최근 개인 전자지갑을 노린 암호화폐 백도어 해킹으로 피해를 입는 국내외 투자자들이 늘어나고 있어 주의가 요구된다. 디파이(Defi) 투자자 등 암호화폐 투자에 익숙한 이들조차 해킹 피해를 보고 있다.
암호화폐 보안기업 웁살라시큐리티는 "해커가 사용자의 개인지갑을 탈취하는 사례가 여러 건 확인되고 있다"며 "지난 9일에도 한 사용자가 악의적인 코드가 들어있는 링크를 클릭한 뒤 지갑 연동을 승인해 자금이 탈취된 사례가 보고됐다"고 밝혔다.
해킹은 주로 유명 블록체인 지갑 프로젝트인 메타마스크의 '승인(Approve)' 기능을 이용해 악의적인 코드를 심는 방식으로 이뤄진다. 지갑 사용자가 해당 코드를 승인하면 일종의 백도어가 설치돼 메타마스크 안의 모든 코인이 탈취되는 해킹 수법이다.
메타마스크는 지갑 내에서 댑(DApp)을 연결할 때 사용자 승인 절차를 거치도록 설계돼 있다. 메타마스크 사용자에게 동의를 구하는 일종의 장치라고 보면 된다. 이를테면 다른 댑에 단순히 토큰만 전송한다고 하더라도 승인 버튼을 눌러야 전송이 완료된다. 해커는 이러한 기능을 악용해 메타마스크 계정을 해킹할 수 있다.
특히 개인 전자지갑을 많이 사용하는 디파이(DeFi, 탈중앙금융) 프로젝트에서 관련 사례가 지속적으로 나오고 있다. 지난 2월 디파이 프로젝트 푸루콤보(Furucombo)를 공격한 해커도 비슷한 사례다. 이 해커는 자동 승인 기능을 활용하는 악의적인 코드를 심어 약 1400만달러 상당의 암호화폐를 탈취한 것으로 알려졌다.
자동 승인이란 댑에 접근할 때마다 승인 버튼을 눌러야 처리가 되는 번잡함을 없애기 위해 메타마스크가 만든 추가 기능이다. 매번 로그인을 수동으로 해야하는 불편함을 없애려고 '자동 로그인' 기능을 만든 원리와 유사하다. 자동 승인을 활성화하면 사용자는 해당 댑에서 추후에 다시 승인 버튼을 일일이 누르지 않아도 된다.
해커가 해킹을 목적으로 스캠(Scam, 사기) 프로젝트를 직접 만드는 사례도 보고됐다. 알렉스 마누스킨 젠고(ZenGO) 소속 연구원은 지난해 10월 "유니캣츠라는 스캠 프로젝트가 피해자 한 명에게 14만달러 상당의 유니(UNI) 코인을 탈취했다"고 소개했다. 마누스킨 연구원에 따르면 이 해커는 유니캣츠에 처음부터 악의적인 코드를 심은 후, 메타마스크 승인을 누른 사용자의 암호화폐를 노렸다.
지난 7일에는 국내 한 암호화폐 커뮤니티 채팅방에 메타마스크 지갑 해킹을 당했다는 피해 사례가 올라오기도 했다. 실제 코인데스크코리아가 코박에 확인해본 결과, 해커는 우선 국내 암호화폐 커뮤니티 사이트인 코박의 관리자 계정을 해킹한 후, 해당 계정으로 유니스왑 토큰 판매 안내글을 올렸다.
이메일 주소를 남기고 지갑을 연동하고 정해진 주소로 코인을 보내면 높은 이익율을 보장해 주겠다는 내용이었다. 이렇게 지갑을 연동할 경우 해커가 마음만 먹으면 개인 지갑 탈취 목적으로 악의적인 코드를 심을 수 있다. 실제로 이 피해자는 커뮤니티 채팅방에 피해 사실을 밝히며 "메타마스크 지갑에서도 1200만원 어치 (코인을) 다 빼갔다"고 적었다.
