트 랜딩 페이지 또는 당신이 영향을 받았는지 확인하기 위한 사기성 보안 경고를 통해 이루어진다,”고 그녀는 덧붙였다.
지갑 제공업체들은 더 많은 보호 기능을 도입하고 있다. 예를 들어, MetaMask는 사용자가 사이트가 의심스러워 보일 경우 경고하고 거래 데이터를 인간이 읽을 수 있는 의도로 변환하려고 시도한다. 다른 지갑들도 유사하게 고위험 행동을 강조한다. 그러나 사기꾼들은 계속해서 적응하고 있다. Harry Donnelly는 Decrypt에 허가 스타일 공격이 “상당히 널리 퍼져 있다”고 말하며 사용자가 발신자 주소와 계약 세부 사항을 확인할 것을 촉구했다. “그것이 당신이 실제로 자금을 보내려고 하는 프로토콜과 일치하지 않는다면, 아마도 누군가가 자금을 훔치려는 것일 가능성이 높다,”고 그는 말했다. “금액을 확인할 수 있으며, 종종 그들은 무제한 승인을 시도하려고 한다.”
사용자의 경계와 자금 회수의 어려움
Annison은 경계가 여전히 사용자의 가장 강력한 방어라고 강조했다. “허가, approveAll 또는 transferFrom 사기로부터 자신을 보호하는 가장 좋은 방법은 당신이 서명하는 것이 무엇인지 아는 것이다. 거래에서 실제로 어떤 행동이 이루어질 것인가? 어떤 기능이 사용되고 있는가? 이것들이 당신이 서명하고자 했던 것과 일치하는가?”
“많은 지갑과 dapp이 사용자가 맹목적으로 서명하지 않도록 보장하기 위해 사용자 인터페이스를 개선했으며, 결과가 무엇인지 볼 수 있도록 하고, 고위험 기능이 사용되고 있다는 경고를 제공하고 있다. 그러나 사용자가 서명하는 내용을 적극적으로 확인하고 단순히 지갑을 연결하고 서명 버튼을 누르는 것이 아니라는 것이 중요하다,”고 그녀는 말했다.
일단 도난당하면 자금을 회수하는 것은 불가능하다. Martin Derka는 Decrypt에 자금을 되찾을 가능성이 “기본적으로 제로”라고 말했다. “피싱 공격에서는 당신의 자금을 빼내는 것이 전부인 개인과 거래하고 있다. 협상도 없고, 연락할 지점도 없으며, 종종 상대방이 누구인지도 모른다,”고 그는 말했다. “이 공격자들은 숫자 게임을 한다,”고 Derka는 덧붙이며, “돈이 사라지면, 사라진다. 회수는 본질적으로 불가능하다.”
