Atomic Wallet이 해킹당해 3500만 달러 손실, 우연한 사고인가 아니면 자업자득인가?

작성자: 진효봉, Odaily星球日报

지난 주말, 암호화 지갑 Atomic Wallet이 해킹 공격을 받았습니다.

체인 탐정 ZachXBT의 통계에 따르면, 이번 공격으로 도난당한 총액은 3,500만 달러를 초과하며, BTC, ETH, USDT, Tron, BSC, ADA, Ripple, Polkadot, Cosmos, Algo, Avax, XLM, LTC 및 Doge 등 여러 자산이 포함되었습니다. 최대 개인 손실은 795만 개의 USDT(TRC 버전)이며, 상위 5명의 피해자는 총 1,700만 달러의 손실을 입었고, 이는 거의 절반에 해당합니다.

6월 3일, 여러 Atomic Wallet 사용자들이 소셜 미디어에 자신의 지갑 자산이 도난당했다고 게시하였고, Atomic Wallet은 이후 "우리는 지갑 도난에 대한 보고를 받았으며, 원인 조사 및 분석을 위해 모든 노력을 기울이고 있습니다. 추가 관련 정보가 있을 경우 즉시 발표하겠습니다."라고 밝혔습니다.

거의 이틀을 기다린 후, 오늘 아침 Atomic Wallet 공식은 "현재 1% 미만의 월간 활성 사용자가 영향을 받았으며 / 보고되었습니다. 보안 조사가 진행 중입니다; Atomic Wallet은 피해자 주소를 주요 거래소 및 블록체인 분석 회사에 알려 도난 자금의 이동을 추적하고 차단하고 있습니다."라는 불분명한 트윗만 발표했습니다. 해킹 공격 매체, 위험 회피 방법 및 후속 보상 등 사용자들이 관심을 가지는 문제에 대해 Atomic Wallet은 응답하지 않았습니다.

암호화 KOL "Tay"는 피해자 주소를 수집하여 분석한 결과, 가장 초기의 공격은 6월 3일 5:45(UTC+8)에 발생했으며, 최신 도난 거래는 6월 3일 23:30 UTC(UTC+8)에 발생했다고 밝혔습니다. 해커는 먼저 도난 자산을 새로운 주소로 집계한 후, uniswap, mm swap, sunswap 등의 DEX를 통해 각 토큰을 해당 체인의 기본 토큰으로 교환하고 다시 새로운 주소로 전송했습니다(후속 작업 대기 중).

공격 발생 후, 암호화 인프라 회사 Jito Labs의 CEO buffalu와 사업 책임자 Brian이 나서 한 피해자가 100만 달러의 손실을 회복하는 데 도움을 주었습니다.

해커는 어떻게 공격을 실행했을까요? Btc 21.de의 창립자 "Joko"는 Atomic Wallet에 "악의적인 패치"가 존재한다고 의심하며, 사용자가 애플리케이션을 열면 개인 키가 공격자에게 전송된다고 주장했습니다. 이 추론은 커뮤니티 토론에서 비롯된 것으로, 한 피해자는 Atomic Wallet에 로그인한 지 1분 만에 자산이 해커에게 도난당했다고 밝혔습니다.

（피해자 포럼）

또한 한 피해자는 자신의 Atomic Wallet 계정 개인 키가 다른 플랫폼에서 백업되거나 승인된 적이 없으며, SIM 카드를 사용하지 않고 가정 WiFi에 거의 연결하지 않았음에도 불구하고 모든 ADA 자산이 해커에게 도난당했다고 보고했습니다. 그러나 주목할 만한 세부 사항은, 해당 사용자가 Atomic Wallet 안드로이드 버전 1.13.20을 사용하고 있으며, 최신 버전은 1.15.1(2023년 5월 23일 업데이트)이라는 점입니다. 따라서 구버전 지갑에 보안 취약점이 존재할 가능성을 배제할 수 없습니다.

