DNS 해킹 공격 대상 된 BSC 디파이 “개인키 절대 입력 금지”

By 강민승   Posted: 2021-03-16
DNS 스푸핑 공격을 받은 크림파이낸스 홈페이지. 출처 : 크림파이낸스 트위터

사용자들이 토큰을 교환하거나 예치하고 이자를 받을 수 있는 탈중앙화 금융(DeFi, 이하 디파이) 서비스들이 잇단 공격으로 접속이 중단되는 사태가 지난 15일 발생했다. 공격을 당한 서비스는 바이낸스 스마트 체인(BSC)에 기반한 디파이 서비스인 크림 파이낸스와 팬케이크스왑이다. 이들을 가장한 가짜 서비스에 접속해 개인키나 비밀번호를 실수로 유출하지 않도록 사용자들의 각별한 주의가 요구된다.

이번에 발생한 공격은 DNS를 공격해 사용자가 정확한 웹사이트 대신 엉뚱한 웹사이트에 접속하도록 연결 정보를 가로채는 스푸핑 공격으로 밝혀졌다. 공격을 받은 크림 파이낸스와 팬케이크스왑은 지난 15일 오후 10시(현지 시각) 이후부터 사용자가 접속시 해커가 생성한 것으로 추정되는 가짜 웹페이지로 연결됐다. 가짜 웹페이지에선 지갑의 개인키와 복구 비밀번호를 입력하라는 경고창(사진)이 팝업돼 입력을 유도했다. 사용자가 입력한 경우에는 각 서비스에 보관해놓은 토큰을 탈취당할 가능성이 매우 높다. 이번 공격으로 인한 정확한 피해 규모는 아직 알려지지 않았다.

이번 공격을 발견한 뒤 크림 파이낸스는 사용자의 예치금이 안전한 상태라고 트위터를 통해 지난 15일 공지했다. 팬케이크스왑도 서비스에 접속할 수 있는 DNS 주소를 초기화하며 서비스를 복구하는 중이라고 밝혔다. 서비스에 접속하기 위한 연결은 현재 대부분 복구된 상태이지만 아직까지 원활하지 않다. 블록체인 서비스를 구현한다 해도 서비스의 기반 자체는 전통 웹을 토대로 구축되는 경우가 많기에 중간에 연결을 갈취하는 이같은 공격은 얼마든지 발생할 수 있다.

메타마스크 사용자가 두 웹사이트에 접속할 때 나오는 화면. 피싱이 감지됐다는 경고문이 노출된다. 출처 : 디스트리트

팬케이크 스왑은 트위터를 통해 “크림파이낸스와 마찬가지로 공격자에게 우리 서비스의 도메인을 갈취당하는 공격을 당했다. 다시 공지를 하기 전까지 해당 홈페이지를 사용하지 말아달라. 최대한 빨리 조치를 취하겠다”고 공지했다.

창펑 자오 바이낸스 대표는 “팬케이크 스왑, 크림파이낸스를 비롯한 많은 디파이 프로젝트가 해커에게 DNS 연결을 갈취당하는 공격을 받고 있다. 탈중앙화 거래소를 사용하는 사용자는 부디 조심하고 서비스가 복구되기 전까지 웹페이지를 사용하지 말아달라”고 당부했다.

[강민승 기자]