이더리움 스마트월렛 위임 기능에 보안 우려 제기...자금 탈취 위험 있나

이더리움의 최근 네트워크 업데이트로 기본 월렛에 스마트월렛 기능이 추가되면서, 사이버 범죄자들이 이를 악용해 사용자 자금을 탈취할 수 있다는 우려가 제기되고 있다.

논란의 중심에는 지난 5월 이더리움 펙트라 업데이트에 포함된 9개의 개선안 중 하나인 EIP-7702가 있다. EIP-7702는 SetCode라는 거래 기능을 도입해 사용자가 메시지 서명만으로 기본 월렛 소유자에게 고급 스마트월렛에 대한 임시 제어 권한을 부여할 수 있게 했다. 보안 전문가들은 이 기능이 사용자들을 도난 위험에 노출시킬 수 있다고 지적한다.

이 기능의 목적은 비기술적 사용자들도 네트워크 거버넌스 투표나 검증자 노드 운영 없이 스테이킹에 참여하는 등 고급 스마트월렛의 기능을 이용할 수 있게 하는 것이다. 위임 기능은 보상 획득, 블록체인 거버넌스 참여 확대, DeFi 환경에서의 권한 관리 등에 활용될 수 있다.

월렛 개발자들에게는 사용자 온보딩을 더욱 원활하게 만들 수 있는 기회다. 특별한 위임자 도구킷으로 월렛 연결 과정을 간소화할 수 있으며, 자동 정기 구독 결제와 구매 및 암호화폐 투자에서의 사회적 조정 가능성도 열어준다.

하지만 위임 기능에 취약점이 발견됐다. 사이버 범죄자가 키스트로크 로거나 피싱 이메일을 통해 서명을 획득하면, 월렛의 코드를 덮어써서 ETH를 악성 계약으로 전송하는 멀웨어를 추가할 수 있다는 것이다.

디지털 자산 기업 윈터뮤트의 분석에 따르면, 펙트라 업데이트 이후 발생한 월렛 위임의 97% 이상이 의심스러운 것으로 나타났다.

5월 24일에는 Web3 사이버 플랫폼 스캠스니퍼가 EIP-7702로 업그레이드된 메타마스크 월렛에서 14만6550달러가 탈취된 사례를 발견했다.

블록체인 보안 전문업체 슬로우미스트는 이 도난 사건이 인페르노 드레이너라는 조직 범죄 그룹의 소행이라고 밝혔다. 이들은 월렛 주소 탈취나 시드구문 도용 대신 월렛 위임을 활용해 접근권한을 얻었다.

반대 의견도 있다. EIP-7702가 피싱 사기의 새로운 공격 경로가 될 수 있지만, 월렛 서명의 필요성을 없애거나 무단 접근을 허용하지는 않는다는 것이다.

앰바이어와 트러스트월렛 등 EIP-7702 위임 기능을 제공하는 첫 월렛 기업들은 이미 패치와 경고를 배포했다. 렛저와 같은 주요 월렛들은 아직 EIP-7702 '튜플' 서명 기능을 공개적으로 활성화하지 않고 있다.

현재의 우려는 과대 평가된 측면이 있지만, EIP-7702를 통한 스마트월렛 위임은 주의가 필요한 보안 위협이다. 월렛 개발사들은 앰바이어의 선례를 따라 사용자 인터페이스에서 위임 대상과 범위를 명확히 표시할 것으로 기대된다.

전문가들은 32바이트 헥스 문자열로만 구성된 이더리움 스마트 계약 메시지의 서명을 피할 것을 권고하고 있다.