도메인 등록 공격, 다수 디파이 앱 타격 받아

블록체인 보안 플랫폼 블록에이드(Blockaid)의 X 포스트에 따르면 7월 11일 다수의 분산 금융(DeFi) 앱들이 도메인 등록 공격의 타격을 받았다. 공격자는 컴파운드 파이낸스(Compound Finance)의 DNS 등록을 장악했으며, 셀러 네트워크(Celer Network)의 등록 장악을 시도했으나 실패했다.

11일(현지시간) 코인텔레그래프에 따르면, 블록에이드의 예비 조사 결과, 공격자는 스퀘어스페이스(Squarespace)에서 제공하는 도메인 이름을 표적으로 삼고 있으며, 스퀘어스페이스 도메인을 사용하는 모든 디파이 앱이 위험에 처할 수 있다고 결론지었다.

보안 연구자들은 컴파운드 파이낸스(compound.finance) 인터페이스가 악성 웹사이트로 리디렉션되기 시작하면서 처음 공격을 인지했다. 이 악성 사이트는 사용자의 토큰을 훔치려는 드레이너 앱이 설치되어 있었다.

오후 1시 38분(UTC), 셀러 네트워크(Celer Network)도 공격을 받았다고 발표했다. 그러나 이 경우 셀러의 도메인 모니터링 시스템이 탈취를 감지하고 성공하기 전에 이를 차단했다고 밝혔다.

오후 3시 38분(UTC), 블록에이드는 '여러 디파이 프론트엔드가 하이재킹 위험에 처해 있으며, 이미 몇 건의 사건이 발생했다'고 발표했다. '초기 평가에 따르면, 공격자는 스퀘어스페이스(Squarespace)에 호스팅된 프로젝트의 DNS 기록을 하이재킹하여 운영하는 것으로 보인다'고 밝혔다.

블록체인 분석 플랫폼 디파이라마(DefiLlama)의 개발자 0xngmi는 이번 공격으로 영향을 받을 수 있는 도메인 목록을 게시했다. 이 목록에는 펜들 파이낸스(Pendle Finance), dYdX, 폴리마켓(Polymarket), 사토시 프로토콜(Satoshi Protocol), 니르바나(Nirvana), 룩스레어(LooksRare) 등 100개 이상의 디파이 프로토콜이 포함되어 있다.

웹3 지갑 메타마스크(MetaMask)는 이번 공격과 관련된 앱 사용자들에게 경고를 시도하고 있다고 발표했다. '메타마스크를 사용하는 분들께서는 현재 공격에 관련된 알려진 사이트에서 거래를 시도할 경우 @blockaid_가 제공하는 경고를 보게 될 것입니다'라고 밝혔다.

도메인 이름 하이재킹은 지난 해 동안 웹3 산업을 겨냥한 여러 공격 중 하나였다. 지난해 12월, 공격자는 대부분의 웹3 앱이 지갑 연결에 사용하는 레저 커넥트(Ledger Connect) 라이브러리에 악성 코드를 주입하여 거의 전체 이더리움 가상 머신(EVM) 생태계에 영향을 미쳤다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기