Drainer 공격에 대해 알아야 할 사항: 낚시 수법의 진화
글: BlockSec
Drainer: 낚시 수법 진화, 다섯 주요 프로젝트가 새로운 공격 대상으로 부상
최근 점점 더 많은 해커들이 Drainer 도구 세트를 활용해 Web3 낚시 공격을 수행하고 있다. 이들은 사용자가 지갑 연결을 유도하는 악성 웹사이트를 통해 귀중한 토큰 정보를 탈취하고, 위조된 거래를 자동 생성한다. 초기에는 해커들이 소셜 미디어 플랫폼에 직접 이러한 낚시 사이트를 유포했지만, Web3 사용자들의 경각심이 높아지면서 전통적인 방법으로는 더 이상 효과를 거두기 어려워졌다. 이에 따라 해커들은 Discord 서버, 트위터 계정, 공식 웹사이트, 소프트웨어 공급망(software supply chain), 이메일 데이터베이스 등 인기 있는 프로젝트들을 공격하여 플랫폼의 신뢰와 트래픽을 악용함으로써 대규모로 낚시 사이트를 확산시키고 있으며, 다수의 사용자들이 막대한 피해를 입고 있다.
해커들이 사용하는 전술에 대해 보다 깊이 이해하기 위해 아래 표에서 Drainer 관련 주요 해킹 사건들을 정리했다:
Discord 서버 공격
2023년 5월 31일, Pika Protocol의 Discord 서버가 해킹당했다. Pink Drainer는 공식 Discord 그룹 내에서 악성 JavaScript 코드 조각을 포함한 낚시 웹사이트를 유포했는데, 이 사이트는 Discord 관리자가 클릭하거나 북마크 추가 등의 동작을 하도록 유도하여 해당 코드를 실행하게 만들었고, 이 과정에서 Discord 토큰이 탈취되었다. 동시에 여러 인기 있는 Web3 프로젝트들도 유사한 공격을 경험했다.
사례 상세 정보 참고 🔗: https://www.secureblink.com/cyber-security-news/3-million-crypto-stolen-by-pink-drainer-exploiting-discord-and-twitter
트위터 계정 공격
2023년 5월 26일, 스티브 아오키(Steve Aoki)의 트위터 계정이 해킹되어 암호화폐 투자자들이 17만 달러의 손실을 입었다. 낚시 계정과 관련된 거래 기록을 조사한 결과, 이번 트위터 계정 침입은 SIM 스왑 공격(SIM card exchange attack)을 통한 것으로 밝혀졌으며, 이는 Pink Drainer와 연관되어 있다. SIM 스왑 공격에서는 해커가 사회공학적 방법(주로 피해자의 개인정보를 이용)을 통해 통신사를 속여 피해자의 전화번호를 해커 소유의 SIM 카드로 옮기는 방식으로 진행된다. 성공하면 해커는 피해자의 트위터 계정을 완전히 장악할 수 있다. 비슷한 공격은 OpenAI의 최고기술책임자(Slingshot)와 비탈릭 부테린(Vitalik Buterin)의 트위터 계정에서도 발생했으며, 모두 Pink Drainer와 긴밀한 관련이 있다.
사례 상세 정보 참고 🔗: https://www.bitdefender.com/blog/hotforsecurity/hacked-djs-twitter-account-costs-cryptocurrency-investors-170-000/
공식 웹사이트 공격
2023년 10월 6일, Galxe의 공식 웹사이트가 낚시 사이트로 리디렉션되며 사용자들이 27만 달러의 손실을 입었다. 공식 입장에 따르면, 신원 불명의 해커가 Galxe 대리인을 사칭해 도메인 제공업체에 허위 문서를 제출함으로써 로그인 정보를 재설정하고, Galxe의 보안 절차를 우회한 후 무단으로 도메인 계정에 접근했다고 한다. 피해 계정의 거래 기록 분석 결과, 이번 공격의 배후는 Angel Drainer로 확인되었다. 또한 Balancer와 Frax Finance 역시 Angel Drainer로부터 유사한 방식의 공격을 당한 바 있다.
사례 상세 정보 참고 🔗: https://www.secureblink.com/cyber-security-news/3-million-crypto-stolen-by-pink-drainer-exploiting-discord-and-twitter
- 4 -
소프트웨어 공급망 공격
2023년 12월 14일, 웹사이트와 지갑 간 연결을 지원하는 JavaScript 라이브러리인 Ledger Connect Kit에 취약점이 발견되었다. 레저(Ledger)의 전 직원이 낚시 사이트 공격의 표적이 되면서, 해커는 레저의 NPMJS 저장소에 악성 파일을 업로드할 수 있었고, 이로 인해 취약점이 발생했다. 이후 해커는 인기 있는 암호화폐 웹사이트들에 악성 스크립트를 주입할 수 있게 되었으며, 사용자들은 악성 계정이 서명한 위조 거래 요청을 받게 되었다. 현재까지 SushiSwap 및 Revoke.cash를 포함한 다양한 암호화폐 플랫폼에서 사용자들의 자금 탈취액이 60만 달러를 초과했다. 낚시 계정의 거래 기록을 통해 이번 사건 역시 Angel Drainer가 주도했음을 확인할 수 있었다.
사례 상세 정보 참고 🔗: https://www.ledger.com/blog/a-letter-from-ledger-chairman-ceo-pascal-gauthier-regarding-ledger-connect-kit-exploit
- 5 -
이메일 데이터베이스 공격
2024년 1월 23일, 이메일 관리 서비스 MailerLite가 사회공학 공격을 받아, WalletConnect, Token Terminal, De.Fi의 공식 계정을 통해 Pink Drainer의 악성 링크를 포함한 대량의 이메일이 발송되었다. 이번 공격은 팀원 한 명이 가짜 Google 로그인 페이지로 연결되는 이미지를 실수로 클릭하면서 시작되었으며, 이를 통해 해커는 MailerLite의 내부 관리 패널에 접근할 수 있었다. 이후 해커는 관리 패널을 이용해 특정 사용자의 비밀번호를 재설정함으로써 이메일 데이터베이스를 유출시키고, 낚시 메일을 대규모로 유포할 수 있었다.
사례 상세 정보 참고:
🔗 https://cointelegraph.com/news/mailerlite-confirms-hack-crypto-phishing-email-3m-attacks
요약: Drainer 해커의 수법을 깊이 이해하고, Web3 관련 낚시 위험에 효과적으로 대응하자
Drainer 개발자들은 계속해서 유명 프로젝트를 침투하고 그들의 트래픽을 이용해 낚시 사이트를 확산시키는 새로운 방법을 고안해내고 있다. 우리는 이러한 해커의 수법에 경계를 늦추지 않으며, 관련 낚시 계정과 거래를 지속적으로 모니터링할 것이다. 또한 사용자들도 어떤 작업을 수행하기 전에 반드시 거래 내용을 철저히 검토해야 한다!
본문은 사용자들이 프로젝트를 공격하는 해커의 방법을 이해하고, Web3 관련 낚시 위험에 효과적으로 대응하며 Drainer의 위조 거래 피해를 예방할 수 있도록 돕기 위한 목적이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@BlockSecTeam
