출처: 토큰포스트
암호화폐 스테이킹 프로토콜인 심바이오틱 X의 공식 계정이 해킹되었으며, 악성코드가 포함된 SVG 파일을 통해 사용자들이 피해를 입을 수 있다는 경고가 나왔다. 해당 공격은 피싱 사이트를 통해 이루어졌다.
7일(현지시간) 코인텔레그래프에 따르면, 스테이킹 프로토콜 심바이오틱(Symbiotic)의 X 계정이 10월 5일 해킹되었으며, 현재까지 피싱 사이트를 통한 공격이 계속되고 있다. 해킹된 계정은 사용자들에게 포인트 체크리스트를 제공하는 링크를 클릭하도록 유도하고 있으나, 이 링크는 공식 URL이 아닌 가짜 피싱 사이트로 연결된다.
피싱 사이트에 접속한 사용자들이 지갑을 연결하면 허위 포인트를 확인하도록 유도되며, ‘포인트 교환’ 버튼을 클릭할 경우 메시지 서명 요청을 통해 사용자의 토큰이 탈취될 수 있다. 심바이오틱 공식 웹사이트에서는 사용자가 해당 링크에 접근하지 않도록 경고하고 있다.
또한, 최근 보고서에 따르면 악성코드를 숨긴 SVG 파일이 암호화폐 사용자들을 대상으로 한 새로운 공격 수단으로 사용되고 있다. SVG 파일은 원래 이미지 저장용이지만, XML 코드로 작성되어 악성 스크립트를 포함할 수 있다. 연구팀은 SVG 파일을 열었을 때 ZIP 압축 파일이 자동으로 실행되고, 이를 통해 악성코드가 설치되는 사례를 발견했다.
암호화폐 보유자들은 신뢰할 수 없는 출처의 SVG 파일을 주의 깊게 확인해야 하며, 파일 실행 시 의심스러운 행동이 발생할 경우 즉시 브라우저 창을 닫는 것이 좋다.
