클레이스왑 해킹 진행상황 정리 | 내 계좌 해킹 여부 확인하기

클레이스왑에서 특정 주소로 코인이 전송되는 오류 혹은 스왑 시 특정 주소로 코인이 이동하는 오류가 발생하고 있습니다. 


이에 클레이스왑팀은 서비스 긴급 점검 메시지로 현재 서비스 정상화를 위해 작업을 하고 있습니다. 



이용자들의 전언에 따르면 0xdfcb0861d3cb75bb09975dce98c4e152823c1a0b 라는 주소로 입금만 되고 출금이 안 되는 중이라고 합니다. 

현재 리포트 되고 있는 상황을 보면 아래와 같습니다. 

  • 단일 풀 DAI 예치 시 위의 주소로 입금
  • LP 풀 풀었을 때 지갑으로 들어오지 않고 위의 주소로 입금
  • 스왑, 예치, 인출 시 위의 주소로 입금
  • 스테이킹 비율 오류






이 와중에 카카오 큐알코드 오류 기사가 뜸

[속보] “카카오 난리났다” QR체크인, 다음, 카카오맵 등 서비스 먹통


3일 오후 현재 카카오 QR체크인 등 일부 서비스가 ‘먹통’이다. 지난해 12월 13일 방역패스 의무화 첫날 QR체크인 오류를 일으킨지 약 3개월 만이다.


업계에 따르면 카카오QR체크인, 카카오맵, 다음 뉴스 등 카카오 서비스 전체에서 오류가 속출하고 있다. 접속 자체가 안 되거나 서비스 이용 속도가 현저히 느린 상태다. 이용자들은 “점심 시간인데 QR체크인이 안돼 당황했다”, “카카오맵, 내비게이션 등 서비스가 다 이상하다. 카카오만 왜 이렇게 자주 오류가 나는거냐”며 불만을 표하고 있다.


카카오 관계자는 “현재 오류가 난 것을 인지하고 원인 파악 중”이라고 밝혔다.


스왑스캐너 공지사항 뜸

[클레이스왑 관련 공지]


안녕하세요, 스왑스캐너 팀입니다.


클레이스왑 사이트에서 약 1시간동안 클레이스왑을 통한 직접 스왑 및 유동성 공급시 새로 생긴 컨트랙트로(아마도 공격자에 의한) 흘러들어가는 비정상 트랜잭션이 발생하는 것을 감지하였습니다.


스왑스캐너를 통한 스왑은 최저가 구매 경로 중 클레이스왑 LP가 포함되어있어도 전혀 문제가 없음을 확인하였습니다. 


즉, 클레이스왑 자체 문제와 상관없이 스왑스캐너를 통한 스왑에는 문제가 없으니 안심하시고 사용부탁드립니다.


감사합니다.


이런 중에 클레이스왑 측에서는 사용자제 내용이 아래와 같이 올라왔고, 




이후에 사이트 부터 막아야 하는 것이 아니냐는 이용자들의 의견 개진 후에 사이트를 내리고 조치하고 있는 중입니다. 

이 와중에 스왑스캐너 팀이 확인한 바로는 클레이스왑 홈페이지를 해킹하여 어떤 주소를 출금 대상으로 넣어도 공격자 지갑으로 들어가도록 변조했다고 파악한다는 의견을 내었습니다. 
따라서 홈페이지를 통하지 않은 스왑스캐너를 통한 스왑에서는 문제가 없었다고 하네요. 


안녕하세요. 스왑스캐너 팀입니다.

저희 개발&보안팀이 파악한 바로는

정상적인 상황:
클레이스왑 사이트 -> 클레이스왑 Factory Contract -> 클레이스왑 LP Contract 에서 

공격 상황:
클레이스왑 사이트 -> 가짜 클레이스왑 Factory Contract -> 공격자 지갑 으로 변경되었습니다.

따라서 클레이스왑 LP등 컨트랙트 자체가 공격받은 부분은 아니고 클레이스왑 사이트가 해킹당한 상황으로 추측됩니다.
클레이스왑 사이트를 통한 트랜젝션은 지양하시면 좋을것 같습니다.

