세이프 월렛 UI 보안 취약점 발견, 바이빗 해킹 손실 14억 달러 보전

이더리움 기반 암호화폐 월렛 프로토콜 세이프(Safe)가 2월 21일 두바이 기반 거래소 바이빗(Bybit)에 대한 사이버 공격 이후 멀티시그 솔루션에 "즉각적인 보안 개선"을 구현했다.

3일(현지시간) 크립토닷뉴스에 따르면, 북한의 라자루스(Lazarus) 해킹 그룹이 세이프 월렛의 UI 취약점을 이용해 바이빗의 이더리움 월렛에서 14억 달러 이상의 이더(ETH)를 탈취했다. 이 악명 높은 해킹 그룹은 바이빗을 특정 대상으로 삼아 적대적 자바스크립트 코드를 주입해 40만 개 이상의 이더를 빼돌렸다.

세이프는 추가 공격을 방지하기 위해 월렛을 잠금 모드로 전환한 후 단계적 재출시와 재구성된 인프라를 발표했다.

세이프의 공동 창업자 마틴 코펠만(Martin Koeppelmann)은 3월 3일 X.com 게시물을 통해 팀이 UI에 10가지 변경 사항을 개발하고 배포했다고 밝혔다. 프로토콜의 깃허브(GitHub) 저장소는 "UI에 전체 원시 트랜잭션 데이터 표시"와 "보안 우려를 일으킨 특정 직접 하드웨어 월렛 지원 제거" 등의 업그레이드를 보여줬다.

바이빗 CEO 벤 조우(Ben Zhou)는 케빈 폴로니어(Kevin Follonier) 진행의 '웬 시프트 해펜스(When Shift Happens)' 팟캐스트에서 이 사건에 대해 논의하며, 1만 3000개의 이더를 이체하는 트랜잭션에 서명한 직후 공격이 발생했다고 설명했다.

조우는 레저(Ledger) 하드웨어 월렛을 사용했지만 트랜잭션 세부 정보를 완전히 확인할 수 없었다고 언급했다. "블라인드 서명"으로 알려진 이 문제는 멀티시그 암호화폐 트랜잭션에서 흔한 취약점이다. 코펠만에 따르면, 세이프의 최신 업데이트는 서명자에게 더 자세한 트랜잭션 데이터를 제공하는 것을 목표로 한다.

카이버 네트워크(Kyber Network) CEO 빅터 트란(Victor Tran)의 업계 전반의 보안 노력에 관한 게시물에 대응하여, 코펠만은 협력의 중요성을 강조하면서도 즉각적인 피해 통제가 여전히 우선순위라고 언급했다.

"우리는 아직 '화재 진압' 모드에 있습니다. 하지만 그것을 해결한 후에는 함께 모여 전반적인 프론트엔드와 트랜잭션 검증 보안을 개선해야 합니다"라고 코펠만은 말하며, "이를 제대로 해결하기 위해서는 많은 당사자들의 참여가 필요할 것"이라고 덧붙였다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기