국내 최대 규모 디파이 서비스 ‘클레이스왑’, 22억 규모 암호화폐 탈취 당해
외부 사이트로부터의 SDK 파일 감염, 총 325개의 지갑에서 407개의 비정상적 트랜잭션
디파이 서비스에서의 보안 위협 수면 위로 드러나, 해커들의 집중 타깃 우려
[보안뉴스 권 준 기자] 예치금액이 20억 달러(약 2조 4,000억원)에 달하는 국내 최대 규모 디파이(Defi, 탈중앙화 금융) 서비스 ‘클레이스왑(KLAYswap)’에서 22억 규모에 달하는 가상자산(암호화폐)이 탈취되는 해킹 사건이 발생하면서 디파이 서비스에 대한 보안 위협이 고조되고 있다.
▲국내 최대 규모 디파이 서비스 클레이스왑의 해킹 사건 공지 화면[이미지=클레이스왑 홈페이지 캡처]
클레이스왑 개발사인 오지스가 발표한 해킹사고 리포트에 따르면 지난 3일 오전 11시 31분 경 클레이스왑 UI를 통해 토큰 관련 기능을 실행했을 때 토큰이 특정 지갑으로 전송되는 일이 발생했다. 이번 사건은 외부 네트워크망에 대한 공격으로 인해 사용자의 정상적인 카카오 SDK 자바스크립트(Javascript) 파일 요청이 카카오 서버가 아닌 공격자가 구축한 제3의 서버로 연결되어 악성코드 파일이 다운로드 되는 현상이 일어났기 때문으로 분석됐다.
이로 인해 악성코드 파일이 다운로드된 오염된 로직으로 트랜잭션이 발생된 경우 공격자의 주소로 이용자의 자산이 사용 승인되거나 자산이 직접 전송되는 일이 일어났다는 게 오지스 측의 설명이다. 이런 방식으로 총 325개의 지갑에서 407개의 비정상적 트랜잭션이 발생됐으며, 이로 인해 약 22억원 상당의 가상자산이 탈취된 것으로 드러났다.
이에 오지스 측은 “사고 파악 시점으로부터 추가적인 피해를 방지하기 위해 클레이스왑의 모든 기능을 차단하고 긴급 점검을 실행했으며, 탈취된 자산이 오르빗 브릿지를 통해 거래소로 유출되는 것을 방지하고자 브릿지 내 클레이튼 민터 동작을 일시 중단했다”고 밝혔다. 이어 클레이스왑 및 오르빗 브릿지 기능 제한과 함께 사고의 주요 원인으로 파악되는 감염된 카카오 SDK 파일을 제거하고 전반적인 소스코드 점검을 진행했다고 설명했다.
이와 함께 공격자가 사용한 스마트 컨트랙트에 노출된 지갑 주소와 자산 목록을 모두 파악했고, 정상화된 클레이스왑 사이트를 통해 문제 컨트랙트에 승인된 자산 목록을 다시 해제할 수 있도록 추가 개발을 완료했다는 게 오지스 측의 설명이다.
그러나 해킹 사고 시점 이전에 사이트를 접속한 상태로 계속해서 클레이스왑을 이용 중인 사용자의 경우 공격자의 코드가 남아 있는 사이트 상에서 트랜잭션이 일어나기 때문에 지속적으로 자산 탈취가 발생했을 가능성이 있다. 이에 따라 피해 규모가 더 늘어날 수도 있다. 이는 클레이스왑에서 별도로 처리할 수 없기 때문에 사용자가 반드시 직접 자신의 인터넷 브라우저의 캐시를 삭제한 후 사이트를 이용해야 한다.
오지스 측은 “해당 시간대에 클레이스왑 사이트에서 트랜잭션을 발생시킨 사용자를 제외한 다른 사용자의 모든 자산은 안전하게 보관되어 있다”며, “비정상적 트랜잭션들을 조회하여 피해를 입은 사용자들에게는 관련 보상 지급을 준비할 예정”이라고 밝혔다.
