배경

최근 피싱 공격을 받은 사용자로부터 도움 요청을 받았습니다. 해당 사용자는 지갑에서 비정상적인 권한 기록을 발견하고 권한 해제를 시도했지만 실패했으며, 해당 지갑 주소(9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb)를 제공했습니다. 저희의 온체인 분석 결과, 해당 사용자의 계정 소유자 권한이 GKJBELftW5Rjg24wP88NRaKGsEBtrPLgMiv3DhbJwbzQ 주소로 이전된 것으로 확인되었습니다. 또한, 해당 사용자는 300만 달러 이상의 자산을 도난당했으며, 약 200만 달러 상당의 자산이 DeFi 프로토콜에 보관되어 있었지만 이체되지 못했습니다. (해당 200만 달러 상당의 자산은 현재 관련 DeFi 제공업체의 지원을 통해 성공적으로 회수되었습니다.)

 (https://solscan.io/tx/524t8LW1PFWd4DLYDgvtKxCX6HmxLFy2Ho9YSGzuo9mX4iiGDhtBTejx7z7bK4C9RocL8hfeuKF1QaYMnK3itMVJ)

피해자는 권한 확인을 위해 계좌에서 본인 주소로 자금을 이체하려 했지만, 모든 거래가 실패했습니다. 이 상황은 트론 생태계에서 자주 발생하는 "악성 다중 서명" 공격과 매우 유사합니다. 다시 말해, 이 공격은 전통적인 "권한 도용"이 아니라, 공격자가 핵심 권한(소유자 권한)을 대체하여 피해자가 자금을 이체하거나, 권한을 취소하거나, 디파이 자산을 조작할 수 없게 만드는 것입니다. 자금은 "공개"되지만, 더 이상 피해자의 통제 하에 있지 않습니다.

솔라나 소유자 수정 메커니즘

공격자는 두 가지 반직관적인 시나리오를 이용해 사용자를 속여 클릭하게 만드는 데 성공했습니다.

1. 일반적으로 거래에 서명할 때 지갑은 거래 실행 결과를 시뮬레이션합니다. 자금 변동이 발생하면 대화형 인터페이스에 표시됩니다. 그러나 공격자가 정교하게 조작한 거래는 자금 변동을 표시하지 않습니다.

2. 기존 이더리움 EOA 계정은 개인 키로 소유되며, 사용자는 Solana가 계정 소유권을 변경할 수 있는 기능이 있다는 사실을 알지 못합니다.

Solana Owner 수정 사항이 정확히 무엇인지 분석해 보겠습니다.

계정 소유권

지갑에 계정을 생성할 때 소유자는 일반적으로 시스템 계정(1111111111111111111111111111111111111111)입니다. 거래 시, 시스템은 거래 서명이 해당 공개 키로 서명되었는지 확인합니다. Solana Account 명령을 사용하여 기본 계정 정보를 확인할 수 있습니다.

또 다른 유형의 계정은 PDA 계정으로, 스마트 계약에서 파생되며 주로 스마트 계약 데이터를 저장하는 데 사용됩니다. PDA 계정의 소유자는 해당 계정이 파생된 스마트 계약입니다. 예를 들어, 토큰 발행 및 보유 정보를 저장하는 데 사용되는 계정은 PDA 계정입니다. Solana Account를 사용하여 계정의 기본 정보를 확인하면, 소유자가 토큰 스마트 계약인 TokenkegQfeZyiNwAJbNbGKPFXCWuBvf9Ss623VQ5DA임을 확인할 수 있습니다.

두 유형의 계정 모두 소유자를 변경할 수 있지만, 규칙과 제한 사항이 서로 다릅니다.

정기 계좌

소유자는 명령이나 스크립트를 통해 외부에서 직접 수정할 수 없지만, 스마트 계약 호출을 통해 수정할 수 있습니다. 주요 지침은 다음과 같습니다.

`assign` 명령은 계정의 소유자를 현재 값에서 `new_owner`로 변경합니다. 배포 후, 이 명령은 Solana CLI 또는 클라이언트(예: Solana Web3.js)를 통해 호출됩니다. 이 피싱 공격은 이 기능을 악용하여 피해자를 속여 `assign` 명령이 포함된 거래에 서명하게 함으로써 피해자의 지갑 주소에서 소유자를 자동으로 이전했습니다.

PDA 계정

간단히 말해, PDA 계정은 소유자를 수정할 수 있지만 계정 데이터는 비어 있어야 합니다. 이 작업은 `assign` 명령을 사용하여 수행합니다. 저희는 여러 시나리오에서 소유자 수정에 대한 피드백을 바탕으로 간단한 테스트를 수행했습니다.

