편집자 주: 이 기사의 출처는체인뉴스 ChainNews(ID: chainnewscom)편집자 주: 이 기사의 출처는
체인뉴스 ChainNews(ID: chainnewscom)
체인뉴스 ChainNews(ID: chainnewscom)
, Nexus Mutual 설립자 Hugh Karp 작성, Lu Jiangfei 번역, 허가 하에 출판.
시간 배경
12월 14일 월요일 오전 9시 40분(UTC)에 저는 속아서 총 370,000개의 NXM 토큰에 대한 거래를 승인했습니다. 거래 자체가 나만의 채굴 보상금인 줄 알았는데 해커에게 직접 전달된 것으로 밝혀졌고 해커는 훔친 NXM 토큰을 비트코인과 이더리움으로 청산한 후 자금을 다른 주소와 거래소에 분배했습니다.
Ledger에 연결된 Metamask 지갑을 사용하고 Nexus Mutual 응용 프로그램을 통해 상호 작용하고 컴퓨터는 Windows 운영 체제이며 Ledger의 개인 키는 현재 안전하며 Nexus Mutual 스마트 계약 및 자금은 영향을받지 않으므로 기본적으로 It 위와 같이 이번에는 인신 공격에 불과하다고 판단할 수 있습니다.
이 표적 공격 사건에서 우리는 아마도 다음을 알고 있을 것입니다.여기12월 11일 금요일 오전 10시 20분(UTC)쯤에 이메일을 쓰는데 갑자기 컴퓨터 화면이 2~3초간 검게 변했다가 금방 다시 켜지는데 그때는 컴퓨터가 이상한 일을 하고 있는 것 같아서 그러지 않았습니다. 그것에 많은 관심을 기울이지 마십시오.
약 1시간 후인 12월 11일 금요일 11시 20분(UTC)에 메타마스크 지갑 확장이 해킹된 버전으로 교체되면서 내 디스크가 감염되었습니다. 자세한 내용은 다음을 참조하십시오.
여기
및 background.js 파일.
사실 저는 12월 14일 월요일까지 메타마스크 지갑 확장을 통해 암호화폐를 거래하지 않았습니다.
12월 14일 월요일 오전 9시 40분(UTC)에 Nexus Mutual 앱으로 이동하여 채굴 보상을 위한 토큰을 인출하고 싶었습니다. 평소와 같이 MetaMask는 출금 신청 확인 메시지를 팝업합니다. 이는 모든 거래가 확인 메시지를 팝업하고 모든 것이 정상적으로 보이기 때문에 놀라운 일이 아닙니다. 그런데 문제는 이 확인서에 Ledger로 보낸 사기 거래가 포함되어 있다는 것입니다. 결과적으로 "확인"을 클릭했습니다.
트랜잭션이 Ledger에 빠르게 표시되었고 트랜잭션 정보를 확인하고 "승인"을 클릭했습니다. 사실 이 때 "수취인" 주소 및 기타 거래 정보를 확인해보면 문제를 발견할 수 있지만 Ledger는 NXM을 직접 지원하지 않기 때문에 기본적으로 거래 정보에는 수취인 및 기타 관련 정보가 포함되어 있지 않습니다. 정보를 읽으십시오.
그런 다음 MetaMask에서 거래가 완료되었다는 알림을 받았지만 Nexus Mutual 앱은 여전히 거래를 확인하기 위해 대기 중이었습니다. 그 시점에서 뭔가 잘못되었음을 깨달았고 Etherscan을 확인하고 돈이 해커의 주소로 이동했음을 발견했습니다.
돌이켜보면 제가 실수한 곳은 위의 5단계에서 발생했고 거래할 때 더 조심했어야 했는데 이번 해킹 사건은 전적으로 제 책임이라고 할 수 있습니다. 하지만 암호화 기술에 아주 익숙한 사람이 아니면 자금 이체 시 관련 정보를 꼼꼼히 확인하기 어렵고, 결국 16진수 형식의 정보는 읽기 어렵다는 점을 지적하고 싶다. 개인적으로 나 자신은 실제로 이러한 메시지의 의미를 이해하기에 충분한 기술 지식을 가지고 있지만 여전히 실수를하므로 일반 사용자는 여기에서 쉽게 넘어 질 수 있습니다.
또한 넥서스 뮤추얼 APP 등 이전에 신뢰했던 웹사이트에서 암호화폐 보상 토큰을 받아오고 있는데, 공식 플랫폼에서의 거래 위험도가 상대적으로 낮다고 생각하기 때문에 이번 해킹 사건을 계기로 신뢰할 수 있는지 여부를 알게 되었습니다. 여부 사이트는 거래 금액과 관계없이 매번 거래를 확인하기 전에 해당 정보를 다시 한 번 확인해야 합니다.
