7월 11일 공격, 잘못된 마이그레이션 시스템 때문일 가능성

7월 11일, 여러 Web3 프로토콜이 광범위한 DNS 하이재킹 공격의 대상이 되었다. 블록체인 조사관인 ZachXBT는 Compound 파이낸스 웹사이트가 사용자의 토큰을 훔치기 위한 악성 피싱 사이트로 리디렉션되고 있음을 발견했다. 같은 날 Celer Network도 공격 대상이 되었지만, 이 경우 공격이 감지되어 차단되었다.

25일(현지시간) 코인텔레그래프에 따르면 블록체인 보안 회사 Blockaid는 이번 공격이 "Squarespace에 호스팅된 프로젝트"와 관련이 있는 것으로 보이며, 이는 취약성이 Squarespace의 도메인 등록 시스템에 뿌리를 두고 있을 수 있음을 시사한다고 보고했다.

7월 12일 Cointelegraph와의 대화에서, 토큰화된 도메인 프로토콜 Unstoppable Domains의 창립자 Matt Gould는 이번 공격이 구글 도메인에서 Squarespace로의 사용자 마이그레이션으로 인해 발생했을 수 있다고 추정했다. Gould는 다음과 같이 말했다:

"현재 구글 도메인의 고객이 Squarespace로 이동해야 하는 경우, 새 계정을 만들어야 합니다. 따라서 피싱 캠페인을 벌이는 사람들에게 매우 쉬운 타겟이 됩니다. '아직 새 Squarespace 계정을 만들지 않았습니다. 시간이 얼마 남지 않았습니다. 이 링크를 클릭하세요.'라는 식으로 말이죠."

토큰화된 도메인 프로토콜 Namefi의 창립자인 Victor Zhou도 유사한 견해를 표명했다. Zhou는 "이번 공격의 원인은 구글 도메인에 등록된 프로젝트들이 원인이 되었을 가능성이 높습니다. 구글이 몇 달 전에 도메인 사업을 Squarespace에 매각했을 때, 마이그레이션 과정에서 다중 인증(MFA)을 강제로 종료시켰고, 공격자들이 단순히 비밀번호만으로 이를 침해할 수 있었습니다."라고 말했다.

사이버 보안 회사 Security Alliance의 보고서도 이번 해킹의 원인으로 잘못된 마이그레이션 프로세스를 지목했다. 보고서에 따르면, "가장 가능성 있는 설명" 또는 "가장 강력한 이론"은 Squarespace가 관련 도메인을 소유자의 구글 이메일 주소에 자동으로 할당했다는 것이다. 이는 사용자가 Squarespace에서 계정을 생성하자마자 도메인에 접근할 수 있게 했지만, Squarespace는 새 계정을 생성할 때 이메일 확인을 요구하지 않았기 때문에 공격자는 구글 도메인 소유자의 이메일만으로 로그인할 수 있었다.

Gould는 이러한 유형의 공격을 방지하기 위해 Web3 프로토콜이 도메인을 토큰화하고 이를 블록체인 네트워크에 보관해야 한다고 제안했다. 그는 "도메인을 온체인에 올릴 수 있다면, DNS 설정을 업데이트할 때 고객에게 키로 메시지에 서명하도록 요청할 수 있습니다. 이 추가 보안 단계를 추가하면 누군가가 피싱 공격을 할 수 없게 됩니다. 왜냐하면 그들은 Squarespace 계정뿐만 아니라 지갑과 키도 손상시켜야 하기 때문입니다."라고 말했다.

더 나아가 사용자는 DNS 설정을 변경하려면 최소 두 명의 팀 구성원이 거래에 서명해야 하는 2/3 멀티시그 요구 사항을 구현할 수 있다.

또 다른 급진적인 옵션은 웹 등록기관 자체를 온체인에 올리는 것이다. 이 경우 마이그레이션이 더 이상 필요하지 않다. 공급자를 변경하는 것은 하나의 상인에서 다른 상인으로 변경하는 것과 비슷해진다.

Zhou도 토큰화된 도메인이 이러한 공격을 방지하는 데 도움이 될 것이라고 주장했다. 그는 "토큰화된 도메인은 프로그래밍 가능한 소유권을 기반으로 한 고급 보안 조치를 가능하게 한다"고 말했다.

그러나 이더리움네임서비스(ENS) 토큰화 도메인 프로토콜의 창립자인 Nick Johnson은 블록체인 기반 레지스트리 시스템이 모든 보안 문제를 해결하는 은탄환이 아니라는 점을 경고했다. 그는 "확실히 토큰화된 도메인은 사용자 끝 위험으로부터 자신을 보호하기 쉽게 만들 수 있다"며, "그러나 제공자 측에서 발생하는 문제는 보호할 수 없다"고 말했다.

Johnson은 토큰화된 도메인의 주요 장점은 도메인 소유자가 쉽게 이더리움 사용자 이름을 등록할 수 있다는 것이라고 강조했다.

DNS 공격은 여전히 암호화 사용자들에게 위협이 되고 있다. 7월 23일, Compound와 Celer에 대한 공격이 발생한 지 12일 만에, 암호화폐 거래소 dYdX도 사용자 인터페이스가 공격자에 의해 하이재킹되었다. 이 경우 공격자는 악성 암호화폐 유출 앱을 거래소의 지갑 연결 기능에 직접 주입했다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기