이번 주 암호화폐에서 드문 기분 좋은 반전이 일어났습니다. 한 사용자가 지갑 버그로 인해 100 ETH를 잃은 후 자금을 회수했습니다.
이 회복은 세이프 월렛 팀의 조치와 프로토파이어의 화이트햇 개발자들의 선견지명 덕분입니다.
지갑 버그로 100 ETH 손실…놀라운 구조로 회복
이 사건은 오랜 이더리움 사용자 khalo_0x가 X (트위터)에서 이더리움 메인넷에서 베이스 블록체인으로 100 ETH를 브릿지하려고 시도하면서 발생했습니다. 그들은 공식 세이프 월렛 브릿지 인터페이스를 사용했습니다.
현재 이더리움 가격이 2635달러로 거래되고 있어, 이 전송은 26만3500달러 이상의 가치가 있었습니다.
그는 알지 못했지만, 브릿지 도구 내의 중요한 사용자 경험 버그가 그의 것으로 보이는 스마트 계약 지갑으로 전송을 허용했습니다.
그러나 이 지갑은 다른 주체에 의해 제어되고 있었습니다.
문제의 근원은 2020년에 배포된 오래된 세이프(v1.1.1) 버전을 사용한 Khalo에게 있었습니다. 이 구버전은 멀티체인 고려사항이 없었고, 현재의 새로운 버전에서 표준인 보호 기능이 부족했습니다.
결과적으로, 공격자, 또는 처음에는 그렇게 보였던 사람이, Khalo의 지갑 주소를 베이스에 복사하여 배포했지만, 다른 소유자 구성을 가지고 있었습니다. 이를 통해 그들은 자금이 브릿지되자마자 효과적으로 탈취했습니다.
“어젯밤 세이프를 사용하여 한 번의 클릭으로 평생 저축한 돈을 잃었습니다. 8년 동안 ETH를 보유하고 사기를 피한 후에 말입니다. 공식 브릿지 기능 내의 UX 버그가 목적지 주소가 베이스의 내 세이프라고 암시했습니다. 그렇지 않았습니다.” Khalo가 한탄했습니다.
이 트윗은 암호화폐 커뮤니티, 특히 세이프 팀의 주목을 받았습니다. 빌더 Tschubotz.eth는 조사하여 브릿지된 ETH를 제어하는 베이스 주소가 악의적이지 않다는 것을 발견했습니다.
구버전 지갑, 크로스체인 공격 노출
대신, 이는 프로토파이어에 의해 배포된 것으로, 화이트햇 개발 회사가 블랙햇 공격자들이 그렇게 하는 것을 방지하기 위해 베이스에 수백 개의 세이프 v1.1.1 지갑을 사전에 배포했습니다.
“EOA(외부 소유 계정)와 달리, 세이프와 같은 스마트 계정은 배포된 스마트 계약 코드에 의해 관리됩니다. 기술적으로는 동일한 배포 구성(동일한 서명자)을 사용하여 다른 체인에서 동일한 주소에 스마트 계정을 배포하는 것이 가능합니다(가상 배포 사용)…하지만 이번 경우는 달랐습니다… 당시의 스마트 계정 버전(v1.1.1.)은 아직 멀티체인을 염두에 두고 작성되지 않았기 때문에, 누구나 다른 체인에서 완전히 다른 구성으로 동일한 주소에 스마트 계정을 배포할 수 있었습니다.” 세이프 공동 창립자 루카스 쇼어가 설명했습니다.
Khalo의 신원을 확인한 후, 프로토파이어는 즉시 100 ETH 전액을 반환했습니다. 테스트 거래 후 성공적인 전체 전송이 이루어져, 위기는 시작된 지 몇 시간 만에 해결되었습니다.
“이것은 최근에 본 가장 멋진 암호화폐 이야기 중 하나입니다,” 드래곤플라이의 매니징 파트너 하세브 쿠레시가 말했습니다.
이 사건은 암호화폐 지갑이 멀티체인 생태계에서 발전함에 따라 더 나은 사용자 보호 장치의 긴급한 필요성을 강조합니다.
세이프의 업데이트된 버전 v1.2.0은 계약 배포 시 CREATE2 솔트 계산 방식을 변경하여 이러한 유형의 악용에 대한 보호 기능을 포함합니다.
브릿지 도구도 목적지 주소에 충돌하는 스마트 계약 코드가 존재할 경우 경고를 발행하도록 업그레이드되었습니다.
그럼에도 불구하고, 이 사건은 사용자가 미묘하고 명확하지 않은 버그에 여전히 취약하다는 것을 상기시킵니다.
“…우리는 여전히 사용자가 더 큰 자금을 이동하기 전에 테스트 거래를 해야 하는 시점에 있습니다.” 쇼어가 덧붙였습니다.
초기 충격에도 불구하고, Khalo의 이야기는 그의 자금이 복원되면서 끝났습니다.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.
