공공 와이파이에 연결했다가 암호화폐 700만 원 탈취…솔라나($SOL) 지갑 승인 악용

호텔 와이파이 접속 중 지갑 승인 요청을 허용한 투자자가 약 700만 원 상당의 솔라나($SOL)와 NFT를 도난당했다. 해커는 승인 권한을 악용한 지속 접근 방식으로 자산을 이체한 것으로 분석됐다.

공공 와이파이에 연결했다가 암호화폐 700만 원 탈취…솔라나($SOL) 지갑 승인 악용 / TokenPost.ai

호텔 와이파이로 털린 700만 원…‘지갑 승인’ 한 번이 전부였다

공공 와이파이 사용 중 승인 요청 하나에 암호화폐를 도난당한 사례가 나왔다. 피해자는 피싱 링크도 클릭하지 않았고, 지갑 자체도 해킹당하지 않았지만, 단 하나의 방심이 돈을 날리는 결과로 이어졌다.

보안 기업 해켄(Hacken)의 분석에 따르면, 이 사건은 공격자가 와이파이 네트워크와 오프라인 정보 수집, 그리고 지갑 승인 요청을 악용해 자금을 탈취한 복합적인 공격이었다. 피해자 ‘더 스마트 에이프(The Smart Ape)’는 호텔에서 3일간 머무는 동안 약 5,000달러(약 730만 원) 상당의 솔라나(SOL) 및 토큰을 잃었다.

“일반적인 사용이었는데…” 승인 한 번으로 지갑 탈탈

사건은 피해자가 비밀번호 없는 개방형 호텔 와이파이 네트워크에 노트북을 연결하면서 시작됐다. 그는 디스코드와 X(구 트위터)를 둘러보고 잔고를 확인하는 등 특별히 위험한 활동은 하지 않았다고 말했다.

그러나 이 와이파이는 ‘캡티브 포털’로, 접속자 간 같은 로컬 환경을 공유하게 되며, 이는 공격자에게 절호의 기회를 제공한다. 해켄의 사이버보안 총괄 드미트로 야스마노비치(Dmytro Yasmanovych)는 “공격자는 주소 결정 프로토콜(ARP) 스푸핑, DNS 변조, 가짜 무선랜 등을 활용해 정상 웹사이트에 악성 자바스크립트를 삽입할 수 있다”고 설명했다. 그는 “디파이(DeFi) 프론트엔드가 신뢰할 수 있더라도 실행 환경 자체가 안전하지 않으면 무용지물”이라고 경고했다.#p#分页标题#e#

라운지 통화가 공격자에겐 단서

이번 공격에서 결정적인 계기는 호텔 로비 전화 통화였다. 피해자가 암호화폐 자산에 관해 대화하는 소리를 들은 공격자는 목표가 암호화폐 투자자라는 사실을 알아차렸고, 그가 사용하는 지갑(이번 사례에선 솔라나 기반 팬텀 지갑)을 특정할 수 있었다.

야스마노비치는 “해커는 키보드에서 해킹을 시작하지 않는다. 대부분의 사이버 공격은 ‘관찰’로부터 출발한다”며 “퍼블릭 공간에서의 암호화폐 보유 관련 대화는 공격자 입장에서 일종의 정보 수집(정찰) 행위로 작용할 수 있다”고 지적했다.

일상적 승인 요청에 숨어든 ‘지속 권한 공격’

결정적인 순간은 피해자가 일반 거래로 생각했던 지갑 승인 요청에 서명하면서 발생했다. 당시 그는 정상적인 디파이 사이트에서 토큰을 스왑하는 도중이었지만, 이미 악성 코드가 프론트엔드에 삽입돼 있었다. 해당 요청은 실제 송금 대신 ‘지속적인 접근 권한(approval)’을 요구하는 트릭이었다.

야스마노비치는 “이는 최근 빈번하게 발생하는 ‘승인 악용(approval abuse)’ 공격 패턴”이라며 “해커는 키를 탈취하거나 즉시 자금을 인출하지 않고, 승인 권한을 획득한 뒤 며칠 또는 몇 주 후에 자산을 가져간다”고 설명했다