블록체인 보안 플랫폼 Socket의 경고
블록체인 보안 플랫폼 Socket은 구글 Chrome 웹 스토어에서 사용자 자산을 탈취하기 위해 시드 문구를 훔치는 독특한 방식의 악성 암호화폐 지갑 확장 프로그램에 대해 경고했다. 이 확장 프로그램은 “Safery: Ethereum Wallet”이라고 불리며, Ethereum 기반 자산의 쉽고 효율적인 관리를 위해 설계된 “신뢰할 수 있고 안전한 브라우저 확장 프로그램”이라고 주장한다. 그러나 Socket의 화요일 보고서에서 강조된 바와 같이, 이 확장 프로그램은 사실상 교묘한 백도어를 통해 시드 문구를 훔치도록 설계되었다.
“간단하고 안전한 Ethereum (ETH) 지갑으로 마케팅되지만, 위협 행위자가 제어하는 Sui 지갑에서 마이크로 거래를 방송하고 시드 문구를 Sui 주소로 인코딩하여 유출하는 백도어를 포함하고 있다,”고 보고서는 전했다.
확장 프로그램의 위험성
특히, 현재 이 확장 프로그램은 Google Chrome 스토어에서 “Ethereum Wallet” 검색 결과 4위에 위치하고 있으며, MetaMask, Wombat, Enkrypt와 같은 합법적인 지갑보다 몇 자리 뒤에 있다.
이 확장 프로그램은 사용자가 새로운 지갑을 생성하거나 다른 곳에서 기존 지갑을 가져올 수 있게 하여 사용자에게 두 가지 잠재적인 보안 위험을 초래한다. 첫 번째 시나리오에서는 사용자가 확장 프로그램에서 새로운 지갑을 생성하고 즉시 작은 Sui 기반 거래를 통해 시드 문구를 악성 행위자에게 전송한다. 지갑이 첫날부터 손상되므로 자금은 언제든지 도난당할 수 있다. 두 번째 시나리오에서는 사용자가 기존 지갑을 가져오고 시드 문구를 입력하여 확장 프로그램 뒤에 있는 사기꾼에게 넘기며, 이들은 다시 작은 거래를 통해 정보를 볼 수 있다.
“사용자가 지갑을 생성하거나 가져올 때, Safery: Ethereum Wallet은 BIP-39 기억구문을 합성 Sui 스타일 주소로 인코딩한 후, 하드코딩된 위협 행위자의 기억구문을 사용하여 해당 수신자에게 0.000001 SUI를 전송한다,”고 Socket은 설명하며 덧붙였다: “수신자를 디코딩함으로써 위협 행위자는 원래 시드 문구를 재구성하고 영향을 받은 자산을 빼낼 수 있다. 기억구문은 정상적인 블록체인 거래 안에 숨겨져 브라우저를 떠난다.”
사기 확장 프로그램을 피하는 방법
이 악성 확장 프로그램이 검색 결과에서 높은 위치에 있지만, 합법성이 결여된 몇 가지 명확한 신호가 있다. 이 확장 프로그램은 리뷰가 전혀 없고, 브랜드가 매우 제한적이며, 일부 브랜드에 문법적 오류가 있고, 공식 웹사이트가 없으며, Gmail 계정을 사용하는 개발자에게 링크가 연결되어 있다. 사람들은 블록체인 플랫폼과 도구를 다루기 전에 충분한 조사를 하고, 시드 문구에 대해 매우 조심하며, 견고한 사이버 보안 관행을 유지하고, 검증된 합법성을 가진 잘 확립된 대안을 조사하는 것이 중요하다. 이 확장 프로그램이 마이크로 거래를 전송하기 때문에, 지갑 거래를 지속적으로 모니터링하고 식별하는 것이 필수적이며, 작은 거래라도 해로울 수 있다.