덧붙여 “2022년 2월 3일자로 클레이스왑에서 스왑, 예치, 출금 등의 거래를 위해 토큰 승인 및 트랜잭션을 진행한 사용자들의 경우, 클레이스왑 접속 후 토큰 승인 해제 페이지로 이동하여 반드시 모든 자산에 대해 토큰 승인을 해제한 후 이용해야 한다”며, “토큰 승인 해제 완료 후 문제된 컨트랙트로부터 안전하게 자산을 관리할 수 있으나, 새로운 지갑 주소로 기존 자산을 전송한 후 계속해서 클레이스왑을 이용하는 것을 권장한다”고 당부했다.
이번 해킹 사건은 클레이스왑의 프론트 엔드 소스코드 및 스마트 컨트랙트 보안 이슈가 아닌 외부 사이트로부터의 SDK 파일 감염으로 인해 발생한 공격으로 알려지면서 외부 접점을 통로로 한 디파이 서비스의 보안 취약성이 드러났다는 지적이다.
디파이 서비스는 블록체인과 스마트 컨트랙트를 이용해 가상자산을 예치하고 이자를 받는 등의 금융 서비스를 제공하는 것을 의미한다. 전통적인 금융기관에 의존하지 않고, 가상자산 등을 자유롭게 거래할 수 있으며 기존 금융 상품보다 수익률이 높아 근래 관련 서비스가 급성장 중이다. 다만, 디파이 서비스를 스타트업이 운영하는 경우가 많아 안정성을 담보할 수 없고, 정부 규제 및 관리의 사각지대에 놓여 있어 위험성이 크다는 우려도 제기돼 왔다.
이번에 해킹 사고를 당한 클레이스왑은 카카오의 자회사인 그라운드X가 개발한 블록체인 플랫폼 ‘클레이튼’을 기반으로 하는 디파이 서비스로, 서비스 자체의 소스코드와 스마트 컨트랙트의 보안성은 상대적으로 높다는 평가를 받아왔다. 하지만 외부 접점에서의 보안 이슈가 불거지면서 디파이 서비스에서의 보안 위협이 수면 위에 드러났다고 볼 수 있다. 더욱이 일반 금융기관보다 자산 추적이 어려우면서도 공격은 상대적으로 수월하기 때문에 해커들의 집중 타깃이 될 가능성이 높다는 지적이다.
[권 준 기자(editor@boannews.com)]
외부 사이트로부터의 SDK 파일 감염, 총 325개의 지갑에서 407개의 비정상적 트랜잭션
디파이 서비스에서의 보안 위협 수면 위로 드러나, 해커들의 집중 타깃 우려
[보안뉴스 권 준 기자] 예치금액이 20억 달러(약 2조 4,000억원)에 달하는 국내 최대 규모 디파이(Defi, 탈중앙화 금융) 서비스 ‘클레이스왑(KLAYswap)’에서 22억 규모에 달하는 가상자산(암호화폐)이 탈취되는 해킹 사건이 발생하면서 디파이 서비스에 대한 보안 위협이 고조되고 있다.
▲국내 최대 규모 디파이 서비스 클레이스왑의 해킹 사건 공지 화면[이미지=클레이스왑 홈페이지 캡처]
클레이스왑 개발사인 오지스가 발표한 해킹사고 리포트에 따르면 지난 3일 오전 11시 31분 경 클레이스왑 UI를 통해 토큰 관련 기능을 실행했을 때 토큰이 특정 지갑으로 전송되는 일이 발생했다. 이번 사건은 외부 네트워크망에 대한 공격으로 인해 사용자의 정상적인 카카오 SDK 자바스크립트(Javascript) 파일 요청이 카카오 서버가 아닌 공격자가 구축한 제3의 서버로 연결되어 악성코드 파일이 다운로드 되는 현상이 일어났기 때문으로 분석됐다.
이로 인해 악성코드 파일이 다운로드된 오염된 로직으로 트랜잭션이 발생된 경우 공격자의 주소로 이용자의 자산이 사용 승인되거나 자산이 직접 전송되는 일이 일어났다는 게 오지스 측의 설명이다. 이런 방식으로 총 325개의 지갑에서 407개의 비정상적 트랜잭션이 발생됐으며, 이로 인해 약 22억원 상당의 가상자산이 탈취된 것으로 드러났다.
