[블록체인투데이 한지혜 기자] 해커 한 명이 암호화폐 지갑에서 약 95만 달러(한화 약 13억 5600만원) 상당의 이더리움(ETH) 732개를 탈취했다고 26일(현지 시각) 크립토포테이토가 보도했다.
보도에 따르면 블록체인 보안 기업 펙실드(PeckShield)는 이번 도난이 영국 기반 암호화 시장 조성자 윈터뮤트(Wintermute)와 연결된 동일한 배니티 어드레스(vanity address) 해킹을 통해 수행되었음을 밝혔다.
온체인(On-chain) 데이터에 따르면 해커는 도난 자금을 OFAC 승인 암호화 믹싱 텀블러 토네이도 캐시(Tornado Cash)로 옮겼다.
이번 익스플로잇(exploit)은 탈중앙화 거래소 애그리게이터 1인치(1inch)가 처음으로 프로파니티(Profanity) 도구의 심각한 취약점을 발견하고 잠재적인 악용 가능성으로 인해 사용자 자금이 손실될 위험이 있다고 말한 지 며칠 만에 나온 것이다
2017년에 출시된 프로파니티는 이더리움 사용자가 본질적으로 식별 가능한 이름이나 번호가 포함된 맞춤형 암호화폐 지갑인 ‘배니티 주소’를 생성할 수 있도록 설계된 도구이다.
1인치의 보고서에 따르면 배니티 주소 생성기는 임의의 32비트 벡터를 사용하여 256비트 개인 키를 만들기 때문에 안전하지 않다.
프로파니티 주소 생성기는 개인 키 생성에서 근본적인 보안 문제를 감지한 후 몇 년 전에 개발사가 포기했다.
1인치의 보안 보고서가 나온 직후, 해커는 지난주 이 도구로 생성된 여러 이더리움 주소에서 330만 달러 상당의 암호화폐를 훔쳤다.
윈터뮤트가 다음으로 익스플로잇 공격을 당했다. 침입자들은 안전한 중앙집권적 금융 및 장외 거래에 비해 취약한 탈중앙화 금융을 노렸다.
보고서에 따르면 13건 이상의 거래에서 16만 2,000달러 이상이 도난당했다. 이런 익스플로잇은 프로파니티 지갑에 대한 무차별 대입 공격으로 발생한 것으로 추측된다고 크립토포테이토는 전했다.
hjh@blockchaintoday.co.kr
