국내 가상자산 거래소 지닥에서 발생한 200억원 규모 해킹이 거래소의 지갑 키 유출이 아닌 내부 인프라 시스템 침투에 의한 것이라는 분석이 나왔다.
국내 정보보안 기업 티오리에서 웹3 보안 감사를 수행하는 체인라이트팀은 11일 미디움을 통해 "공격자의 패턴에서 몇 가지 특이한 점을 발견했다"면서 예상되는 해커의 공격 경로를 제시했다.
이들은 공격자가 1000만여개의 위믹스(WEMIX)를 탈취하기 전, 모든 사용자의 WEMIX 입금 주소에서 지닥 핫월렛으로 WEMIX를 전송해 한 데 모으는 대량의 트랜잭션이 발생했다는 점을 짚었다.
이 과정은 스윕(Sweep, 통합)이라고 부르는데, 중앙화 거래소가 사용자의 출금 요청을 처리하기 위해 쓰는 방법으로 알려졌다.
체인라이트는 "한 번도 스윕 트랜잭션을 생성하지 않은 사용자의 입금 주소에서도 거래가 발생해, 공격자가 모든 거래소 사용자 입금 주소의 비밀키 혹은 스윕 트랜잭션 권한을 탈취했다고 추정된다"고 썼다.
아울러 체인라이트 팀은 ▲사용자 잔고 금액 순서대로 스윕 트랜잭션이 발생한 점 ▲정상 출금에 사용되는 가스 한도를 사용한 점 ▲다른 ERC-20 토큰들은 탈취하지 않고 그대로 두었다는 점을 내부 인프라 공격의 근거로 들었다.
블루밍비트 뉴스룸
news@bloomingbit.io뉴스 제보는 news@bloomingbit.io뉴스에 대한 의견과 질문을 자유롭게 남겨보세요!
방금 읽은 기사 어떠셨나요?