이번 주 최대 피싱 공격: 헤데라 사용자 타겟

End-Puff Banner

출처: 토큰포스트

2024년 6월 26일, 헤데라의 마케팅 이메일이 해킹되어 공격자가 팀 구독자들에게 피싱 이메일을 보냈다. 헤데라는 2018년에 출시된 지분 증명 블록체인 네트워크인 헤데라 해시그래프(Hedera Hashgraph)의 개발사다.

1일(현지시간) 코인텔레그래프에 따르면 팀은 X(구 트위터)에 게시글을 통해 해킹 사실을 인정하고, 사용자들에게 marketing@hedera로부터 온 이메일의 링크를 클릭하지 말라고 경고했다고 전했다.

피싱은 공격자가 신뢰할 수 있는 출처를 가장하여 사용자가 정보를 제공하거나 공격자가 원하는 행동을 수행하도록 설득하는 기술이다. 이번 경우, 공격자는 헤데라의 이메일을 악용해 개발팀의 대표로 가장했다.

헤데라 팀은 피싱 이메일의 내용을 아직 공개하지 않았지만, 대부분의 암호화폐 피싱 이메일은 사용자가 링크를 클릭하여 공격자의 가짜 웹사이트로 이동하도록 유도하며, 보상으로 토큰 에어드롭을 제공한다고 제안한다. 사용자가 지갑을 연결하면 에어드롭을 받기 위해 토큰 승인을 요청받지만, 이는 공격자가 사용자의 지갑을 비우게 만든다.

사용자는 이메일이 신뢰할 수 있는 출처에서 온 것처럼 보여도 링크를 클릭할 때 더욱 주의해야 한다. 헤데라의 예시에서 보듯, 신뢰할 수 있는 이메일 주소도 해킹되거나 스푸핑될 수 있다.

헤데라 팀은 곧 더 많은 세부 사항을 제공할 것을 약속했다. Cointelegraph는 게시 시점에 피싱 이메일로 인해 얼마나 많은 암호화폐가 손실되었는지는 확인하지 못했다.

화이트햇 코너: MoveIt 파일 전송 취약점 패치됨

보안 연구원들은 Progress가 개발한 MoveIt 파일 전송 소프트웨어에서 중요한 취약점을 발견했다고 소프트웨어 개발 팀의 공식 공지에 따르면 밝혔다. 그러나 현재 버전에서는 이 취약점이 패치되었다.

일부 대기업은 MoveIt Transfer를 사용해 직원 간에 파일을 전송한다. 이 파일에는 고객 데이터, 개인 키 또는 기타 민감한 정보가 포함될 수 있다. Watchtower Labs의 보고서에 따르면, 이 취약점은 공격자가 사용자의 사용자 이름만 알고 있으면 기업 네트워크에서 사용자를 가장할 수 있게 했다.

공격자는 서버에 사용자 이름을 제공해야 했다. 서버는 사용자의 개인 키를 요청하지만, 공격자는 실제 키 대신 자신이 생성한 가짜 키를 포함하는 파일 경로를 제공할 수 있었다. MoveIt 소프트웨어가 이 상황을 처리하는 방식 때문에, 서버는 공용 키로 빈 문자열을 생성했다. 결과적으로 인증이 실패한 것처럼 보였지만, 중요한 ‘statuscode’ 변수는 공격자를 올바르게 인증된 사용자로 간주했다.

결과적으로, 공격자는 실제 사용자가 접근할 수 있는 모든 파일에 접근할 수 있었으며, 민감한 고객 데이터나 클라이언트 데이터를 획득할 수 있었다.

Progress는 6월 25일 이 취약점을 패치했다. 그러나 일부 기업은 아직 최신 버전으로 업그레이드하지 않았을 수 있다. 개발 팀은 “2023.0, 2023.1 및 2024.0 버전의 모든 MOVEit Transfer 고객은 최신 패치 버전으로 즉시 업그레이드할 것을 강력히 권장한다”고 밝혔다.

이 회사는 MoveIt Cloud가 이미 패치되어 취약점의 영향을 받지 않는다고 말했다.

