거래소에서 코인 입출금과 관련된 부서에 일하고 있으면 다양한 공격 시도들을 보는데, 코인이 법으로 잘 보호되는 영역이 아니다 보니 특별히 신고나 처벌이 이루어지는 게 아니어서 그런 거 같다. 특정 블록체인 특유의 일반적이지 않은 기능들을 사용하면 사실 그게 정말로 사기의 의도를 가지고 한 것인지도 증명할 수 있는 것도 아니고 해서 거래소 입장에서도 경고나 무시, 좀 심하면 차단 정도의 대책이 끝이니 인생 놓은 놈들은 신원이 등록되어 있는데도 안 통하면 말고 정도의 시도를 자주 하는 것이지.


그러다 보니 케이스 스터디 같은 걸로 지속적으로 공부를 하게 되는데, 최근에 좀 머리가 좋다고 생각한 공격을 하나 발견해서 공유해본다.


일단 블록체인에 익숙한 사람들은 시드문구(니모닉) 이라는 걸 들어봤을텐데 뭐 별건 아니고 계정의 모든 권한을 가질 수 있는 비밀번호 정도로 보면된다. 비밀키는 기술적으로 들어가면 근본적으론 아주 큰 자연수일 뿐이지만 그거는 외우기도 힘들고 하니까 12개의 단어 정도로 128비트의 엔트로피를 어쩌구저쩌구 하는데 자세한 건 집어치우고 여튼 절대 타인에게 노출되어서는 안되는 최고레벨의 비밀번호라고 보면 된다.


하지만 다양한 사고로 그런 것들이 노촐되는 경우가 종종 있고 이번 공격의 최초 시작 포인트는 그런 비전문가의 실수를 가장하여 통발을 놓는 것이다. 유튜브 코인 관련 영상 덧글로 제 주소에 테더가 좀 있는데 이거 거래소로 뭐 어떻게 옮겨요? 도와주세요 뭐 이런 식으로 덧글을 달면서 모르는 척 시드문구를 노출하는데 어설프게 아는 사람들은 해당 니모닉으로 도출되는 주소를 실제로 검색해보게 되고 진짜로 테더가 상당한 분량이 들어가 있는 걸 보게 된다. 막 몇백에서 크게는 천만원 단위로.


당연히 이게 웬 떡이냐면서 바로 훔쳐가려고 하는데, 테더 같은 메인넷에 기생하는 토큰들은 그걸 옮기려면 수수료로 테더 자체를 내야 하는 게 아니라 메인넷 코인을 내야 한다. 이 케이스는 트론을 내야 하지. 그런데 테더만 들어있지 트론이 없어서 옮기질 못하는 상태. 그래서 바로 소량의 트론을 보내서 테더를 탈취하려고 하는데 보내는 순간 걸려드는 것이다.


비트코인 이후의 2세대 블록체인들은 복잡한 계약을 구현할 수 있고 이미 그 주소의 모든 권한은 별도의 다른 마스터 주소로 옮겨간 상태인 것이다. 트론을 수수료만큼 보내봤자 테더를 옮길 수는 없는 노릇이고, 통발을 놓은 친구는 트론이 들어오는 족족 자신의 마스터 주소로 빼내는 배치잡을 실행시켜둔 상태다.


이게 상당히 괜찮은 방법인 것이, 무고한 사람에게서 대량의 금액을 탈취하는 것이 아니라 도둑놈을 상대로 소량을 빼내는 것이라서 당한 놈 입장에선 아 시발 똥밟았네 수준의 타격으로 끝나기 때문에 실제로 신고가 들어갈 확률이 대단히 낮고, 뭣보다 신고를 하려면 내가 남의 돈 훔치려고 했는데 도리어 당했어요 라고 해야 하는 상황이라 하고 싶어도 할 수가 없다. 사실 블록체인에서 일어나는 다양한 사기사건의 경우 명백한 피해자라고 해도 신고해봤자 국가기관에서 진지하게 상대해주지 않기는 하지만 이것은 더더욱이나 신고가 들어갈 리가 없는 것이지.


이 수법을 보고 주소를 검색해보니 대략 하루의 90만원 페이스로 두달간 지속적으로 털어먹고 있던데 진짜 봉이 김선달도 아니고...게다가 이 주소 하나뿐이라는 보장도 없다. 이런 종류의 권한 이양이 가능한 블록체인이면 다 하고 있다고 봐야될테니. 참...세상에 돈 버는 방법은 다양하다는 걸 깨달은 하루였음.


참, 그리고 이걸 보고 실행에 옮길 사람에게는 미리 말해두자면....기본적으로 이 수법은 신고가 될 확률이 굉장히 낮긴 하지만 제로는 아니고 문제를 삼고자 하면 삼을 수 있는 종류의 수법이고 뭣보다 통발을 설치하기 위한 기술적인 방법 자체는 그렇게까지 어려운 건 아니지만, 테더를 익명으로 구하는 방법, 또한 수확한 트론을 익명으로 현금화하는 방법을 고안하는데 힘을 쓰는 게 좋을 거라는 말을 덧붙이고 싶다