【동적 관심】한편의 혼란스러운 Solana 보안 사고

ChainCatcher 선정
2022-08-03 20:16:25
수집
대규모 지갑 도난 사건이 보도된 이후로 거의 3일이 지났으며, 솔라나 네트워크 보안 사고는 여전히 진행 중입니다……

정리:念青, 체인 포착기

중국 시간 8월 3일 새벽, Solana에서 대규모 보안 사고가 발생했다. 기사가 작성되는 시점까지 9000개 이상의 지갑이 영향을 받았으며, 현재 해커의 신원은 불명이고, 취약점의 위치도 불분명하다. Solana의 지갑은 계속해서 침해당하고 있다. 이번 Solana 도난 사건은 현재 암호화폐 산업에서 가장 큰 영향을 미친 보안 사고로, 업계의 여러 유명 개발자와 엔지니어들이 함께 참여했음에도 불구하고 도난 원인이 밝혀지지 않아 혼란스럽다. 체인 포착기는 다시 한번 모든 사용자에게 자금 안전에 유의할 것을 당부한다.

본 문서는 시간 역순으로 Solana의 최신 동향을 업데이트할 예정이니 지속적으로 주목해 주시기 바란다.

1. 실시간 데이터 링크:

  1. 도난된 지갑 주소 수: 9224

  2. 도난 금액: $5,927,974

  3. 해커 지갑 주소:

https://solscan.io/account/Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV

https://solscan.io/account/CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu

https://solscan.io/account/GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

https://solscan.io/account/5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n

  1. Solscan의 Solana 취약점 관련 데이터 요약:

https://beta-analysis.solscan.io/public/dashboard/ffaf8155-1d6f-4ec7-96db-2e8e8bc5c160#theme=night

2. 최신 동향

8월 4일

15:58

Solana 지갑 Slope는 트위터에서 OtterSec가 발견한 취약점에 대해 서버 측 로그 기록을 삭제했으며, 현재 영향을 받은 9223개 지갑 중 약 15%인 1444개의 자산이 도난당했다고 밝혔다. 사용자에게 새로운 니모닉을 변경할 것을 권장했다. (출처 링크)

15:05

Solana 감사 회사 OtterSec는 트위터에서 Slope의 모바일 애플리케이션이 TLS를 통해 니모닉을 중앙 집중식 Sentry 서버로 전송하고 있으며, 이 니모닉이 평문으로 저장되어 있어 Sentry에 접근할 수 있는 누구나 사용자 개인 키에 접근할 수 있다고 밝혔다. Sentry 로그에는 약 1,400개의 취약점 주소가 존재한다. 주목할 점은 이것이 모든 해킹 주소를 의미하지는 않는다는 것이다. 우리는 여전히 이러한 차이와 다른 매체에 대해 조사하고 있다. (출처 링크)

10:14

슬로우는 오늘 Solana 공격 사건에 대한 분석을 발표하며, 초기 조사에서 30%의 사용자가 Slope Wallet (Android, Version: 2.2.2)의 Sentry 서비스에서 개인 키가 유출된 것으로 나타났다고 밝혔다. 60%의 도난 사용자들은 Phantom 지갑을 사용하고 있으며, 그 도난 원인은 아직 밝혀지지 않았다. 슬로우는 만약 당신이 어떤 아이디어가 있다면 함께 논의하길 바라며, Solana 생태계에 조금이나마 기여할 수 있기를 희망한다고 전했다. 다음은 구체적인 질문 사항이다:

  1. Sentry의 서비스가 사용자 지갑 니모닉을 수집하는 행위는 일반적인 보안 문제에 해당하는가?

  2. Phantom이 Sentry를 사용하고 있다면, Phantom 지갑도 영향을 받을 것인가?

  3. 나머지 60%의 도난 사용자들이 해킹당한 이유는 무엇인가?