다만 코박은 "10일 현재까지 해당 총 5명의 피해자가 접수됐지만 메타마스크 승인 기능을 이용한 자금 탈취 사례는 확인되지 않았다"며 "코박은 피해가 접수되면 관련 자료를 피해자에게 제공하여 신고를 도와주고 경찰 수사에 적극 협조할 예정이다"라고 설명했다. 코박은 이들의 총 피해액을 약 1억2000만원으로 추정하고 있다.
국내외 피해를 종합해보면 대부분의 탈취 사례가 메타마스크 지갑에서 발생했다. 메타마스크가 개인용 전자지갑 서비스 점유율이 높기 때문으로 추정된다. 기본적으로 전자지갑 '승인' 기능을 이용한 해킹 피해는 블록체인 지갑이라면 어디서든 공통적으로 발생할 수 있다.
악의적인 코드에 한번 노출된 지갑은 자금이 탈취된 이후에도 해킹 가능성이 그대로 남아있기 때문에 주의해야 한다. 가장 좋은 방법은 공격에 노출된 지갑 대신 새로운 지갑을 이용하는 것이다. 물론 대안도 존재한다. 이에 대해 남두완 메이커다오 한국 대표는 "나도 디파이를 하는 과정에서 관련 피해를 몇 차례 겪은 바 있다"며 "지갑을 유지하고 싶다면 승인 처리를 취소해주는 사이트에서 내 지갑 주소를 입력하고 승인 내역을 확인한 뒤, 취소 버튼을 눌러 승인을 철회할 수 있다"고 설명했다.
처음부터 피해를 예방하는 방법도 생각해 볼 수 있다. 모종우 그로우파이 공동창업자는 "지갑 승인을 하기 전에 관렵 댑의 코드를 파악하고 들어가면 피해를 입지 않을 수 있다"고 말했다. 그러나 코드를 파악하는 일이 일반인에게는 쉽지 않다. 이에 대해 그는 "댑들도 저마다 코드 구조가 달라서 일반인들은 분석을 하기 어려운 것이 사실"이라며 "댑 진입 전에 커뮤니티의 반응을 충분히 살피고 들어가는 것이 최선의 방법"이라고 덧붙였다.
타이탄스왑, TVL 과대 공시...다른 디파이 유동성 '영끌' 
암호화폐 투자심리 위축…랠리 반전카드는 디파이·NFT? 
ING은행 "비트코인보다 디파이가 은행에 지장 끼칠 것" 
확장되는 테라 기반 디파이…미러프로토콜, “앵커프로토콜과 연동 목표” 
암호화폐 전체 시가총액이 사상 최고치 경신 .. DeFi 분야도 상승세 
포튜브 "예치액·예대율 Cream과 비슷한 수준" 입력 2020-12-04 17:50가가 
[UDC2020] 전통자산, 블록체인으로 움직인다…대세는 '디파이' 
들어봤나? ‘메타버스 시대’ 새 조직 ‘국보DAO’ 
삼성전자 투자 FTX 최대주주, 디파이 전문 델타원에 투자 
올해는 다오(DAO)의 해···생각만큼 되지 않는 3가지 이유 
메이커다오 다이(DAI) 시가총액, 10억달러 육박 
NFT·디파이 검증 인터뷰...진짜를 찾아라-마이로드 편 
게리 갠슬러 SEC 위원장 "암호화폐 거래소·대출·디파이 플랫폼, SEC 등록해야" 
대형금융그룹 ING, 디파이(DeFi)에 관한 보고서 공개 
TMTG, 디파이 프로젝트 TOM Finance 11월초 출시예정 
'벼락스타' 디파이 위기론… 미래 금융으로 발전 가능할까? 
디파이 겨냥 해킹 확산...라리 캐피털도 8000만달러 이상 피해 
마이클 조던의 웹3? 출처 : 코인데스크 코리아 (http://www.coindeskkorea.com/news/articleView.html?idxno=76640) 
돌아돌아 결국 이더리움··· 레이어2 디파이가 ‘뜬’ 이유 
"내가 곧 금융사"…디파이, 포스트 금융모델 부상 
