만약 분산 애플리케이션(DApp) 생태계가 최근 Ledger 취약점으로 인해 위험에 처했다고 말한다면 어떨까요? 12월 14일, 일련의 사건들이 펼쳐져 전체 DApp 생태계의 보안을 위협했습니다. 악의적인 행위자가 Ledger 하드웨어 지갑의 커넥터 라이브러리의 취약점을 발견하고 악용함으로써 온체인 분석가들과 SushiSwap, MetaMask 등의 DApp에서 사용자들에게 완전히 지갑과 상호작용을 피하도록 경고를 내리게 했습니다.
Ledger 취약점 이해
지금은 ‘Ledger 해커’로 알려진 공격자는 여러 피해자로부터 65만 달러 이상의 자산을 탈취했습니다. 이는 Web3 사용자들을 악성 토큰 거래를 승인하도록 유도함으로써 달성되었습니다. 해커는 피싱 취약점을 이용하여 이전 Ledger 직원의 컴퓨터를 침해하고 그들의 노드 패키지 매니저 자바스크립트 계정에 접근했습니다. 탈취된 금액은 상당했지만 위험에 처한 지갑과 DApp의 수를 고려할 때 훨씬 더 클 수 있었습니다.
다행히도, Ledger는 신속히 대응하여 DApp 생태계의 Ledger 취약점을 포함하는 패치를 몇 시간 내에 공개했습니다. 그러나 이 사건은 탈중앙화된 금융(DeFi) 세계의 잠재적 보안 위험을 명백히 상기시키는 사례가 되었습니다.
Ledger 커넥터를 사용하는 DApp에 미치는 영향
Zapper, SushiSwap, Phantom, Balancer, Revoke.cash 등 Ledger 커넥터를 사용한 여러 분산 애플리케이션(DApp)이 침해당했습니다. 보안 침해가 발견된 후 약 3시간 후에 Ledger는 파일의 악성 버전이 정품 버전으로 대체되었다고 보고했습니다. Ledger는 이제 사용자들에게 항상 ‘명백한 서명’을 하도록 권고하고, Ledger 장치에 표시된 정보만 신뢰하도록 권고합니다. Ledger 장치와 사용자의 컴퓨터 또는 휴대폰 화면에 표시된 정보 사이에 불일치가 있다면 거래를 즉시 중단해야 합니다.
최근 DeFi 사건
이 Ledger 취약점은 최근 DeFi 부문의 유일한 사건이 아니었습니다. 분산 금융 프로토콜 Yearn.finance은 멀티시그네처 스크립팅 오류로 프로토콜 자금의 상당 부분이 탈취된 후 아비트라지 트레이더들에게 140만 달러를 반환할 것을 호소했습니다. 마찬가지로 OKX 탈중앙화 거래소(DEX)는 프록시 관리자 소유자의 개인 키가 유출된 후 270만 달러의 해킹을 당했습니다.
이러한 보안 문제에도 불구하고, Cointelegraph Markets Pro와 TradingView의 데이터에 따르면 시가 총액으로 측정한 DeFi의 상위 100개 토큰은 주간 차트에서 대부분 상승세를 보이며 녹색으로 거래되었습니다. DeFi 프로토콜에 잠긴 총 자산 가치는 600억 달러 이상을 유지했습니다.
DeFi 공간의 지속적인 발전을 고려할 때, 최신 소식을 알아두고 잠재적인 취약점에 대비하는 것이 중요합니다. cryptoview.io와 같은 플랫폼은 암호화 자산을 추적하고 최신 뉴스를 파악하는 데 유용한 자원이 될 수 있습니다.
