암호화폐 보안 결함에 대한 '토네이도 캐시' 공격을 통해 1천만 달러를 세탁하는 피싱 사기

블록체인 보안 회사인 CertiK는 2023년 9월 2,400만 달러 규모의 피싱 사기에 연루된 계정이 최근 암호화폐 혼합 프로토콜인 Tornado Cash로 1,000만 달러 상당의 Ether를 이체했다고 보고했습니다. 피해자는 "허용 증가" 거래를 승인한 후 유동 스테이킹 제공업체 Rocket Pool을 통해 스테이킹된 Ether의 상당량을 잃어 공격자가 토큰에 액세스할 수 있게 되었습니다. 오용 가능성에 대한 우려로 인해 암호화폐 커뮤니티 내에서 토큰 허용량에 대한 대화가 두드러졌습니다.

Cryptocurrency Security Breach: Phishing Scam Launders $10 Million Through Tornado Cash

암호화폐 보안 침해: 피싱 사기, 토네이도 캐시를 통해 천만 달러 세탁

On March 21, CertiK, a prominent blockchain security firm, raised an alarm in the cryptocurrency community, reporting the transfer of $10 million worth of Ether (ETH) from an account implicated in a major phishing scam in September 2023. The funds were laundered through Tornado Cash, a crypto-mixing protocol designed to obfuscate the trail of illicit transactions.

3월 21일, 유명 블록체인 보안 회사인 CertiK는 2023년 9월 대규모 피싱 사기에 연루된 계좌에서 1,000만 달러 상당의 이더(ETH)가 이체되었다고 암호화폐 커뮤니티에 경고했습니다. 자금은 다음을 통해 세탁되었습니다. 불법 거래의 흔적을 난독화하도록 설계된 암호화폐 혼합 프로토콜인 Tornado Cash.

This incident is a chilling reminder of the persistent threat posed by phishing scams, which have become increasingly sophisticated and targeted in the cryptocurrency space. The account in question was part of a larger hack that stole a staggering $24 million from a prominent cryptocurrency investor known as a "crypto whale" on September 6, 2023.

이번 사건은 암호화폐 분야에서 점점 더 정교해지고 표적화되고 있는 피싱 사기로 인한 지속적인 위협을 상기시키는 소름끼치는 사건입니다. 문제의 계정은 2023년 9월 6일 "암호화 고래"로 알려진 유명 암호화폐 투자자로부터 무려 2,400만 달러를 훔친 대규모 해킹의 일부였습니다.

The victim of this phishing attack lost a substantial amount of staked Ether (ETH) through the liquid staking provider Rocket Pool. Through a series of cunning transactions, the attackers managed to siphon funds in two separate transfers, extracting a total of 9,579 stETH and 4,851 rETH.

이번 피싱 공격의 피해자는 유동 스테이킹 제공업체 로켓풀(Rocket Pool)을 통해 스테이킹된 이더리움(ETH) 상당량을 잃었습니다. 일련의 교활한 거래를 통해 공격자들은 두 번의 별도 이체로 자금을 빼돌려 총 9,579 stETH와 4,851 rETH를 추출했습니다.

According to Scam Sniffer, an anti-scam initiative that has been closely tracking this incident, the breach occurred when the victim inadvertently approved an "Increase Allowance" transaction. This action granted the hackers permission to access the victim's ERC-20 tokens via a token allowance mechanism—a feature that enables third parties to spend tokens on behalf of the token holder.

이 사건을 면밀히 추적해 온 사기 방지 이니셔티브인 Scam Sniffer에 따르면 피해자가 실수로 "수당 증가" 거래를 승인했을 때 위반이 발생했습니다. 이 조치를 통해 해커는 토큰 허용 메커니즘(제3자가 토큰 보유자를 대신하여 토큰을 사용할 수 있도록 하는 기능)을 통해 피해자의 ERC-20 토큰에 액세스할 수 있는 권한을 부여 받았습니다.

The conversation around token allowances has been gaining traction within the cryptocurrency community, with many voicing concerns over the potential for misuse through the deployment of malicious smart contracts. These concerns have been further validated by recent events, including the Dolomite exchange exploit on March 20, which resulted in the theft of $1.8 million from unsuspecting users due to an outdated contract.