주소 중독 공격

블록체인 보안 회사 Cyvers는 6월 28일 대규모 주소 중독 공격을 탐지했다. 피해자는 70,000달러 이상의 USDT를 잃었다.

공격은 6월 25일 피해자가 바이낸스 입금 주소로 10,000 USDT를 전송했을 때 시작되었다. 이 주소는 ‘0xFd0C0318’로 시작하고 ‘1630C11B’로 끝났다.

곧이어, 공격자는 피해자의 계정에서 10,000개의 가짜 USDT를 자신의 계정으로 전송했다. 이 전송은 피해자가 승인하지 않았지만, 가짜 토큰에 악성 전송 기능이 포함되어 있었기 때문에 성공했다.

가짜 토큰이 전송된 주소는 ‘0xFd0Cc46B’로 시작하고 ‘6430c11B’로 끝나며, 피해자의 바이낸스 입금 주소와 동일한 첫 여섯 자와 마지막 네 자를 포함하고 있었다. 공격자는 이와 유사한 주소를 생성하기 위해 Vanity 주소 생성기를 사용했을 가능성이 크다.

이틀 후인 6월 27일, 피해자는 이 악성 주소로 70,000 USDT를 전송했다. 피해자는 아마도 거래 기록에서 주소를 복사하여 붙여넣기 했고, 바이낸스로 자금을 입금하려고 했을 것이다. 그러나 바이낸스는 자금을 받지 못했고, 이 자금은 이제 공격자의 손에 있다.

Tether 개발 팀은 USDT를 보유한 지갑 주소를 동결할 수 있다. 그러나 일반적으로 이는 법 집행 기관의 요청이 있을 때만 동결된다. 게시 시점에 이 지갑은 여전히 USDT를 보유하고 있으며 다른 토큰으로 교환되지 않았으므로 이미 동결이 이루어졌을 가능성이 있다. 주소가 아직 동결되지 않았다면, 피해자는 여전히 자금을 되찾을 가능성이 있다.

그러나 공격자가 USDT를 이더리움이나 다른 암호화폐로 교환하면 자금을 회수하기가 훨씬 어려워질 것이다.

암호화폐 사용자는 일부 지갑 애플리케이션이 블록체인에서 직접 거래 기록을 로드한다는 점을 인식해야 한다. 결과적으로, 거래가 사용자에게서 온 것처럼 보일 수 있지만 실제로는 제3자로부터 온 것일 수 있다. 사용자는 거래를 보내기 전에 주소의 모든 문자를 확인하는 것이 좋다.

안타깝게도 이 사용자는 이번 실수로 인해 70,000달러를 잃었을 가능성이 크다.

중앙화된 거래소 공격

6월 22일, 이스탄불 기반의 암호화폐 거래소 BtcTurk가 도난된 개인 키를 통해 공격을 받았다. 거래소는 다음 날 공격을 인정했다. 구글 번역에 따르면, 성명서의 일부는 “존경하는 사용자 여러분, 저희 팀은 2024년 6월 22일 플랫폼에서 통제 불가능한 [손실]이 발생한 사이버 공격이 있었다는 것을 감지했습니다”라고 읽혔다.

거래소는 공격이 핫 월렛에만 수행되었으며 대부분의 자산은 안전하다고 밝혔다. 또한 충분한 “재정적 힘”을 보유하고 있어 손실에 대해 사용자들에게 보상할 수 있으며, 고객 잔고에는 영향을 미치지 않을 것이라고 주장했다.

사이버 보안 회사 Halborn은 BtcTurk가 이번 공격으로 5,500만 달러 이상의 손실을 입었다고 추정했다.

온체인 탐정 ZackXBT에 따르면, 공격자는 196만 AVAX(5,420만 달러)를 중앙화된 거래소 Coinbase, Binance 및 Gate에 입금했으며, 이는 이후 비트코인으로 교환되었을 가능성이 크다. 온체인 데이터는 AVAX가 입금된 직후 거의 동일한 가치의 비트코인이 이 거래소에서 인출되었다는 것을 보여준다.

이로 인해 AVAX는 10% 하락했으며, 이는 이러한 교환의 결과로 보인다.

원문보러가기(클릭)

Latest articles

Related articles