이더리움 지갑 '마이이더월렛(MEW)' 해킹
DNS서버 해킹으로 MEW 이용시 해커에게 이더리움 전송 돼
이 기사를 공유합니다
박근모
박근모 2018년 4월25일 11:02
마이이더월렛, MEW, 해킹, DNS
마이이더월렛이 해킹됐다.


이더리움을 보관하는 개인 지갑인 '마이이더월렛(MyEtherWallet, MEW)'이 해킹당했다. 해커는 MEW의 DNS(도메인네임시스템)서버를 해킹해 MEW에 접속한 사용자들의 접속 기록과 지갑 주소 등을 유출, 개인 지갑에 보관 중인 이더리움을 빼가고 있는 것으로 확인됐다. 지금까지 알려진 정보에 따르면 해커의 이더리움 지갑 주소는 '0xb3AAAae47070264f3595c5032eE94b620A583a39'로 현재 2만4505이더(약 183억원)를 보관 중이며, 해당 주소로 이더리움이 빠르게 유입되고 있다. MEW를 이용하는 사용자들은 DNS서버 문제가 해결될때까지 MEW 접속을 자제해야 한다.

MEW의 공식 발표를 따르면 'myetherwallet.com' 에 연결된 복수의 DNS서버가 해킹당해 MEW에 접속한 사용자들의 정보가 피싱사이트로 하이재킹된다. MEW 측은 현재 해킹에 문제없는 DNS서버를 찾고 있는 중이라고 밝혔다.

마이이더월렛, 해킹, DNS
마이이더월렛 공식 발표. 이미지 출처: 트위터


우리가 특정 웹사이트에 접속을 하기 위해서는 해당 웹사이트의 IP주소를 웹브라우저 주소창에 입력해야 한다. 예컨대 네이버의 ip 주소 '125.209.222.141'를 주소창에 입력하면 네이버(naver.com)로 이동된다. 문제는 우리가 특정 사이트에 접속하기 위해서 IP 주소를 일일이 외우기 힘들다. 흔히 우리는 외우기 힘든 IP주소 대신 네이버에 접속하기 위해서 naver.com 을 입력하거나 www.naver.com 을 입력한다. DNS서버가 중간에서 문자로된 주소를 입력하면 IP주소로 변환해 준다. 즉, 사용자는 네이버에 접속하기 위해서 naver.com 을 입력하고 DNS서버가 중간에서 이를 125.209.222.141로 변환한다.

이번 MEW 해킹 문제는 DNS서버 하이재킹을 이용한 방식으로 멀웨어 백신이나 방화벽 등으로도 막을 수 없다. 사용자는 마이이더월렛에 접속하기 위해 myetherwallet.com 을 제대로 입력했지만, 이를 IP주소로 변환해 주는 DNS가 잘못된 주소를 지정한 탓에 웹브라우저나 PC에 설치된 백신, 방화벽 등은 정상적인 접속으로 판단한다.

현재까지 밝혀진 정보에 따르면 MEW에 연결된 DNS서버 중 구글이 제공하는 퍼블릭 DNS서버인 '8.8.8.8', '8.8.4.4' 를 이용하는 경우 발생한다. 국내에서도 DNS서버를 '8.8.8.8', '8.8.4.4'로 지정해 이용하는 사용자들은 MEW 접속에 유의해야 한다.

마이이더월렛, MEW, 해킹, DNS, 지갑주소
마이이더월렛을 해킹한 해커의 지갑 주소. 이미지 출처: 이더스캔


이더리움 블록 전송 탐색 서비스인 '이더스캔'에 해커의 이더리움 지갑 주소를 검색해본 결과 해당 지갑으로 빠르게 이더리움이 전송되고 있다. 특히 해당 지갑 주소에 이더리움이 끊임없이 입금되고 있으며, 해커는 이를 소규모로 쪼개서 다른 주소의 지갑으로 이체하는 등 지갑 세탁 모습도 보인다. 현재는 해당 지갑 주소의 입금과 출금을 막아둔 상태로 확인된다.

MEW는 공식 발표를 통해 "이번 해킹은 MEW의 보안에 문제가 발생한 것이 아니다"라며 "DNS서버로 인한 문제를 겪은 사용자들은 구글DNS서버를 사용하고 있었던만큼 모든 사용자들이 타 DNS서버로 전환할 것을 권장한다"고 전했다.

이어 "우리는 현재 이 문제를 해결하기 위해 검증된 DNS서버를 확인하고 있다"라며 "사용자들은 MEW에 접속시 웹브라우저 주소창 상단에 'MyEtherWallet Inc ' SSL 인증 녹색바가 활성화 됐는지 확인 후 이용을 바란다"고 덧붙였다.

제보, 보도자료는 contact@coindeskkorea.com



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.