암호화폐 해킹이 평소보다 더 자주 일어난다고 느낀다면, 기분 탓이 아닙니다. DefiLlama의 차트는 뚜렷한 급증을 보여줍니다.
몇 주 전 업계 매체들은 Claude 신경망의 새 버전인 Claude Mythos에 대해 보도했습니다. 이 모델은 코드의 취약점을 찾아내는 데 특히 뛰어나다고 합니다. Mythos는 아직 공개 출시되지 않았습니다. 그러나 이런 종류의 기술이 성숙해지면 다시 되돌리기 어렵습니다. 이번 해킹 급증은 우연이 아닐 가능성이 큽니다.
그럼에도 불구하고 오늘 Bisq 익스플로잇 소식은 특히 눈에 띄었습니다. Bisq는 비트코인을 법정화폐와 교환하는 탈중앙화 플랫폼입니다. 출시된 지 10년이 되었고, 지난 6년 동안 단 한 건의 익스플로잇도 없었습니다. 쉬운 표적처럼 보이지 않습니다: 모든 비트코인 거래는 구매자와 판매자 두 사람의 서명을 필요로 합니다. 미묘한 버그가 숨어들 수 있는 복잡한 스마트 계약도 없습니다. 자금을 훔치려면 사람을 속여 악성 거래에 서명하도록 해야 합니다. 더 구체적으로는, 구매자가 실제로 법정화폐를 보내지 않았음에도 판매자가 비트코인을 구매자에게 해제하는 거래에 서명하도록 속여야 합니다.
시스템은 거의 가능한 한 안전해 보였습니다. 그런데도 악용당했습니다.
공격자들이 발견한 것으로 보이는 점은 다음과 같습니다: 판매자에게 서명할 내용을 보여주는 애플리케이션이 거래의 원시 기술 데이터에 기반해 거래를 검증하지 않았다는 것입니다. 대신 구매자가 서명을 추가할 때 제공한 메타데이터에 의존했습니다. 공격자는 그 부분을 조작했습니다. 판매자들은 다중서명(multisig) 주소에서 자신에게 비트코인을 되돌려 보내는 것이라고 믿었지만, 실제로는 자금이 공격자에게 이전되는 거래에 서명하고 있었습니다. 다시 말해 공격자는 단순히 거래의 상대방이었던 것입니다.
이것이 바로 오늘날 암호화폐 거래에서 프로세스의 단순성과 거래 상대방에 대한 신뢰가 그 어느 때보다 중요한 이유입니다.
저희 rabbit.io는 바로 여기에 초점을 맞춥니다:
- 한 암호화폐를 보내야 하는 주소를 보여드립니다.
- 받으실 다른 암호화폐의 주소를 저희가 알고 있습니다.
- 그게 전부입니다.
여러분의 유일한 임무는 주소를 주의 깊게 복사해 정확한 금액을 보내는 것입니다. 저희는 최대한 간단하고 신뢰할 수 있게 유지합니다.
