- 바이비트 CEO, 프런트엔드 변조를 통한 세이프의 멀티시그 시스템 악용 가능성
- 서명자들이 정상 거래로 착각한 상태에서 스마트 계약 변경 승인
- 해커가 ETH 콜드월렛을 장악한 후 모든 자금 이체
- 세이프측, 코드 침해 증거는 없으나 보안 점검 위해 서비스 일시 중단
- 바이비트, 도난 자금 추적 진행 중
22일 보안 업체 슬로우미스트 창립자 유 셴은 바이비트 해킹 사건과 관련해 스마트 계약 자체의 취약점이 아닌, 프런트엔드(UI) 변조가 주요 원인이라고 분석했다. 유 셴은 해커들이 변조된 UI를 이용해 정상적인 거래로 위장하고, 멀티시그 서명을 유도해 자금을 탈취했다고 주장했다.
이와 같은 방식은 이번이 처음이 아니며, ▲와지르엑스(2억 3천만 달러 피해) ▲라디언트 캐피털(5천만 달러 피해) ▲DMM(3억 500만 달러 피해) 등에서도 유사한 사례가 발생한 바 있다고 덧붙였다.
바이비트, ETH 콜드월렛 해킹 과정 공개
앞서 사건 발생 당시 바이비트 CEO 벤 조우는 ETH 멀티시그 콜드월렛이 해킹된 경위를 설명하며, 세이프의 멀티시그 시스템이 악용됐다고 밝힌 바 있다.
조우에 따르면, 서명자들은 변조된 UI에서 정상적인 거래로 보이는 화면을 확인한 후 서명을 진행했으나, 실제로는 ETH 콜드월렛의 스마트 계약 변경을 승인하는 서명이었다고 설명했다. 거래 화면에는 올바른 주소와 세이프의 공식 URL이 표시됐지만, 해커가 콜드월렛을 장악하는 코드가 실행됐다고 전했다.
이를 통해 해커는 콜드월렛 내 모든 ETH를 외부 주소로 이동시킨 것으로 전해졌다.
바이비트 측은 다른 콜드월렛은 안전하며, 출금 서비스도 정상 운영되고 있다고 밝혔다.
세이프, 보안 점검 위해 서비스 일시 중단
반면, 세이프는 공식 발표를 통해 이번 사건과 관련한 코드베이스 침해나 악성 코드 삽입 증거는 발견되지 않았지만, 보안 점검을 위해 Safe{Wallet} 기능을 일시적으로 중단했다고 밝혔다.
세이프 측은 조사 결과 ▲코드베이스 변조 없음 ▲공급망 공격 가능성 없음 ▲인프라 무단 접근 없음 ▲다른 세이프 주소에 대한 영향 없음 등을 확인했다고 공지했다.
현재 세이프는 서비스 안정성을 확보하기 위해 ▲서비스 설정 재검토 ▲인프라 접근 권한 변경 ▲컨테이너 재구축 및 설정 재적용 ▲외부 보안 연구진과 코드 감사 등의 조치를 진행하고 있으며, 보안 점검이 완료되는 대로 서비스를 재개할 계획이다.
멀티시그(MultiSig)란?
멀티시그(Multi-Signature, 다중 서명)는 여러 명의 승인(서명)이 있어야 거래가 실행되는 보안 방식이다. 일반적으로 개인 키 하나로 거래를 승인하는 방식과 달리, 여러 개의 키가 필요하므로 보안성이 높아진다.
예를 들어, 3/5 멀티시그 설정이 적용된 지갑이라면, 5명의 서명자 중 최소 3명이 서명해야 거래가 승인된다. 이를 통해 해킹, 내부자 위험, 키 분실 등의 보안 위협을 줄일 수 있다.
현재 까지의 내용을 유추 했을때, 이번 바이비트 해킹 사건에서는 멀티시그 시스템의 UI가 변조되어 서명자들이 정상적인 거래로 착각했고, 결과적으로 해커가 콜드월렛을 장악하는 데 악용된 것으로 보인다.
