Nexus Mutual 창립자의 친필: 37만 NXM 토큰이 이렇게 해커에게 도난당했다

저자: Hugh Karp, Nexus Mutual 창립자
*번역: * 루장페이

1. 시간 배경

세계 표준시 12월 14일 월요일 오전 9시 40분, 나는 37만 NXM 토큰의 거래를 승인하는 사기를 당했다. 나는 이 거래가 내 채굴 보상으로 받은 돈이라고 생각했지만, 결과적으로 해커에게 직접 전송되었고, 이 해커는 이후 도난당한 NXM 토큰을 비트코인과 이더리움으로 청산하여 이 자금을 여러 주소와 거래소로 분산시켰다.

당시 나는 Ledger에 연결된 Metamask 지갑을 사용하고 있었고, Nexus Mutual 애플리케이션과 상호작용하고 있었다. 컴퓨터는 Windows 운영 체제였으며, 현재 Ledger의 개인 키는 안전하고, Nexus Mutual 스마트 계약과 자금도 영향을 받지 않았다. 따라서 이번 사건은 기본적으로 개인 공격으로 판단할 수 있다.

2. 지금까지의 사건 경과

이번 표적 공격 사건에서 우리는 대략 다음과 같은 상황을 알고 있다:

1. 세계 표준시 12월 11일 금요일 10:20경, 나는 이메일을 작성하고 있었고, 갑자기 컴퓨터 화면이 2-3초 동안 검게 변했다가 곧바로 복구되었다. 그때 나는 컴퓨터에 이상이 생겼다고 생각했지만, 별로 신경 쓰지 않았다.
2. 약 한 시간 후, 즉 세계 표준시 12월 11일 금요일 11:20경, 내 디스크가 감염되었고, Metamask 지갑 확장 프로그램이 해커 버전으로 대체되었다. 자세한 정보는 여기와 background.js 파일을 참조할 수 있다.
3. 사실, 나는 12월 14일 월요일까지 Metamask 지갑 확장 프로그램을 통해 암호화폐 거래를 하지 않았다.
4. 세계 표준시 12월 14일 월요일 오전 9:40, 나는 Nexus Mutual 애플리케이션에서 채굴 보상 토큰을 인출하려고 했다. 평소처럼 MetaMask가 출금 신청 확인 정보를 팝업했는데, 사실 이건 이상할 게 없었다. 매번 거래 시 확인 정보가 팝업되며 모든 것이 정상으로 보였다. 하지만 문제는 이 확인 정보에 Ledger로 전송되는 사기 거래가 포함되어 있었다. 결과적으로 나는 "확인"을 클릭했다.
5. 이 거래는 곧 Ledger에 나타났고, 나는 거래 정보를 체크한 후 "승인"을 클릭했다. 사실, 이때 "수신자" 주소와 다른 거래 정보를 확인했더라면 문제를 발견했을 것이다. 그러나 Ledger가 NXM을 직접 지원하지 않기 때문에 거래 정보에 수신자 등의 관련 읽을 수 있는 정보가 기본적으로 포함되지 않았다.
6. 이어서 나는 MetaMask 알림을 받았고, 거래가 완료되었다고 통보받았지만 Nexus Mutual 애플리케이션은 여전히 거래 확인을 기다리고 있었다. 이때 나는 상황이 이상하다는 것을 깨닫고 Etherscan을 확인했더니 이 돈이 해커의 주소로 전송된 것을 발견했다.

돌이켜보면, 내가 실수를 한 부분은 위의 5번째 단계에서 발생했다. 거래 시 더 주의해야 했고, 이번 해커 도난 사건은 전적으로 내 책임이라고 할 수 있다. 하지만 지적하고 싶은 것은, 암호화폐 기술에 익숙하지 않은 사람이라면 이체 시 관련 정보를 자세히 확인하기가 어렵다는 점이다. 결국 16진수 형식의 정보는 읽기 어렵기 때문이다. 개인적으로 나는 충분한 기술 지식을 가지고 있으며, 이러한 정보가 의미하는 바를 이해하고 있지만 여전히 실수를 했다. 따라서 일반 사용자들은 여기서 쉽게 넘어질 수 있다.

또한, 나는 이전에 신뢰하는 웹사이트에서 암호화폐 보상 토큰을 얻고 있었고, Nexus Mutual APP과 같은 공식 플랫폼에서 거래하는 것이 위험이 적다고 생각했다. 그러나 이번 해커 공격 사건을 통해 알게 된 것은, 신뢰할 수 있는 사이트인지 여부와 거래 가치에 관계없이 매번 거래를 확인하기 전에 정보를 꼼꼼히 체크해야 한다는 점이다.

현재 나는 이번 해커 사건에 대한 조사를 시작할 계획이며, 커뮤니티의 도움을 받아 자금을 추적할 것이다. 여러분의 지원에 감사드린다! 이 자리를 빌어 많은 사람들의 지원에 감사드리며, 특히 Sergej Kunz, Julien Bouteloup, Harry Sniko, Richard Chen, Banteg, 그리고 지금 이름을 밝히기 어려운 몇몇 분들에게 감사드린다.