이제 커뮤니티의 도움을 받아 이 해킹을 조사하고 자금을 추적할 계획입니다. 지원해 주셔서 감사합니다! 특히 Sergej Kunz, Julien Bouteloup, Harry Sniko, Richard Chen, Banteg, 그리고 지금은 이름을 밝히기가 꺼려지는 다른 분들의 지원에 감사드립니다.
조사 결과 요약
과거에 대부분의 MetaMask 해킹은 사용자를 속여 악성 코드가 포함된 프로그램의 가짜 버전을 다운로드하도록 한 다음 사용자의 개인 키를 훔쳤습니다. 그러나 이번에는 상황이 다릅니다. 내 컴퓨터가 손상되었고 디스크의 MetaMask 응용 프로그램이 변조되었습니다. 즉, 브라우저 확장에 문제가 있을 때 경고 메시지가 표시되지 않았습니다.
이 악성 확장 구성은 coinbene.team에서 얻은 것으로 이해되며 아래 그림과 같이 이 도메인 이름에서 일부 IP 주소를 추적했습니다.
내 브라우저는 개발자 모드이지만 개발자가 아니므로 해커가 수행했을 수 있습니다.
이 공격은 해커가 피해자가 가질 수 있는 모든 NXM 토큰을 가져가지 않았기 때문에 매우 표적이 된 것으로 보입니다. 따라서 해커가 나를 위해 미리 준비된 트랜잭션 페이로드를 배포한 것으로 보입니다.
0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b
비트코인:
3DZTKLmxo56JXFEeDoKU8C4Xc37ZpNqEZN
Messaging (?) Channel
0x756c4628e57f7e7f8a459ec2752968360cf4d1aa
아래에 가장 관련성이 높은 해킹 주소를 나열합니다.
이더 리움:
비트코인:
우리가 모르는 다른 것은 무엇입니까?
첫째, 내 컴퓨터가 어떻게 손상되었는지 모르겠습니다.
지난주에 바이러스 백신 제공업체인 Kaspersky의 전문가와 감염된 컴퓨터에 대해 많은 시간을 보내어 전체 진단 절차를 수행했지만 아직 아무 것도 나오지 않았으며 작업은 여전히 진행 중입니다.
해커는 누구입니까?
지금까지 살펴본 바에 따르면 이 해커는 매우 강력하지만 공격이 계속될 가능성이 높고 점점 더 많은 사람들에게 영향을 미칠 수 있음을 보여줍니다. 이 해커는 매우 재능이 있으며 대규모 기술 팀의 한 명 이상의 구성원일 가능성이 있다고 말할 수 있습니다. 우리는 거래 활동을 기반으로 아시아 표준 시간대에 있다고 믿는 Telegram의 해커와 짧은 대화를 나눴습니다.
아직 조사가 진행 중이며 정보가 있으면 적시에 공유하고 게시하겠습니다.
교훈
DeFi 산업에 더 익숙한 일부 사용자는 항상 MetaMask를 신뢰하지 않습니다. 심지어 "깨끗한" 컴퓨터를 사용하여 MetaMask를 실행합니다. 이 장치는 트랜잭션 서명에만 사용되며 다른 작업은 수행하지 않습니다.
MetaMask는 실제로 많은 해커의 표적이 되었기 때문에 합법적인 소스에서 프로그램을 다운로드하는 데 매우 신중했지만 그럼에도 불구하고 내 컴퓨터는 감염되었습니다. 이러한 문제를 피하려면 다른 계정에 자금을 할당하여 손실을 최소화할 수 있습니다. 또한 서명하기 전에 거래가 있는지 하드웨어 지갑을 확인하십시오(특히 스마트 계약과 상호 작용할 때 말보다 쉽지 않습니다).
지금까지 우리는 해커에 대한 오픈 소스 정보가 없었지만 해커 주소는 Etherscan에 표시되었으며 이는 조사에서 중요한 단계이지만 아직 해야 할 일이 많습니다.
무엇 향후 계획?
사용자 경험과 보안 관점 모두에서 최고의 거래 옵션을 찾고 있는 팀이 많다는 것을 알고 있지만 커뮤니티로서 우리는 분명히 이 점에서 갈 길이 멀다. 다른 솔루션을 추천할 수는 없지만 모금된 자금의 일부를 바운티로 기부하여 사용자 경험과 보안 개선을 지원하겠습니다.
바운티에 대한 자세한 내용은 추후 공지할 예정이며, 이를 통해 더 많은 분들이 개인 지갑 보안 솔루션을 개발하고 기술 발전을 촉진할 수 있을 것으로 믿습니다.
해커에게 보내는 공개 서한