이에 오지스 측은 “사고 파악 시점으로부터 추가적인 피해를 방지하기 위해 클레이스왑의 모든 기능을 차단하고 긴급 점검을 실행했으며, 탈취된 자산이 오르빗 브릿지를 통해 거래소로 유출되는 것을 방지하고자 브릿지 내 클레이튼 민터 동작을 일시 중단했다”고 밝혔다. 이어 클레이스왑 및 오르빗 브릿지 기능 제한과 함께 사고의 주요 원인으로 파악되는 감염된 카카오 SDK 파일을 제거하고 전반적인 소스코드 점검을 진행했다고 설명했다.
이와 함께 공격자가 사용한 스마트 컨트랙트에 노출된 지갑 주소와 자산 목록을 모두 파악했고, 정상화된 클레이스왑 사이트를 통해 문제 컨트랙트에 승인된 자산 목록을 다시 해제할 수 있도록 추가 개발을 완료했다는 게 오지스 측의 설명이다.
그러나 해킹 사고 시점 이전에 사이트를 접속한 상태로 계속해서 클레이스왑을 이용 중인 사용자의 경우 공격자의 코드가 남아 있는 사이트 상에서 트랜잭션이 일어나기 때문에 지속적으로 자산 탈취가 발생했을 가능성이 있다. 이에 따라 피해 규모가 더 늘어날 수도 있다. 이는 클레이스왑에서 별도로 처리할 수 없기 때문에 사용자가 반드시 직접 자신의 인터넷 브라우저의 캐시를 삭제한 후 사이트를 이용해야 한다.
오지스 측은 “해당 시간대에 클레이스왑 사이트에서 트랜잭션을 발생시킨 사용자를 제외한 다른 사용자의 모든 자산은 안전하게 보관되어 있다”며, “비정상적 트랜잭션들을 조회하여 피해를 입은 사용자들에게는 관련 보상 지급을 준비할 예정”이라고 밝혔다.
덧붙여 “2022년 2월 3일자로 클레이스왑에서 스왑, 예치, 출금 등의 거래를 위해 토큰 승인 및 트랜잭션을 진행한 사용자들의 경우, 클레이스왑 접속 후 토큰 승인 해제 페이지로 이동하여 반드시 모든 자산에 대해 토큰 승인을 해제한 후 이용해야 한다”며, “토큰 승인 해제 완료 후 문제된 컨트랙트로부터 안전하게 자산을 관리할 수 있으나, 새로운 지갑 주소로 기존 자산을 전송한 후 계속해서 클레이스왑을 이용하는 것을 권장한다”고 당부했다.
이번 해킹 사건은 클레이스왑의 프론트 엔드 소스코드 및 스마트 컨트랙트 보안 이슈가 아닌 외부 사이트로부터의 SDK 파일 감염으로 인해 발생한 공격으로 알려지면서 외부 접점을 통로로 한 디파이 서비스의 보안 취약성이 드러났다는 지적이다.
디파이 서비스는 블록체인과 스마트 컨트랙트를 이용해 가상자산을 예치하고 이자를 받는 등의 금융 서비스를 제공하는 것을 의미한다. 전통적인 금융기관에 의존하지 않고, 가상자산 등을 자유롭게 거래할 수 있으며 기존 금융 상품보다 수익률이 높아 근래 관련 서비스가 급성장 중이다. 다만, 디파이 서비스를 스타트업이 운영하는 경우가 많아 안정성을 담보할 수 없고, 정부 규제 및 관리의 사각지대에 놓여 있어 위험성이 크다는 우려도 제기돼 왔다.
이번에 해킹 사고를 당한 클레이스왑은 카카오의 자회사인 그라운드X가 개발한 블록체인 플랫폼 ‘클레이튼’을 기반으로 하는 디파이 서비스로, 서비스 자체의 소스코드와 스마트 컨트랙트의 보안성은 상대적으로 높다는 평가를 받아왔다. 하지만 외부 접점에서의 보안 이슈가 불거지면서 디파이 서비스에서의 보안 위협이 수면 위에 드러났다고 볼 수 있다. 더욱이 일반 금융기관보다 자산 추적이 어려우면서도 공격은 상대적으로 수월하기 때문에 해커들의 집중 타깃이 될 가능성이 높다는 지적이다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