3. 조사 결과 요약

• 과거 대부분의 MetaMask 해커 공격은 사용자가 악성 코드가 포함된 가짜 프로그램 버전을 다운로드하도록 유도하여 사용자의 개인 키를 도난하는 방식이었다. 하지만 이번 경우는 다르다. 내 컴퓨터는 이미 손상되었고, 디스크의 MetaMask 애플리케이션이 변조되었으며, 이는 브라우저 확장 프로그램에 문제가 발생할 때 경고 정보가 나타나지 않음을 의미한다.
• 이 악성 확장 구성은 coinbene.team에서 가져온 것으로 보이며, 우리는 이 도메인에서 몇몇 IP 주소를 추적했다. 아래 그림과 같다:

• 내 브라우저는 개발자 모드에 있었지만, 나는 개발자가 아니므로 이 작업은 해커가 수행했을 가능성이 높다.
• 우리는 다른 피해자들도 유사한 공격을 당했다는 것을 발견하고, 그들과 연락을 취했다.
• 이번 공격은 매우 표적화된 것으로 보이며, 해커는 피해자가 가질 수 있는 모든 NXM 토큰을 가져가지 않았다. 따라서 해커는 나를 위해 미리 준비된 거래 페이로드를 배치한 것으로 보인다.

아래는 관련성이 높은 몇몇 해커 주소를 나열한다:

이더리움:

• 0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
• 0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
• 0x09923e35f19687a524bbca7d42b92b6748534f25
• 0x0784051d5136a5ccb47ddb3a15243890f5268482
• 0x0adab45946372c2be1b94eead4b385210a8ebf0b

비트코인:

• 3DZTKLmxo56JXFEeDoKU8C4Xc37ZpNqEZN

메시징 (?) 채널

• 0x756c4628e57f7e7f8a459ec2752968360cf4d1aa

4. 우리가 모르는 것들

우선, 나는 내 컴퓨터가 어떻게 해킹되었는지 모르겠다.

지난 일주일 동안, 나는 감염된 컴퓨터에서 카스퍼스키의 전문가와 함께 전체 진단 프로그램을 허용하기 위해 많은 시간을 보냈지만, 현재까지 아무런 결과가 없다. 이 작업은 여전히 진행 중이다.

해커는 누구인가?

현재 우리가 보고 있는 상황으로 보아, 이 해커는 매우 능숙하다. 하지만 이는 공격 사건이 계속 발생할 가능성이 높고, 점점 더 많은 사람들에게 영향을 미칠 것임을 의미한다. 이 해커는 매우 재능이 뛰어나며, 대형 기술 팀의 일원일 가능성이 높다. 우리는 텔레그램에서 한 해커와 짧은 대화를 나누었고, 그들의 거래 활동을 기반으로 이 해커가 아시아 시간대에 있을 것이라고 생각한다.

현재 조사 작업은 계속 진행 중이며, 유용한 정보가 있으면 즉시 공유하고 발표할 것이다.

5. 배운 교훈

DeFi 산업에 익숙한 일부 사용자들은 MetaMask를 항상 신뢰하지 않으며, 그들은 심지어 "깨끗한" 컴퓨터를 따로 마련하여 MetaMask를 실행한다. 이 장치는 거래 서명에만 사용되며, 다른 용도로는 사용되지 않는다.

MetaMask는 많은 해커 공격의 목표가 되었기 때문에 나는 항상 정식 경로로 프로그램을 다운로드하는 데 매우 조심했지만, 그럼에도 불구하고 내 컴퓨터는 감염되었다. 이러한 문제를 피하고 싶다면 자금을 여러 계좌로 분산시키는 것이 좋으며, 이렇게 하면 손실을 최소화할 수 있다. 또한 서명하기 전에 하드웨어 지갑의 거래 정보를 반드시 확인해야 한다(말은 쉽지만 실제로는 어렵다, 특히 스마트 계약과 상호작용할 때).

현재까지 우리는 해커에 대한 오픈 소스 정보를 확보하지 못했지만, 현재 Etherscan에서 해커 주소를 표시했으며, 이는 조사 작업의 중요한 첫걸음이지만 이후에도 처리해야 할 많은 일이 남아 있다.

6. 다음 단계는 무엇인가?

나는 많은 팀들이 사용자 경험과 안전성 두 가지 관점에서 최상의 거래 선택을 찾고 있다는 것을 알고 있지만, 커뮤니티로서 우리는 이 분야에서 여전히 갈 길이 멀다. 다른 솔루션을 추천할 수는 없지만, 나는 모금된 자금의 일부를 사용하여 사용자 경험과 안전성 향상을 지원하기 위한 보상으로 기부할 것이다.

후속적으로 우리는 보상에 대한 세부 정보를 발표할 것이며, 이렇게 함으로써 더 많은 사람들이 개인 지갑 안전 솔루션을 개발하도록 장려하고 기술 발전을 촉진할 수 있을 것이라고 믿는다.

7. 해커에게 보내는 공개 편지

너는 매우 복잡한 기술을 사용하여 나에게서 자금을 도난했을 뿐만 아니라 이더리움 커뮤니티의 많은 다른 사람들로부터도 많은 자금을 훔쳤다. 나는 네가 일부 자금을 배후의 보스에게 보냈다는 것을 알고 있으며, 그래서 나는 이 돈을 되찾으려는 것을 포기했다.

너도 알다시피, 이더리움 커뮤니티에는 익명으로 활동하는 많은 화이트 해커들이 있으며, 그들은 보상을 통해 풍부한 보상을 얻고 있으며, 뛰어난 작업 덕분에 업계에서 명성을 얻고 있다. 네가 보여준 기술을 바탕으로, 나는 네가 화이트 해커의 일원이 될 수 있다고 생각한다. 그렇게 하면 합법적인 방법으로 돈을 벌 수 있으며, 부정한 재산을 배후의 보스에게 보내지 않아도 된다.

나는 네가 가진 기술을 최대한 활용하고, 올바른 이유로 암호화폐 커뮤니티에서 명예를 얻기를 바란다.

출처 링크: medium.com