[블록미디어 스탠리 최 기자] 솔라나(Solana) 생태계의 월렛이 어제(3일) 대규모 공격을 받아 현재까지 9,000개 이상의 지갑에서 도난 사건이 발행했습니다. 피해 규모가 400만 달러를 넘는 것으로 파악되고 있습니다. 매체에 따라서는 5억달러 이상의 토큰이 탈취당했다는 보도 역시 나오고 있습니다.
솔라나 스테이터스(Solana Status)는 4일 오전 해킹 사건과 관련 트위터를 통해 “개발자, 생태계팀 및 보안 감사자의 조사 결과, 해킹 관련 주소가 특정 시점에서 슬로프 모바일 월렛 앱에서 생성 및 로드된 것으로 나타났다”고 밝혔습니다.
그러면서 “이번 익스플로잇(취약점 공격)은 한 개 월렛에서 독립적으로 발생한 문제다. 문제 원인에 대해서는 아직 조사 중에 있지만, 현재 솔라나 프로토콜이나 SOL이 손상됐다는 증거는 발견되지 않았다”고도 설명했습니다.
하지만 “한 개의 월렛에서 독립적으로 발생한 문제”라는 솔루나측의 해명은 조사를 맡은 슬로우미스트의 실제 분석 결과와는 차이가 있습니다. 보안업체 슬로우미스트(SlowMist)는 이 사건을 추적, 분석하고 온체인 행위부터 오프체인 애플리케이션까지 하나씩 확인하면서 원인을 찾기 위해 분주히 움직였습니다.
분석 결과, 솔라나 재단에서 제공한 데이터에 따르면 도난 피해자의 약 60%가 팬텀(Phantom) 지갑을 사용했고, 30%는 슬로프(Slope) 지갑을, 나머지는 트러스트 월렛(Trust Wallet)을 사용한 것으로 확인됩니다. 이와 함께 iOS와 안드로이드(Android) 앱 버전 모두에서 피해자가 발생했습니다.
슬로미스트(SlowMist) 보안팀은, 슬로프 월렛(Slope Wallet) 공격은 니모닉(mnemonic), 개인키(private key) 등 민감한 데이터를 수집하는 센트리(Sentry) 서비스와 관련이 있을 수 있다고 밝혔습니다.
# 분석 – 슬로프 월렛
슬로프 월렛(Android, Version: 2.2.2)을 분석한 결과, 슬로프 월렛(Android, Version: 2.2.2)은 광범위하게 사용되는 서비스인 센트리(Sentry)의 서비스를 사용했고 센트리는 o7e.slope이라는 네임으로 실행되고 있었고, 지갑 생성시 니모닉(mnemonic)과 개인키 등 민감한 데이터는 https://o7e.slope.finance/api/4/envelope/로 전송합니다.
슬로우미스트(SlowMist)는 슬로프 월렛을 계속 분석했는데, Version: >= 2.2.0의 패키지에서 센트리(Sentry) 서비스가 니모닉을 ‘o7e.slope.finance’로 보낼 수 있는 반면, Version: 2.1.3은 니모닉을 수집한 행위를 찾을 수 없었습니다.
슬로프 월렛(Android, >= 버전: 2.2.0)은 2022년 6월 24일 이후에 배포되었으므로 이날 이후 슬로프 월렛(Android, >= 버전: 2.2.0)을 사용하는 피해자에게 영향을 줬지만, 일부 피해자들은 슬로프 월렛을 알지도 못했고, 슬로프 월렛 자체를 사용하지도 않는다는 피드백을 보내왔습니다.
솔라나 재단의 통계에 따르면, 피해자 주소 니모닉의 약 30%가 슬로프 월렛(Version: >=2.2.0) 센트리 서비스를 통해 수집돼 슬로프 월렛의 https://o7e.slope.finance 서버로 전송됐을 수 있습니다.
#분석 – 팬텀 월렛
또 다른 60%의 피해자가 사용한 것은 팬텀(Phantom) 월렛입니다. 이 피해자들은 어떻게 도난을 당했을까요?
팬텀(Version: 22.07.11_65) 지갑을 분석한 결과, 팬텀(Android, Version: 22.07.11_65)도 센트리(Sentry) 서비스를 사용해 사용자 정보를 수집하는 것으로 나타났지만, 니모닉이나 개인키를 수집한 행위가 명백히 발견되지 않았습니다.
(팬텀 월렛의 과거 버전에 보안상 위험이 있었는지는 슬로우미스트 보안 팀에서 여전히 분석 중입니다.)
# 밝혀야 할 의문점
나머지 60%의 도난 피해자들이 해킹을 당한 이유를 분석하기 위해 슬로우미스트 보안팀은 더 많은 정보를 계속 수집하고 있다고 합니다. 결국 피해 원인 전부가 밝혀지려면 시간이 더 필요할 것으로 보입니다.
앞으로 밝혀져야 할 의문점을 정리하면 다음과 같습니다.
1. 센트리(Sentry)의 서비스에서 사용자 지갑 니모닉을 수집하는 행위가 통상적인 보안 문제를 일으킬 수 있는가?
2. 팬텀은 센트리(Sentry)를 사용했습니다. 그렇다면 팬텀 지갑은 영향을 받았을까요?
3. 나머지 60% 사용자가 해킹당한 이유는 뭘까요?
4. 센트리(Sentry)는 널리 사용되는 서비스입니다. 센트리(Sentry) 자체가 해킹당할 수 있을까요?
# 용어 해설
니모닉(mnemonic) : 연상 기호, 즉 사람이 알아보기 쉽도록 나타낸 기호. 사람이 읽을 수 있게 또는 쉽게 외울 수 있도록 순서대로 영어 단어 12개 또는 24개로 셋팅되어 있음
센트리(Sentry) : 오류 모니터링 서비스. 프로그램에서 발생하는 의도치 않은 에러를 쉽게 탐지할 수 있도록 도와주는 서비스
같이 보면 좋은 기사