사이버 공격자들이 "트랜잭션 시뮬레이션 스푸핑"이라는 새로운 전략을 사용하여 암호화폐를 훔치고 있습니다. ScamSniffer에 따르면, 이 공격은 최근 웹3 지갑에서 사용되는 트랜잭션 시뮬레이션 메커니즘의 결함을 이용하였으며, 한 번의 공격으로 약 460,000달러(약 143.45 이더리움)를 훔쳤습니다. 트랜잭션 시뮬레이션은 사용자가 블록체인 트랜잭션을 실행하기 전에 예상 결과를 미리 확인할 수 있게 해주는 기능으로, 암호화폐의 이체량, 가스 비용 등의 트랜잭션 비용, 그 외 체인 데이터 변경 등을 사용자가 확인하도록 돕습니다.
공격자들은 피해자를 정당한 플랫폼을 흉내 낸 악성 웹사이트로 유인하고, "Claim" 기능을 실행하도록 만듭니다. 트랜잭션 시뮬레이션은 사용자가 소량의 이더리움을 받게 될 것으로 보여주지만, 시뮬레이션과 실행 사이의 시간 지연을 이용해 공격자들은 체인 계약 상태를 변경하여 실제 트랜잭션이 승인되면 어떤 일이 일어날지 변경합니다. 피해자는 지갑의 트랜잭션 시뮬레이션 결과를 믿고 트랜잭션에 서명하게 되고, 이로 인해 사이트는 피해자의 지갑에 있는 모든 암호화폐를 빼내어 공격자의 지갑으로 보냅니다.
ScamSniffer는 이러한 공격이 피싱 기법의 중요한 진화를 보여주며, 간단한 속임수에 의존하는 것이 아니라 사용자가 보안을 위해 의존하는 신뢰할 수 있는 지갑 기능을 악용한다고 경고했습니다. 이러한 복잡한 접근 방식은 탐지를 특히 어렵게 만듭니다. 블록체인 모니터링 플랫폼은 웹3 지갑이 시뮬레이션 새로고침 속도를 블록체인 블록 시간에 맞추고, 중요한 작업 전에 시뮬레이션 결과를 강제로 새로 고치며, 사용자에게 위험을 경고하는 만료 경고를 추가하도록 제안했습니다.
요약
- 사이버 공격자들이 "트랜잭션 시뮬레이션 스푸핑"이라는 새로운 전략을 사용하여 암호화폐를 훔치고 있다.
- 공격자들은 피해자를 정당한 플랫폼을 흉내 낸 악성 웹사이트로 유인하고, "Claim" 기능을 실행하도록 만든다.
- 피해자는 지갑의 트랜잭션 시뮬레이션 결과를 믿고 트랜잭션에 서명하게 되고, 이로 인해 사이트는 피해자의 지갑에 있는 모든 암호화폐를 빼내어 공격자의 지갑으로 보낸다.
- ScamSniffer는 이러한 공격이 피싱 기법의 중요한 진화를 보여주며, 간단한 속임수에 의존하는 것이 아니라 사용자가 보안을 위해 의존하는 신뢰할 수 있는 지갑 기능을 악용한다고 경고했다.
- 블록체인 모니터링 플랫폼은 웹3 지갑이 시뮬레이션 새로고침 속도를 블록체인 블록 시간에 맞추고, 중요한 작업 전에 시뮬레이션 결과를 강제로 새로 고치며, 사용자에게 위험을 경고하는 만료 경고를 추가하도록 제안했다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.