1. 새로 생성된 PDA 계정은 소유자를 자유롭게 지정할 수 있습니다. 소유자가 계정을 생성한 프로그램이 아닌 경우, 해당 프로그램은 쓰기 권한을 갖지 않습니다.

2. 새로 생성된 PDA 계정의 소유자를 수정하려고 하면 다음과 같은 오류가 발생합니다. "명령이 계정의 프로그램 ID를 불법적으로 수정했습니다."

3. PDA 계정에 최종적으로 데이터가 할당되기 전에 데이터를 쓰려고 시도합니다. 즉, 해당 계정이 소유하지 않은 계정의 데이터를 수정하는 명령입니다.

계정 소유자가 변경되면 사용자는 계정을 제어할 수 없게 되고 공격자는 CPI 호출을 통해 계정 자산을 전송할 수 있습니다.

또 다른 일반적인 소유권 변경 유형은 토큰 계정의 소유권입니다. 이는 본질적으로 솔라나의 기본 로직이 아닌 스마트 계약 내의 로직에 의해 제어되는 소유권입니다. 그러나 피싱 공격에도 자주 사용되므로 사용자는 이러한 유형의 피싱 공격에 주의해야 합니다.

MistTrack 분석

온체인 추적 및 자금세탁 방지 도구인 MistTrack이 피해자 주소 9w2e3kpt5XUQXLdGb51nRWZoh4JFs6FL7TdEYsvKq6Wb를 분석한 결과, 이 공격의 자금 이체 경로는 복잡했습니다. 공격자는 주로 두 개의 핵심 주소, BaBcXDg… (1번으로의 흐름)와 7pSj1R… (2번으로의 흐름)을 통해 자산을 유출시켰습니다.

흐름 방향 1: BaBcXDgbPgn85XtEQK7TZV8kZuFpT4iWVAs4QJoyNSmd

첫 번째 주요 경로는 약 238만 달러 상당의 자산을 수반했으며, 이는 "다단계 확산 + CEX를 통한 탈중앙화 입금 + 여러 주소 중개자"를 특징으로 합니다. 공격자는 이 주소를 사용하여 다양한 토큰(PAYAI, CASH, CARD'S, JitoSOL, POLYFACTS, PUMP, PYUSD, CAP 등)을 SOL로 교환했습니다. 구체적으로, PUMP는 SOL로 교환되기 전에 7E4eNkK…로 이체되었습니다.

교환된 SOL의 주요 목적지는 다음과 같습니다.

1) 717.5 SOL이 YDrMfsB…로 이체되었고, 일부 SOL은 바이낸스 플랫폼으로 이체되었으며, 나머지 자금은 분산되어 약 4개의 트랜짓 주소에 남아 있었습니다.

2) 7,556.89 SOL + 2,218 SOL(PUMP 거래소에서)이 7E4eNkK…로 균일하게 집계된 후, 일부 SOL이 Letsexchange 플랫폼으로 이체되었고, 5,050.93 SOL이 FyB2jDJbTdmW…로 이체되었으며, 나머지 자금은 분산되어 약 13개의 중계 주소에 남아 있었습니다.

3) 2,161.88 SOL + 앞서 언급한 5,050.93 SOL은 FyB2jD…에 추가로 분산되어 여러 플랫폼(HTX, 바이낸스, 쿠코인, 체인지나우, 체인질리)으로 이체되었으며, 일부는 알려지지 않은 주소(25nULbv…)로 유입되었습니다. 나머지 자금은 분산되어 약 25개의 트랜짓 주소에 남아 있었습니다.

4) 2,053 SOL이 6qdtH5D…로 이체되었고, 일부 SOL은 Letsexchange 플랫폼으로 이체되었으며, 나머지 자금은 분산되어 약 15개의 중계 주소에 남아 있었습니다.

5) 20 SOL은 5rJdvkp…로 전송된 후 2etvjZH… 주소로 전송되어 유지됩니다.

6) 2,142 SOL이 2xFzAda…로 이체되었고, 352 SOL이 Binance 플랫폼으로, 200 SOL이 Letsexchange 플랫폼으로 이체되었으며, 나머지 자금은 분산되어 약 11개의 트랜짓 주소에 남아 있었습니다.

흐름 방향 2: 7pSj1RxHf77G3XeisvnNAtbyx5AFjYPcChswWhZe9bM8

두 번째 주요 공격 경로는 약 79만 달러 상당의 자산을 수반하며, 핵심 특징은 "크로스 체인 및 멀티 체인 순환 교환"입니다. 공격자는 또한 획득한 다양한 토큰을 SOL로 교환했는데, JitoSOL, PUMP, 그리고 POLYFACTS가 상대적으로 높은 비중을 차지했습니다.

