12 9월 2023 19:59 GMT+9 . 0 min read

비탈릭 부테린, 69만 달러 탈취한 트위터 심 스왑 공격 밝혀

이더리움 공동 창립자 비탈릭 부테린은 최근 가짜 NFT 홍보를 통해 69만1,000달러의 피해를 일으킨 자신의 트위터(X) 계정 해킹 원인이 “심 스왑” 공격이라고 밝혔다.

블록체인 분석가 ZachXBT는 피해자들의 지갑에서 69만1,000달러가 탈취됐음을 확인했다. 하지만 X 사용자 Satoshi 767이 해당 해킹이 심 스왑 공격인지에 대한 트윗의 답변에서 부테린이 “심 스왑” 공격의 피해자인지에 대한 입장 표명을 거부했다.

I hate to be the one to say it, but Vitalik should take accountability for his poor op-sec and compensate those affected.

I understand users have a responsibility to be wary of all links and that they ultimately connected their wallets irresponsibly; but can we blame them…

— ʞɔɐſ (@satoshi_767) September 10, 2023

심 스왑은 해커가 피해자의 신원을 확보해 전화 번호의 통제권을 빼앗아 통신사를 속이는 범죄이다. 통제권을 확보하면 해당 번호와 연동된 문자 기반 2단계 인증을 통과할 수 있게 된다.

부테린, ‘심 스왑’ 확인

탈중앙화형 소셜 미디어 워프캐스트(Warpcast)에서 부테린은 누군가가 자신의 트위터를 사회공학적으로 해킹해 휴대폰 번호의 통제권을 가로채갔다고 말했다.

“이전에 ‘전화번호가 안전하지 않으니 이 번호를 통해 인증하지 마십시오’라는 문구를 봤으나 이런 일이 일어날 줄은 몰랐다.”

그는 이번 해킹으로 인해 트위터에 입력된 자신의 휴대폰 번호를 제거했다고 말했다. 또한 휴대폰 번호가 “2단계 인증에 쓰이지 않더라도 트위터 계정 비밀번호 재설정까지 가능하다.”라고 덧붙였다.

“언제 번호를 *입력*했는지 기억이 나지 않는다; 아마도 트위터 블루 가입을 위해 입력했던 것 같다.”

트위터의 정책은 2022년 12월에 업데이트됐으며 트위터 블루 구독을 위해서는 인증된 번호가 요구된다는 내용을 포함한다. 만약 아직 블루 구독자가 아니면서 인증된 번호가 없다면 해당 사용자는 가입 과정에서 번호를 인증해야 한다.

부테린은 계정 복구 후에 “이제 이더리움 주소로 계정 복구를 할 수 있는 파캐스터(Farcaster)를 사용하게 되어 다행이다”라고 말했다.

고전 해킹 수법, 심 스왑

심 스왑 공격은 암호화폐 생태계에서 오래전부터 행해져 왔다. 미국 FBI는 2022년에 대량의 암호화폐를 보유한 피해자들에 대한 심 스왑 공격이 증가하고 있다고 경고한 바 있다.

FBI의 추정에 의하면 심 스왑 공격으로 인해 2021년에 6,800만 달러의 피해가 발생했으며 피해 금액은 작년(2022년)에 7,200만 달러로 증가했다.

지난달, 블록체인 캐피털의 상무인 바트 스티븐스(Bart Stephens)는 그가 심 스왑 공격으로 630만 달러의 암호화폐 피해를 봤다고 주장했다. 해당 해커는 그의 가상 지갑에서 비트코인과 이더리움을 포함한 여러 종류의 암호화폐를 탈취한 것으로 추정된다.

스티븐스는 월드코인, 코인베이스, 그리고 크라켄을 포함한 다양한 암호화폐 프로젝트에 투자하고 있다.

또 다른 심 스왑 공격으로 인해 레이어제로(LayerZero) CEO인 브라이언 펠레그리노(Bryan Pellegrino)는 6월 초에 자신의 트위터 계정이 잠시 해킹당했었다고 밝혔다.

And… we're back in. This was basically my life for the past 24 hours. Luckily we saw hack immediately and the battle began pic.twitter.com/pjrkMfQ2vT

— Bryan Pellegrino (@PrimordialAA) July 5, 2023