"클레이스왑 LP를 활용하는 스왑스캐너에는 문제가 없습니다"

이는 클레이스왑 컨트랙이 해킹당해도, NAEP컨트랙트를 통해 Output amount를 추가적으로 검증하기에, 설사 클레이스왑 컨트랙이 해킹당한다 해도 안전합니다.


스왑스캐너 이용은 안 해 봤지만 관심이 가는군요. 

위의 말이 맞다면 클레이스왑 홈페이지가 아닌 다른 채널(블루웨일프로토콜 등) 을 통해 직접 스왑하는 것은 문제가 없었다는 이야기가 됩니다.  


이더스캔을 통해 보면 해커의 지갑으로 빼내어진 코인들이 오르빗체인을 거쳐 외부로 빠져 나가고 있는 상황입니다. 

https://etherscan.io/address/0x41e83eb962085b9212839447ff4e26ddd5284055#tokentxns


클레이스왑이 오르빗체인과 협력해서 해커지갑에서 외부로 나가는 트랜젝션을 막아야 하는데 대응이 느린것이 아니길 바래야 하겠네요. 


현재까지의 보도된 내용과 커뮤니티의 내용을 볼 때 아래와 같이 정리해 볼 수 있을 것 같습니다. 

  1. 첫째, 클레이스왑의 트랜젝션, 스마트 컨트랙트 자체는 문제가 없다.
  2. 둘째, 클레이스왑 홈페이지 위변조를 통해 해커가 수신 받을 주소에 자신의 주소를 삽입했다. 
    • 이로 인해 어푸프브(approve)가 승인이 필요했다
    • 사람들은 이상하게 생각하면서도 승인을 했다
  3. 셋째, 이로 인해 다른 스왑사이트(스왑스캐너, 블루웨일프로토콜 등)와 같이 클레이스왑 홈페이지를 통해 스왑하지 않는 곳은 문제가 없었다. 
  4. 넷째, 해당 위변조 홈페이지를 통해 스왑하거나 트랜젝션을 하지 않은 이용자들은 피해가 없을 것으로 보인다
  5. 다섯째, 위변조 홈페이지를 통해 트랜젝션을 한 이용자들은 자신의 자산이 특정 주소로 빠져나간 피해를 입었다. 
  6. 여섯째, 이에 대해 오지스가 보상을 할 지 여부에 대해서는 현재 홈페이지 정상화 작업 이후에 입장을 밝힐 것으로 기대한다. 

개인적으로 이번 사태는 클레이스왑의 웹페이지 위변조로 오지스의 잘못이 없다고 하기 어려운 상황인 것 같기는 합니다. 
물론 이용자들도 approve 시에 한번 더 확인을 했어야 하는 주의 의무도 있기는 합니다. 
하지만 클레이스왑 홈페이지가 위변조 될 것이라는 생각을 항상 가지면서 조심해야 하는 것이 당연한 것인지에 대해서는 의문시 됩니다. 

오지스가 현명한 대책을 마련해서 공지하였으면 합니다. 
이번일을 기회로 오히려 클레이스왑이 발전했으면 좋겠습니다. 

------

오후 11시 45분경 아래와 같은 공지가 올라옵니다. 

안녕하세요 클레이스왑 커뮤니티 여러분,

클레이스왑을 개발한 오지스는 사용자들의 신뢰와 더불어 프로덕트의 보안을 항상 최우선순위에 두고 있습니다. 아울러, 클레이튼 생태계의 대표 탈중앙화 금융 프로토콜로서 정기적인 보안 감사 및 보호 조치를 통해 안전성 증대에 심혈을 기울여 왔습니다.

하지만 금일 클레이스왑 프론트 엔드 소스 코드 및 스마트 컨트랙트 보안 이슈가 아닌 외부 사이트로부터의 SDK 파일 감염으로 인해 매우 안타까운 외부 공격이 발생하였습니다. 이로 인해 클레이스왑 사용자 여러분께 심려와 불편함을 끼쳐드린 점에 대해 진심으로 사과의 말씀을 드리며, 깊은 양해를 구합니다.