토큰 허용량에 관한 대화는 암호화폐 커뮤니티 내에서 인기를 얻고 있으며, 악의적인 스마트 계약 배포를 통한 오용 가능성에 대한 많은 우려가 제기되고 있습니다. 이러한 우려는 오래된 계약으로 인해 의심하지 않는 사용자로부터 180만 달러를 도난당한 3월 20일 Dolomite Exchange 익스플로잇을 포함한 최근 사건을 통해 더욱 입증되었습니다.

In the wake of the latest phishing scam, PeckShield, another blockchain security firm, conducted a thorough investigation and uncovered a complex network of transactions. The fraudsters converted their illicit gains into 13,785 ETH and 1.64 million Dai, dispersing a portion of these funds through the FixedFload exchange and other digital wallets.

최근 피싱 사기 사건에 대해 또 다른 블록체인 보안업체인 PeckShield가 철저한 조사를 실시한 결과 복잡한 거래 네트워크를 발견했습니다. 사기꾼들은 불법 수익을 13,785 ETH와 164만 Dai로 전환하여 이 자금의 일부를 FixFload 거래소 및 기타 디지털 지갑을 통해 분산시켰습니다.

This incident underscores the persistent risk of phishing scams in the cryptocurrency domain, which continue to result in significant financial losses. A recent report by Scam Sniffer highlighted that nearly $47 million was stolen through crypto phishing in February alone, with the majority of these incidents occurring on the Ethereum network and primarily involving ERC-20 tokens.

이번 사건은 암호화폐 도메인에서 피싱 사기의 지속적인 위험을 강조하며, 이로 인해 계속해서 상당한 재정적 손실이 발생합니다. Scam Sniffer의 최근 보고서에 따르면 2월에만 암호화폐 피싱을 통해 거의 4,700만 달러가 도난당했으며 이러한 사건의 대부분은 Ethereum 네트워크에서 발생했으며 주로 ERC-20 토큰과 관련되었습니다.

Despite the ongoing efforts of security firms like CertiK and PeckShield to safeguard the cryptocurrency ecosystem, malicious actors continue to find ways to exploit vulnerabilities and compromise user funds. These incidents serve as a stark reminder of the importance of practicing vigilance and employing robust security measures to protect digital assets.

암호화폐 생태계를 보호하기 위한 CertiK 및 PeckShield와 같은 보안 회사의 지속적인 노력에도 불구하고 악의적인 행위자는 계속해서 취약점을 악용하고 사용자 자금을 침해할 방법을 찾고 있습니다. 이러한 사건은 디지털 자산을 보호하기 위해 경계심을 실천하고 강력한 보안 조치를 취하는 것이 얼마나 중요한지 상기시켜 줍니다.

Token approvals, in particular, have emerged as a significant vulnerability that needs to be addressed. As the cryptocurrency community continues to evolve, it is imperative to develop and implement robust mechanisms to prevent the unauthorized use of token allowances and mitigate the risk of phishing scams.

특히 토큰 승인은 해결해야 할 중요한 취약점으로 나타났습니다. 암호화폐 커뮤니티가 계속 발전함에 따라 토큰 허용량의 무단 사용을 방지하고 피싱 사기 위험을 완화하기 위한 강력한 메커니즘을 개발하고 구현하는 것이 필수적입니다.

While the cryptocurrency industry has witnessed its share of successful security interventions, the ongoing challenges and risks associated with digital asset security should not be underestimated. Vigilance, education, and collaboration among security experts, cryptocurrency exchanges, and users are essential to combat phishing scams and protect the integrity of the cryptocurrency ecosystem.

암호화폐 산업은 성공적인 보안 개입을 목격했지만, 디지털 자산 보안과 관련된 지속적인 과제와 위험을 과소평가해서는 안 됩니다. 피싱 사기에 맞서 싸우고 암호화폐 생태계의 무결성을 보호하려면 보안 전문가, 암호화폐 거래소 및 사용자 간의 경계, 교육 및 협력이 필수적입니다.