교환된 SOL의 주요 목적지는 다음과 같습니다.

5,742 SOL이 FiywJZ2Z…로 전송되었으며, MistTrack에서 "Phishing"으로 표시된 다른 피싱 이벤트 주소에서 2,772.8 SOL도 수신되었습니다.

공격자는 Relay.link를 사용하여 8,579.92 SOL을 ETH로 교환하고 Arbitrum 주소 0xDCFa6f…로 크로스 체인을 시도했습니다. 그런 다음 1inch를 사용하여 해당 자금을 SOL로 교환하고 여러 Solana 주소로 크로스 체인을 시도했습니다. 그런 다음 1inch를 반복적으로 사용하여 크로스 체인 작업을 수행했는데, 여기서는 자세히 설명하지 않겠습니다.

FiywJZ2Z…는 남은 215.89 SOL을 Ah5Rs916…로 이체했고, 이후 29,875 USDC로 교환했습니다. 이 USDC는 Relay.link를 통해 5,000, 5,000, 5,000, 5,000, 19,875.38 단위로 DAI로 교환되었으며, 체인을 통해 베이스 및 이더리움 주소 0xd2c1c2A…로 이체되었습니다. 5,000 USDC 거래 중 두 건이 반환되었으며, DAI는 아직 이체되지 않았습니다.

DeFi 자산 구조

또한 여러 당사자의 도움으로 피해자의 DeFi에 남아 있던 자산이 fgR5PJF… 주소를 통해 성공적으로 인출되어 이체되었으며, 여기에는 약 217만 PYUSD와 4,548 USDC가 포함됩니다.

이러한 자금 흐름은 공격자의 행동 패턴을 명확히 드러냅니다. 즉, 빠른 분산, 여러 주소 이동, 여러 플랫폼 간 혼합, 크로스체인 순환, 그리고 CEX 입금과 DeFi 자산의 동시 재사용을 통해 다단계 교차 생태계 자금세탁 네트워크를 구축하여 추적의 어려움을 크게 높입니다. MistTrack은 이미 모든 관련 주소를 표시했습니다.

이와 유사한 공격을 어떻게 예방할 수 있을까?

일반 사용자에게 이러한 유형의 공격은 사실상 "피싱 공격"과 같습니다. 공격자는 에어드랍, 보상, 과제, 조기 테스트 자격 증명 등 다양한 방식으로 링크를 위장하거나 심지어 공식 공지처럼 위장하여 사람들이 단순한 조작으로 착각하게 만듭니다. 하지만 실제로 팝업 서명은 소유자 변경과 같은 고위험 권한을 숨깁니다. 서명이 완료되면 지갑은 사실상 장악됩니다. 따라서 가장 중요한 예방 방법은 링크와 "서명"을 클릭하기 전에 신중하게 생각하는 것입니다. 출처가 신뢰할 수 있는가요? 이 페이지는 공식 페이지인가요? 이 서명은 실제로 어떤 기능을 하나요? 지갑에 팝업되는 내용이 전혀 이해할 수 없거나, 이상한 권한, 낯선 주소 또는 이해할 수 없는 권한 요청이 갑자기 포함된 경우, 즉시 사용을 중단하고 절대 확인을 클릭하지 마십시오.

일상적인 상호작용에 많은 양의 자산이 담긴 지갑을 사용하지 마세요. 작업, 프로젝트, 에어드랍의 경우, 상호작용 전용으로 잔액이 적은 별도의 계정을 준비하세요. 정말 중요한 자산은 별도의 지갑이나 콜드 월렛에 보관하세요. 이렇게 하면 실수로 로그인하더라도 손실을 최소화할 수 있습니다. 또한, 무제한 권한을 부여하지 마세요. 공격자가 서비스를 악용할 수 있는 여지를 줄이기 위해 가능한 한 권한 범위와 양을 제한하세요.

간단히 말해서, 세심하게 살펴보고, 다시 한번 확인하고, 함부로 클릭하거나 서명하지 말고, 자신을 위한 보호 계층을 구축하세요. 큰 자산은 별도로 보관하고, 보조 계정은 상호작용용으로, 주 계정은 안전 보관용으로만 사용하세요. 이상 징후가 발견되면 즉시 중단하고 위험을 감수하지 마세요. 이렇게 하면 이러한 유형의 피싱 공격에 노출될 위험을 크게 줄일 수 있습니다. 마지막으로 "블록체인 다크 포레스트 셀프 헬프 핸드북"(https://darkhandbook.io/)을 읽어보시기를 강력히 추천합니다.