  4. Sentry는 매우 널리 사용되는 서비스인데, Sentry 공식이 침해를 당했을 가능성이 있는가? 이로 인해 가상 화폐 생태계에 대한 표적 공격이 발생했을까? (출처 링크)

4:05

Solana Status는 트위터에서 개발자, 생태 팀 및 보안 감사자들의 조사 결과, 영향을 받은 주소가 Slope 지갑 애플리케이션에서 생성되거나 지갑 주소를 가져오거나 해당 애플리케이션을 사용한 적이 있는 것으로 보인다고 밝혔다. Solana Status는 현재 구체적인 세부 사항이 조사 중이며, 개인 키 정보가 의도치 않게 애플리케이션 모니터링 프로그램으로 전송되었을 가능성이 있다고 전했다. Slope는 이번 사건에서 일부 Slope 지갑이 공격받았음을 확인했지만, 구체적인 원인은 확인되지 않았다고 밝혔다. (출처 링크)

3:52

Solana 생태 지갑 Phantom은 트위터에서 "이번 Solana 공격 사건의 취약점은 Slope와의 상호작용 중 계정의 가져오기 및 내보내기 복잡성으로 인해 발생했을 가능성이 있다"고 언급하며, Phantom 사용자에게 Slope 외의 새로운 지갑을 설치하고 새로운 니모닉을 생성할 것을 권장했다. (출처 링크)

8월 3일

16:24

Solana Labs 공동 창립자 @aeyakovenko는 트위터에서 이번 공격 사건이 iOS 공급망 공격으로 보이며, 여러 신뢰할 수 있는 지갑이 SOL만 수신하고 다른 상호작용이 없었던 점이 영향을 받았다고 밝혔다. 이들은 외부에서 생성된 개인 키를 iOS에 가져왔다. 그는 확인된 모든 정보가 iOS 장치에서 발생했지만, "그것이 인기가 있었기 때문일 수도 있다"고 말했다. (출처 링크)

14:51

Solana Status는 공격받은 사용자 정보를 수집하여 근본 원인을 확인하고 있으며, 만약 당신의 지갑이 도난당했다면 이 링크를 통해 작성할 수 있다: https://solanafoundation.typeform.com/to/Rxm8STIT?typeform-source=t.co.

12:19

소프트웨어 및 블록체인 회사 Laine는 트위터에서 현재 RPC 노드가 서비스를 복구하고 있으며, 검증기가 정상적으로 작동하고 있다고 밝혔다. 이전에 RPC 노드가 서비스를 중단한 것은 공격자의 속도를 늦추기 위한 조치라고 전했다.

Laine는 "Solana의 여러 RPC 노드가 서비스 요청을 중단한 것으로 보이며, 이는 과부하 또는 의도적으로 발생한 것일 수 있다. 이는 기본 체인에 어떤 방식으로도 영향을 미치지 않으며, Solana 블록체인은 정상적으로 작동하고 있다. 사용자 지갑이나 브라우저는 현재 로드되지 않을 수 있지만, 블록체인은 정상적으로 작동하고 있다."고 말했다. (출처 링크)

11:57

소프트웨어 및 블록체인 회사 Laine는 트위터에서 Solana의 여러 RPC 노드가 서비스 요청을 중단한 것으로 보이며, 이는 과부하 또는 의도적으로 발생한 것일 수 있다고 밝혔다. 이는 기본 체인에 어떤 방식으로도 영향을 미치지 않으며, Solana 블록체인은 정상적으로 작동하고 있다. 사용자 지갑이나 브라우저는 현재 로드되지 않을 수 있지만, 블록체인은 정상적으로 작동하고 있다. (출처 링크)

동시에 많은 사용자들이 Solana 블록 탐색기 Solscan, SolanaFM 등이 정상적으로 작동하지 않는다고 보고했다.

10:39

Solana Status는 소셜 미디어에서 이 취약점이 악의적인 행위자가 여러 Solana 지갑에서 자금을 도난당할 수 있도록 허용한다고 밝혔다. 세계 표준시 기준으로 오전 5시(중국 시간 13시)까지 약 7767개의 지갑이 영향을 받았다. 이 취약점은 Slope와 Phantom을 포함한 여러 지갑에 영향을 미쳤으며, 모바일 지갑과 플러그인 지갑 모두 영향을 받은 것으로 보인다.

현재 이 취약점의 근본 원인은 불분명하지만, 엔지니어들은 여러 보안 연구 및 생태계 팀과 협력하고 있다. 현재 하드웨어 지갑이 영향을 받았다는 증거는 없으며, 사용자에게 하드웨어 지갑 사용을 강력히 권장하며, 하드웨어 지갑에서 니모닉을 반복 사용하지 말고 새로운 니모닉을 생성하라고 권장한다. 도난당한 지갑은 손상된 것으로 간주하고 폐기해야 한다. (출처 링크)

10:32

Avalanche Gün 교수 Emin Gün Sirer는 개인 소셜 미디어 플랫폼에 현재 Solana 생태계에 대한 지속적인 공격에서 7000개 이상의 지갑이 영향을 받았으며, 20개/분의 속도로 증가하고 있다고 밝혔다. 그는 지금은 초기 단계이며 공격이 계속 진행 중이기 때문에 많은 잘못된 정보와 추측이 있다고 말했다.

