예측 시장 앱 폴리마켓(Polymarket)의 일부 사용자들이 구글 계정으로 로그인한 후 지갑 자금이 의문의 방식으로 유출됐다고 주장하고 있다.
29일(현지시간) 코인텔레그래프에 따르면, 사용자들은 입금 후 지갑 잔액이 0이 되는 현상을 경험했다. 이러한 공격은 메타마스크(MetaMask)나 트러스트월렛(Trustwallet) 같은 브라우저 확장 지갑을 사용한 사용자들에게는 발생하지 않았다.
코인텔레그래프는 공격 피해자 두 명과 대화를 나눴다. 첫 번째 피해자는 디스코드 사용자명 "HHeego"로, C3d4로 끝나는 폴리마켓 계정 소유자라고 밝혔다.
HHeego는 8월 5일 바이낸스에서 폴리마켓으로 1,085.80 USDC를 입금했지만 몇 시간이 지나도 폴리마켓 앱에 반영되지 않았다고 주장했다.
문제가 있다고 생각한 그는 폴리마켓 디스코드 서버에 가입해 도움을 요청했고, 다른 사용자들도 비슷한 문제를 겪고 있으며 사용자 인터페이스 문제와 관련이 있는 것 같다는 것을 알게 됐다.
그날 늦게 입금액이 사용자 인터페이스에 나타났지만, "거의 즉시 사라졌다"고 그는 말했다. 실제로 그는 1,188.72달러의 USDC 잔액 전체가 사라졌다고 주장했다. 이 잔액에는 입금 전 계정에 있던 102.92달러와 입금액이 포함되어 있었다.
이상하게도 HHeego의 2,000달러 상당의 미체결 거래는 그대로 남아있었다.
HHeego는 폴리곤스캔(Polygonscan) 블록 탐색기를 사용해 계정 기록을 검사한 결과, USDC 잔액이 "Fake_Phishing399064"로 표시된 계정으로 전송된 것을 발견했다.
그는 고객 지원 팀에 문의했고, 상담원은 그의 이야기를 듣고 의아해했다. "그 금액을 인출하지 않으셨나요?"라고 상담원이 물었고, 사용자는 "아니요, 인출하지 않았습니다"라고 대답했다. "정말 당신이 아니었습니까?"라고 상담원이 다시 물었고, 사용자는 "100% 확실합니다"라고 답했다.
상담원은 HHeego에게 "개인 키가 유출되었거나 피싱 당한 것은 아닌지"를 물었다. 암호화폐 세계의 초보자라고 주장하는 그는 처음에는 상담원이 말하는 "개인 키 유출"이 무엇을 의미하는지 이해하지 못했다고 코인텔레그래프에 말했다. HHeego는 브라우저 확장 지갑을 사용한 적이 없으며 구글 로그인만을 통해 폴리마켓에 접속했다고 말했다.
몇 가지 질문을 더 한 후, 상담원은 팀이 이 이상 현상을 조사 중이며 더 많은 정보를 발견하면 연락하겠다고 말했다.
두 번째 피해자는 디스코드 사용자명 "Cryptomaniac"이다. 그에 따르면 8월 9일 745달러를 입금했고, 입금 몇 시간 후 자금이 계정에서 인출되어 Fake_Phishing399064로 전송됐다.
Cryptomaniac은 고객 서비스에 연락해 도움을 요청했다. 처음에는 고객 서비스가 도움을 주려 했지만, 결국 문제가 해결되지 않은 채 연락이 끊겼다고 한다.
블록체인 데이터는 Cryptomaniac의 계정에서 745 USDC가 프록시 함수 호출을 통해 인출되어 이전 피해자의 자금이 전송된 것과 동일한 Fake_Phishing 계정으로 보내진 것을 확인해준다.
폴리마켓 문서의 이전 버전에 따르면, 매직 랩스(Magic Labs)의 매직 소프트웨어 개발 키트(SDK)를 사용하여 비밀번호와 시드 없는 로그인을 허용한다. 이 때문에 사용자들은 메타마스크나 코인베이스 월렛과 같은 표준 웹3 지갑을 다운로드할 필요 없이 앱에 로그인할 수 있다.
매직 문서는 이 시스템의 작동 방식에 대해 더 자세히 설명한다. 사용자가 폴리마켓과 같은 통합 서비스에 처음 가입할 때 "사용자 마스터 키"를 생성한다. 이 마스터 키는 사용자 기기에 저장된 또 다른 암호화된 키를 해독하는 데 사용될 수 있다.
마스터 키는 아마존 웹 서비스(AWS) 하드웨어 보안 모듈에 저장된다. 이는 공격자가 AWS 서버에 먼저 인증하지 않고는 폴리마켓에서 거래를 시작할 수 없다는 것을 의미한다.
구글 로그인의 경우, 공격자는 사용자의 구글 계정에 접근하지 않고는 인증할 수 없어야 한다. 두 피해자 모두 자신의 구글 계정에 누군가가 접근한 흔적을 보지 못했다고 주장했다.
피해자들의 보고에 따르면, 폴리마켓은 이러한 공격이 소수의 사용자에게만 발생하고 있으며 광범위하지 않다고 주장하고 있다.
코인텔레그래프는 공식 디스코드 서버를 통해 폴리마켓과 매직 랩스 팀에 연락했지만 출판 시점까지 응답을 받지 못했다.
지갑 취약점은 웹3 사용자들이 암호화폐를 잃는 흔한 방법이다. 8월에는 연구원들이 공급망 공격을 통해 하드웨어 지갑에서 비트코인을 훔칠 수 있는 "다크 스키피(Dark Skippy)"라는 방법을 발견했다.
뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기