이더리움 EIP-7702의 일괄 서명 기능 악용으로 21억 원 상당의 자산 도난

[email protected]



최근 이더리움(Ethereum, ETH)의 새로운 기능을 악용한 피싱 공격으로 인해 투자자들이 대규모 자산 손실을 입는 사건이 발생했다. 피해자는 154만 달러, 한화로 약 21억 4천여 만 원 상당의 암호화폐를 잃었다. 이번 사건은 사기 감시 플랫폼 스캠 스니퍼(Scam Sniffer)를 통해 드러났다.

이번 피싱 공격은 이더리움의 최신 업데이트인 패트라(Pectra) 하드포크와 연계된 EIP-7702의 일괄 전송(batch transaction) 기능을 악용한 것이다. 공격자는 피해자가 단 한 번의 서명으로 여러 자산을 동시에 전송하도록 유도했다. 이를 통해 피해자는 래핑된 이더리움(wstETH), 래핑된 비트코인(cbBTC) 및 다양한 토큰을 잃게 되었다.

EIP-7702의 일괄 서명 기능은 사용자가 복잡한 프로세스를 간소화하도록 설계되었다. 하지만 이 기능이 오히려 악용되고 있는 현실이 드러났다. 사기꾼들은 평범해 보이는 거래에 다수의 자산 이전 명령을 은닉하고, 사용자가 이를 승인하도록 속이고 있다. 특히 유니스왑과 같은 정상적인 플랫폼처럼 보이는 가짜 디파이(DeFi) 인터페이스를 사용하여 피해자의 경계심을 무너뜨리는 수법이 동원되었다.

스캠 스니퍼는 피해자가 서명한 트랜잭션이 원래는 일반적 유니스왑 거래로 보이지만, 실제로는 여러 자산을 공격자 지갑으로 전송하는 명령이 암호화되어 있었다고 설명했다. 이로 인해 피해자의 지갑은 수 초 만에 완전히 털리는 참담한 상황이 벌어졌다.

이러한 유형의 피싱 공격은 최근 지속적으로 발생하고 있으며, 이번 사건이 알려지기 전에도 다른 투자자가 NFT를 포함해 100만 달러(약 13억 9천만 원) 상당의 자산을 유사한 방식으로 잃은 사건이 보도된 바 있다. 스캠 스니퍼의 경고에 따르면, EIP-7702 기능이 활성화된 주소들은 빈번하게 공격의 타겟이 되고 있으며, 사용자들은 낯선 트랜잭션 서명에 더욱 주의를 기울여야 한다는 점을 강조하고 있다.

이번 사건은 블록체인 기술의 발전이 반드시 보안 향상을 동반하지 않는다는 사실을 잘 보여준다. 사용자 경험을 개선하기 위해 도입된 기능조차 해커들에게 새로운 공격 기회를 제공할 수 있는 현실이다. 따라서 블록체인 기술의 확산과 함께, 사용자의 보안 인식 역시 지속적으로 강화되어야 할 필요성이 대두되고 있다.

Leave a Comment