거래 서명이 올바르기 때문에 공격자는 개인 키에 대한 접근 권한을 얻었을 가능성이 높다. 한 가지 가능한 경로는 "공급망 공격"으로, 이 경우 JS 라이브러리가 해킹되어 사용자의 개인 키가 유출(탈취)되었을 수 있다. 영향을 받은 지갑은 지난 9개월 동안 생성된 것으로 보이지만, 새로 생성된 지갑도 영향을 받았다는 보고가 있다. 그러나 현재 Solana 네트워크를 중단하는 것은 효과가 없으며, 네트워크가 복구되면 공격이 재개될 것이다. (출처 링크)

9:00경

개발자 @0xfoobar는 트위터에서 6개월 이상 비활성 상태인 지갑이 가장 큰 타격을 받았으며, Phantom과 Slope 지갑 모두 자금 도난이 발생했다고 밝혔다. 취약점의 원인은 불명이며, 상위 종속성의 공급망 공격일 가능성이 있다. 승인 취소는 무의미할 수 있으며, 해결책은 개인 키를 잠재적으로 취약한 브라우저 확장에 노출하지 않은 지갑으로 자산을 이동하는 것, 즉 하드웨어 지갑으로 이동하는 것이다. (출처 링크)

8:50

Solana 감사 회사 OtterSec는 트위터에서 지난 몇 시간 동안 5000개 이상의 Solana 지갑에서 자금이 도난당했다고 밝혔다. OtterSec의 분석에 따르면, 이러한 거래는 실제 소유자가 서명한 것으로 개인 키 유출이 있음을 나타낸다. 이 취약점은 ETH 사용자에게도 영향을 미칠 수 있다. (출처 링크)

8:32

Phantom은 공식 트위터에서 "우리는 Solana 생태계에서 보고된 취약점을 확인하기 위해 다른 팀과 긴밀히 협력하고 있다. 현재 팀은 이것이 Phantom 고유의 문제라고 생각하지 않는다. 더 많은 정보를 수집하는 대로 업데이트를 발표할 것이다."라고 밝혔다. (출처 링크)

8:00경

Decaf 개발자 @JuanRdBO 등 개발자들은 코드 검토 후 이번 보안 사고가 Solana 생태계에서 가장 큰 지갑인 Phantom과 관련이 있을 수 있다고 밝혔으며, 이는 "신뢰할 수 있는 애플리케이션" 문제와는 관련이 없다고 말했다. 만약 사용자가 DeJBGdMFa1uynnnKiwrVioatTuHmNLpyFKnmB5kaFdzQ와 상호작용한 적이 있다면(Phantom이 지갑을 생성할 때 상호작용함), 지갑이 침해될 수 있다. (출처 링크)

7:00경

Magic Eden 공식 트위터는 광범위한 SOL 취약점이 존재하여 전체 생태계의 지갑 자산을 소진할 수 있다고 밝혔다. Magic Eden은 사용자에게 개인 자산을 보호하기 위해 다음과 같은 설정을 하도록 권장했다: Phantom 지갑 설정 페이지로 이동; 신뢰할 수 있는 애플리케이션(Trusted Apps)을 클릭; 의심스러운 링크의 권한을 철회한다. (출처 링크)

관련 태그
체인캐처(ChainCatcher)는 독자들에게 블록체인을 이성적으로 바라보고, 리스크 인식을 실제로 향상시키며, 다양한 가상 토큰 발행 및 조작에 경계해야 함을 상기시킵니다. 사이트 내 모든 콘텐츠는 시장 정보나 관련 당사자의 의견일 뿐이며 어떠한 형태의 투자 조언도 제공하지 않습니다. 만약 사이트 내에서 민감한 정보를 발견하면 “신고하기”를 클릭하여 신속하게 처리할 것입니다.
체인캐처 혁신가들과 함께하는 Web3 세상 구축