ERC-2612 토큰 노린 텔레그램 사기, 암호화폐 지갑 탈취

최근 텔레그램에서 공격자가 거래 확인 없이도 피해자의 암호화폐 지갑을 탈취하는 사기가 발견됐으며 사용자들의 신고와 블록체인 데이터로 입증됐다.

이 사기는 ERC-2612 표준을 준수하는 토큰을 대상으로 하며, 지갑에 이더(ETH)가 없는 '가스 없는' 송금 또는 이체가 가능하다고 ADVN은 밝혔다.

거래에 사용자 승인이 필요하지 않지만, 이 사기는 사용자를 속여 메시지에 서명하도록 유도하기 때문에 더 많은 토큰이 이 표준을 채택함에 따라 우려를 불러일으키고 있다.

익명의 사용자가 600달러 상당의 오픈 익스체인지 토큰을 잃어버렸다.

코인텔레그래프에 따르면, 토큰 개발사인 OPNX의 공식 텔레그램 그룹으로 보이는 곳에서 피싱 사기를 당한 후 600달러 상당의 오픈 익스체인지(OX) 토큰을 잃었다는 한 사용자의 신고가 접수됐다.

이 그룹에 가입한 사용자는 신원 확인을 위해 지갑을 연결하라는 메시지를 받았고, 자신도 모르게 자금에 대한 액세스 권한을 제공했다.

보고서는 "피해자는 해당 페이지에서 단 한 건의 거래도 승인한 적이 없다고 주장했지만, 어쨌든 자금은 도난당했다"고 덧붙였다.

또한, 사기 그룹은 콜라보랜드 텔레그램 인증 시스템을 복제하여 가짜 버전을 사용하여 사용자를 속여 지갑을 악성 사이트에 연결하도록 유도했다.

블록체인 데이터에 따르면 공격자는 일반적으로 소유자가 별도의 '승인' 거래를 통해 승인하는 작업인 OX 토큰 컨트랙트의 'transferFrom' 기능을 악용한 것으로 나타났는데, 이번 사건에서는 이 기능이 명확하게 드러나지 않았다.

토큰 컨트랙트에서 허가 기능을 실행한 사이버 공격자

공격자는 토큰 컨트랙트에서 "허가" 기능을 실행하여 자신을 지출자로, 피해자의 계정을 소유자로 설정하여 결국 기존의 승인 절차 없이 자금을 인출했다.

이 익스플로잇은 ERC-2612 표준에 따른 특정 토큰 컨트랙트의 새로운 기능을 강조하여 지갑에 이더리움이 없어도 거래를 진행할 수 있도록 한다.

그러나 사기꾼은 이 기능을 악용하여 공격자에게 액세스 권한을 부여하는 메시지에 서명함으로써 사용자를 속여 자금을 포기하도록 유도한다.

"[이 기능은] 계정이 서명한 메시지를 제시해 계정의 ERC20 허용량을 변경하는 데 사용할 수 있습니다(IERC20.allowance 참조). IERC20.approve에 의존하지 않음으로써 토큰 소유자 계정은 트랜잭션을 전송할 필요가 없으므로 이더를 전혀 보유할 필요가 없다"고 Web3 개발자인 OpenZeppelin은 주장했다.

[해당 기사는 이코노타임즈에 게재되어 있으며, 번역 퍼블리싱 허가를 받았습니다.]