23일(현지시간) 코인텔레그래프에 따르면, 텔레그램에서 유포되고 있는 새로운 유형의 사기로 인해 피해자가 거래를 승인하지 않고도 공격자가 피해자의 암호화폐 지갑 탈취에 성공했다.
이 사기는 ERC-2612 토큰 표준을 준수하는 토큰에서만 작동하는데, 이는 가스비 없는 송금 또는 ETH를 보유하지 않는 지갑을 통한 송금을 허용한다. 해당 사기는 사용자가 거래를 승인할 필요는 없지만, 사용자가 메시지에 서명하도록 속이는 방식이다.
오늘날 점점 더 더 많은 토큰이 ERC-2612 표준을 구현함에 따라 이 특정 유형의 공격은 더 널리 퍼지게될 가능성이 있다.
최근 코인텔레그래프는 토큰 개발사 OPNX의 공식 텔레그램 그룹이라고 생각한 곳을 방문했다가 600달러 상당의 오픈 익스체인지(OX) 토큰을 잃었다는 한 사용자로부터 연락을 받았다고 한다. 하지만, 이는 교묘한 피싱 사기였다.
해당 사용자에 따르면, 텔레그램 그룹에 들어가자 봇이 아님을 증명하기 위해 지갑 연결 버튼을 누르라는 요청을 받았다고 한다. 버튼을 누르자 브라우저 창이 열렸고, 그는 단순한 연결만으론 자금에 위험을 초래하지 않을 것이라고 생각해 별다른 의심 없이 지갑을 사이트에 연결했다. 하지만 몇 분도 지나지 않아 피해자의 OX 토큰이 모두 빠져나갔다고 한다.
피해자는 해당 페이지에서 단 한 건의 거래도 승인한 적이 없다고 하지만, 결론적으론 자금은 모두 도난당해버렸다.
한편, 코인텔레그래프가 해당 텔레그램 그룹을 방문한 결과, 가짜 버전의 콜라보랜드 텔레그램 인증 시스템이 존재한다는 사실이 드러났다.
진짜 콜라보랜드 시스템은 소문자 “L(l)”이 두 개 포함된 텔레그램 채널 @co’ll’ablandbot에서 메시지를 보내지만, 해당 가짜 버전은 두 번째 소문자 “l” 대신 대문자 “I(i)”를 사용한 @co’lI’ablandbot에서 메시지를 보냈다.
텔레그램에서 사용자 아이디에 사용하는 폰트 상, 이 두 글자는 매우 유사하게 보다.
한편, 해당 피해사건과 관련된 블록체인 데이터에 따르면, 공격자는 OX 토큰 컨트랙트에서 “transferFrom” 함수를 호출하여 자금을 유출한 것으로 드러났다.
이 같은 기능을 잘 활용할 경우 지갑 개발자는 스테이블코인만 보관하는 사용자 친화적 지갑을 만들 수도 있다.
하지만 사기꾼들은 해당 기능을 악용해 사용자를 속여 자금을 빼돌리고 있는 것으로 나타났다. 웹3.0 사용자는 승인 거래를 하지 않더라도 공격자에게 해당 기능을 제공하는 메시지에 서명을 하기만 하면 공격자가 자금을 빼낼 수 있다는 점에 스스로 반드시 유의해야 할 것이다.