지난 3일 웹사이트 해킹 사태로 인해 사고 내용 및 대응에 대한 리포트를 공개한 클레이스왑(KLAYswap)이 내용 일부분을 수정해 다시 공지했다.
8일 클레이스왑은 "사실에 입각해서 작성됐지만 사실과 다르게 해석될 여지가 있을 수 있다는 카카오의 요청에 따라 조금 더 직관적으로 이해할 수 있도록 추가적인 설명을 더했다"고 밝혔다.
수정된 내용은 다음과 같다.
(수정 전) 공격자는 클레이스왑의 구버전(1월 4일경) 코드를 기반으로, 사용자의 모든 트랜잭션 요청을 자신의 컨트랙트로 사용자의 토큰을 직접 보내거나(Transfer) 사용승인(Approve)하도록 변경하였고 클레이스왑 사이트에 로딩되는 Kakao SDK 스크립트를 변경하여 기존 클레이스왑 코드의 동작을 방해하고 자신의 코드가 실행되도록 하는 형태로 악성코드를 제작했습니다.
(수정 후) 공격자는 클레이스왑의 구버전(1월 4일경) 코드를 기반으로, 사용자의 모든 트랜잭션 요청을 자신의 컨트랙트로 사용자의 토큰을 직접 보내거나(Transfer) 사용승인(Approve)하도록 변경하는 악성코드를 제작하였고, 클레이스왑 사용자가 정상적으로 "https://developers.kakao.com/sdk/js/kakao.min.js" 를 요청하더라도 카카오가 제작한 정상적인 SDK 가 아닌 공격자 자신이 제작한 악성코드 파일이 다운로드 되도록 하여 기존 클레이스왑 코드의 동작을 방해하고 자신의 악성코드가 실행되도록 하는 형태로 클레이스왑의 동작을 변경했습니다.
(수정 전) 클레이스왑 및 오르빗 브릿지 기능 제한과 함께 사고의 주요 원인으로 파악되는 감염된 Kakao SDK 파일을 제거하고 전반적인 소스 코드 점검을 진행하였습니다. 더불어 해커가 사용한 스마트 컨트랙트에 노출된 지갑 주소와 자산 목록을 모두 파악하였으며, 정상화된 클레이스왑 사이트를 통해 문제 컨트랙트에 승인된 자산 목록을 다시 해제할 수 있도록 추가 개발을 완료하였습니다. 노출된 지갑 주소 목록과 승인 내역을 삭제하는 방법은 아래에서 다시 한번 설명드릴 수 있도록 하겠습니다.
(수정 후) 클레이스왑 및 오르빗 브릿지 기능 제한과 함께 사고를 빠르게 분석하여, 카카오의 가이드라인에 따른 정상적인 경로인 "https://developers.kakao.com/sdk/js/kakao.min.js" 를 통해 Kakao SDK 를 요청했음에도 카카오가 제작한 정상적인 SDK가 아닌 악성코드 파일이 다운로드 되는 것을 확인하고, 클레이 스왑 사이트내에서 Kakao SDK 로딩을 제거하였습니다. 더불어 해커가 사용한 스마트 컨트랙트에 자산이 승인된 클레이스왑 유저 지갑 주소와 자산 목록을 즉시 파악하여 정상화된 클레이스왑 사이트를 통해 문제 컨트랙트에 승인된 자산 목록을 다시 해제할 수 있도록 추가 개발을 완료하였습니다. 노출된 지갑 주소 목록과 승인 내역을 삭제하는 방법은 아래에서 다시 한번 설명드릴 수 있도록 하겠습니다.
8일 클레이스왑은 "사실에 입각해서 작성됐지만 사실과 다르게 해석될 여지가 있을 수 있다는 카카오의 요청에 따라 조금 더 직관적으로 이해할 수 있도록 추가적인 설명을 더했다"고 밝혔다.
수정된 내용은 다음과 같다.
(수정 전) 공격자는 클레이스왑의 구버전(1월 4일경) 코드를 기반으로, 사용자의 모든 트랜잭션 요청을 자신의 컨트랙트로 사용자의 토큰을 직접 보내거나(Transfer) 사용승인(Approve)하도록 변경하였고 클레이스왑 사이트에 로딩되는 Kakao SDK 스크립트를 변경하여 기존 클레이스왑 코드의 동작을 방해하고 자신의 코드가 실행되도록 하는 형태로 악성코드를 제작했습니다.
(수정 후) 공격자는 클레이스왑의 구버전(1월 4일경) 코드를 기반으로, 사용자의 모든 트랜잭션 요청을 자신의 컨트랙트로 사용자의 토큰을 직접 보내거나(Transfer) 사용승인(Approve)하도록 변경하는 악성코드를 제작하였고, 클레이스왑 사용자가 정상적으로 "https://developers.kakao.com/sdk/js/kakao.min.js" 를 요청하더라도 카카오가 제작한 정상적인 SDK 가 아닌 공격자 자신이 제작한 악성코드 파일이 다운로드 되도록 하여 기존 클레이스왑 코드의 동작을 방해하고 자신의 악성코드가 실행되도록 하는 형태로 클레이스왑의 동작을 변경했습니다.
(수정 전) 클레이스왑 및 오르빗 브릿지 기능 제한과 함께 사고의 주요 원인으로 파악되는 감염된 Kakao SDK 파일을 제거하고 전반적인 소스 코드 점검을 진행하였습니다. 더불어 해커가 사용한 스마트 컨트랙트에 노출된 지갑 주소와 자산 목록을 모두 파악하였으며, 정상화된 클레이스왑 사이트를 통해 문제 컨트랙트에 승인된 자산 목록을 다시 해제할 수 있도록 추가 개발을 완료하였습니다. 노출된 지갑 주소 목록과 승인 내역을 삭제하는 방법은 아래에서 다시 한번 설명드릴 수 있도록 하겠습니다.
(수정 후) 클레이스왑 및 오르빗 브릿지 기능 제한과 함께 사고를 빠르게 분석하여, 카카오의 가이드라인에 따른 정상적인 경로인 "https://developers.kakao.com/sdk/js/kakao.min.js" 를 통해 Kakao SDK 를 요청했음에도 카카오가 제작한 정상적인 SDK가 아닌 악성코드 파일이 다운로드 되는 것을 확인하고, 클레이 스왑 사이트내에서 Kakao SDK 로딩을 제거하였습니다. 더불어 해커가 사용한 스마트 컨트랙트에 자산이 승인된 클레이스왑 유저 지갑 주소와 자산 목록을 즉시 파악하여 정상화된 클레이스왑 사이트를 통해 문제 컨트랙트에 승인된 자산 목록을 다시 해제할 수 있도록 추가 개발을 완료하였습니다. 노출된 지갑 주소 목록과 승인 내역을 삭제하는 방법은 아래에서 다시 한번 설명드릴 수 있도록 하겠습니다.