이번 케이스는 클레이스왑 프론트 엔드 소스 코드 및 스마트 컨트랙트의 결함이나 보안적 이슈가 아니기에, 해당 시간대에 클레이스왑 사이트에서 트랜잭션을 발생시킨 사용자를 제외한 다른 사용자의 모든 자산은 안전하게 보관되어 있음을 우선적으로 알려드립니다.

문제 발생 시점 이전에 사이트를 접속한 상태로 계속해서 클레이스왑을 이용하였던 유저의 경우에는 미디엄 리포트 내용을 참고하시어, 토큰 승인 해제 절차와 함께 직접 자신의 인터넷 브라우저의 캐시를 삭제한 후 클레이스왑 이용을 부탁드립니다.

해당 텔레그램 그룹은 최대한 많은 분들이 공지 내용을 확인하실 수 있도록 특정 기간 동안 대화를 중지할 예정입니다. 

다시 한번 클레이스왑 사용자분들께 심려를 끼쳐드린 점 죄송하다는 말씀드리며, 탈중앙화 금융 생태계 안전성 확보와 재발 방지에 힘쓰겠습니다.

감사합니다. 

https://link.medium.com/juepgFOFlnb

Medium (https://link.medium.com/juepgFOFlnb)
KLAYswap Incident Report (Feb 03, 2022)

 

위의 안내에 따라 미디엄 공지를 읽어보고 클레이스왑에 접속하면 아래와 같은 화면이 나옵니다. 




지갑을 연결해도 아래의 0이라는 숫자가 유지되면 이번 해킹에 문제는 없는 계좌입니다. 




위와 같이 Token, LP, Single Deposit 모두 0이 나오는 것을 확인하면 됩니다. 

만약 0이 아니라면 개별적으로 Approve 한 내역들이 보이는데 모두 해제 해야 합니다. 

그리고 이렇게 해제를 한 지갑의 경우 다른 지갑으로 모두 자산을 이동하여 사용하는 것을 권장한다고 오지스는 밝히고 있습니다. 카이카스나 메타마스크의 경우 다른 지갑을 생성해서 옮기면 되는데 카카오 클립 지갑 사용자는 지갑을 옮기는 것이 불가능할 것으로 보여 이에 대해서도 오지스의 입장이 있었으면 좋겠습니다. 


추가적으로 보상과 관련해서는 별도의 공지가 있을 예정이라고 합니다. 




지금까지 클레이스왑 해킹을 간단하게 요약해보면 아래와 같습니다. 


  • 사고 원인
    • 프론트엔드 문제 아님
    • 스마트컨트랙트 문제 아님
    • 외부 사이트로부터 SDK 파일 감염이 원인
    • 외부 네트워크망 공격으로 Kakao SDK 자바스크립트 파일요청이 카카오 서버가 아닌 공격자가 구축한 서버로 연결되어 악성파일 다운로드
    • 클레이스왑에 로딩되는 Kakao SDK 스크립트를 변경하여 자신의 코드(자신의 지갑으로 전송) 실행


  • 피해 규모 및 보상 방안
    • 피해규모 약 22억원
    • 피해 지갑 325개(해당 지갑 이용자는 지갑주소 변경을 권고)
    • 피해 트랜잭션 407개
    • 각각의 트랜잭션 모두 확인 가능 | 관련 보상 별도 공지


  • 기타사항
    • 인터넷 브라우저 캐시 삭제 후 클레이스왑 접속
    • 2월 3일 클레이스왑에서 트랜잭션을 진행한 유저는 "토큰 승인 해제" 절차 진행
    • '토큰 승인 해제하기' 버튼 하단에 Total이 0으로 나올 경우, 이번에 발생한 이슈와는 무관
    • 이번 발생한 이슈에 해당하는 지갑은 별도의 지갑으로 자산 이동을 권고


أحدث أقدم