"Tay"는 Atomic Wallet의 애플리케이션이 안전한 방식으로 구축되지 않았다고 분석하며, 누군가 악의적인 버전의 애플리케이션을 푸시하여 사용자의 키를 탈취했거나, 그들이(Atomic Wallet) 의도치 않게 사용자의 개인 키를 자신의 서버에 기록하여 이러한 서버가 악의적인 행위자에게 접근당했을 가능성이 있다고 주장했습니다.

주의할 점은, 1년 전 보안 회사 Least Authority가 Atomic Wallet에 보안 취약점이 존재한다고 공개하고 사용자에게 위험을 경고한 바 있습니다.

（Least Authority 공지）

2022년 2월, Least Authority는 보고서를 발표하며, 해당 회사가 2021년 초 Atomic의 시스템 설계 및 그에 따른 핵심, 데스크톱 및 모바일 코딩 구현을 처음으로 검토했으며, 사용자에게 "중대한 위험"을 초래하는 취약점과 부족함이 존재한다고 결론지었다고 밝혔습니다. 이 보고서는 2021년 4월 Atomic에 제출되었습니다. Atomic은 2021년 11월 조사 결과에 대한 응답을 하여 업데이트 및 개선이 이루어졌다고 밝혔습니다. 그러나 Least Authority는 Atomic Wallet이 제공한 수정된 버전을 검토한 결과, 여전히 많은 문제가 해결되지 않았으며 사용자에게 보안 위험을 초래한다고 밝혔습니다. 감사 기준 및 공개 정책에 따라, Least Authority는 사용자에게 위험을 경고하는 공식 경고를 발표했습니다. 그러나 이 경고는 여전히 Atomic Wallet의 주의를 끌지 못했으며, 어느 정도 오늘의 공격에 대한 잠재적 원인이 되었습니다.

Atomic Wallet 도난 사건에 대해 보안 회사의 창립자 유선은 "니모닉 / 개인 키와 같은 이렇게 민감한 정보를 보안이 충분히 책임지지 않거나 보안 수준이 부족한 지갑에 맡기는 것은 아이러니입니다. 여기 정보 비대칭이 너무 심각하여, 저조차도 어떤 지갑이 지속적으로 안전한지 답하기 어렵습니다… 니모닉 / 개인 키는 암호화 칩, 오프라인 환경 또는 신뢰할 수 있는 환경에 숨겨져야 하며, 다중 서명 / MPC를 통해 단일 실패 지점을 피해야 합니다."라고 언급했습니다.

알려진 바에 따르면, Atomic Wallet은 사용자 개인 키를 소유하지 않는 분산형 비관리 애플리케이션으로 자리 잡고 있으며, 현재 1,000종 이상의 암호화폐를 지원하고 전 세계에 500만 명 이상의 사용자를 보유하고 있다고 주장하고 있습니다. "Atomic Wallet은 사용자가 자신의 블록체인 자금에 접근할 수 있도록 하는 인터페이스입니다. 지갑 및 그 작업은 암호화로 보호되며, 개인 키 및 백업 문구와 같은 중요한 데이터는 신뢰할 수 있는 암호화 알고리즘을 통해 사용자의 로컬 장치에 안전하게 저장됩니다."

비관리 속성으로 인해, Atomic Wallet은 서비스 약관에서 개발자가 사용자에게 발생한 체인 상의 손해에 대해 어떠한 책임도 지지 않는다고 명확히 설명하고 있습니다. "어떠한 경우에도 Atomic Wallet은 50달러를 초과하는 서비스로 인해 발생한 손해에 대해 책임을 지지 않습니다."

마지막으로, 피해자 여러분께 알리고 싶은 점은, 현재 트위터에 Atomic Wallet을 사칭한 가짜 계정이 환불 트윗을 게시하고 있으며, 사용자가 클릭하면 피싱 사이트로 이동하게 됩니다. 주의가 필요합니다. 트위터에서 공식 계정을 검색할 때는 블루 V 인증을 확인하세요------가짜 계정은 금 V 인증을 사용하여 혼란을 주고 있으며, 공식 계정은: @AtomicWallet입니다.