仮想通貨ウォレット「HB Wallet」Android版で盗難被害 元社員の犯行、APIキー持ち出し不正アプリ公開
가상화폐를 안전하게 보관하기 위하여 사용하는 지갑 어플에서 가상화폐 유출이 발생하였습니다.
일본의 벤처기업 Bacoor가 개발한 Ethereum용 지갑 'HB Wallet’ Android' 버전에서 5월 24일까지 사용자의 이더리움 등 약 6000만엔 상당의 가상화폐가 도난당했습니다.
이 회사의 발표에 따르면, 이번 사건의 범인은 퇴직한 전 직원으로 이 어플 개발팀의 전 리더였다고 밝혔습니다. 범인은 구글 플레이 스토어에서 어플을 배포하는 툴인 ‘Google Play Store Console’의 API키를 빼돌려 사용자의 정보를 외부로 송신하는 악성 어플(버전 1.5.1)을 공개하였습니다. 그리고 이 어플을 사용하는 사용자의 가상화폐를 빼돌렸습니다.
현재 이 회사는 범인에게서 피해액을 모두 돌려받아 피해자들에게 돌려주겠다고 말했으며, Google Play의 'HB Wallet' 페이지에서도 이번 사건에 대해 보고하고 있습니다.
HB Wallet은 사용자 정보와 지갑 데이터, 비밀키 등을 외부 서버에 송신하지 않고 사용자의 단말이게 저장하는 Ethereum 및 Ethereum 토큰용 가상화폐 지갑으로서, 서버에서 집중 관리하는 타입의 지갑과 달리 서버 해킹에 의한 피해에서 자유롭기 때문에 '안전'하다고 강조했습니다.
올해 3월에는 안드로이드와 iOS 마켓에서 누적 다운로드 수 10만을 돌파하기도 했습니다.
이번 Android 버전에서 발생한 사건은 5월 24일 오후 3시 트위터를 통해 처음 공개되었습니다.
이 사건이 공개된 직후, 회사는 조사에 착수하였으며 22일에 공개된 악성앱을 발견, 로그를 확인하여 범인을 특정할 수 있었습니다.
범인은 이미 퇴직한 전 HB Wallet 개발팀 리더였습니다. 이 회사는 어플 출시 권한을 개발팀 리더와 대표이사만 소유하도록 한정하고 있었으며, 'Google Play Store Console'의 API 키도 이 두 사람만이 관리하고 있었습니다.
이 회사는 전 개발팀 리더가 퇴직할 때에는 API키를 보관하고 있던 단말기를 반납하고 초기화 하였기 때문에 이 전 개발팀 리더가 API키를 갖고 있지 않다고 판단하고 있었습니다.
하지만 범인은 API를 몰래 반출하여 사용자의 메인계정의 주소와 패스프레이즈(Passphrase, 통신없이 비밀키를 생성할 수 있는 12개의 영단어, 단말의 고장/분실했을 때에 가상통화자산을 복원할 수 있다)를 외부 데이터베이스에 송신하는 기능이 포함된 악성 앱을 원격으로 공개하고 사용자의 가상화폐를 훔쳤습니다.
이번 사건에 피해를 입은 주소는 13개, 도난 당한 것은 Ethereum이 924ETH(약 6000만엔 상당), Tronix가 14829TRX(약 12만엔 상당)이라고 밝혔습니다.
이 회사는 25일, 범인과 연락하여 유출한 가상화폐들을 반납 시키고, 반납된 가상화폐들은 콜드월렛에 보관하고 있다고 밝혔으며, 이 회사 대표가 직접 전 자산들을 피해자들에게 반환하겠다고 밝혔습니다.
이 회사는 (1)본래는 팀 리더가 교대하는 타이밍에 새로운 API키를 발행하고 옛 API키를 무효로 해야 했으나 이를 하지 않은 점, (2)악성 앱이 발매된 것을 바로 인지할 수 없었던 점에 대해서 과실을 인정하고 근본적인 대처법을 검토하고 있다고 밝혔습니다.
또한 비슷한 문제를 막기 위해서 어플을 발매 가능한 사용자를 24일 내에 제한하고 정상적인 어플 ‘1.5.2’를 발매했다. 그 후, 최신버전(버전 1.6.1)도 공개하고 있다.
최신버전에서 비밀키가 유출되는 일은 없지만, ‘과거에 위험한 버전의 어플을 기동했을 때에 비밀 키가 유출되었을 가능성이 있다’고 하여 유저에게는 ‘마이 이더월렛’ 등 외부 월렛이나 iOS판 HB Wallet, 데스크탑판 HB Wallet 등에 신규계정을 작성하여 가상화폐를 송신하도록 안내하고 있습니다.
송신수수료는 이 회사가 부담하겠다고 밝혔습니다.
출처 :
http://www.itmedia.co.jp/news/articles/1805/28/news052.html
Bondat 웜 변종, GandCrab3 랜섬웨어 유포 (0) | 2018.05.29 |
---|---|
1억대 이상의 IoT 기기들, Z-Wave 다운그레이드 공격에 노출 돼 (0) | 2018.05.29 |
90개국의 저가형 안드로이드 기기 141대에서 선 탑재 된 Cosiloon 악성코드 발견! (0) | 2018.05.28 |
5월 25일, GDPR 정식 발효 (0) | 2018.05.25 |
FBI, 50만대 이상의 라우터를 감염 시킨 대규모 봇넷의 통제권 압수해 (0) | 2018.05.25 |
댓글 영역