스테이크하우스 파이낸셜, 웹·앱 프론트엔드 피싱 확인…“예치금은 안전”

스테이크하우스 파이낸셜이 공식 웹사이트와 앱을 겨냥한 ‘피싱 공격’을 확인하고 사용자들에게 즉시 접속 중단을 권고했다. 기존 예치 자산은 안전하다는 입장이지만, 신규 이용자 피해 가능성에 경고등이 켜졌다.

프론트엔드 피싱 공격 확인…“예치금은 안전”

스위스 추크에 본사를 둔 스테이크하우스 파이낸셜은 현지시간 30일 X(구 트위터)를 통해 웹사이트와 앱 도메인에서 피싱 공격이 발생했다고 밝혔다. 회사는 “현재까지 예치금이나 스마트컨트랙트에는 영향이 없으며, 기존 이용자 자산은 안전하다”고 설명했다. 다만 ‘변조된 웹사이트’에 접속할 수 있는 신규 사용자가 주요 타깃이 될 수 있다고 강조했다.

‘지갑 드레이너’ 코드 사용…사용자 서명 유도

블록체인 보안업체 블록에이드는 이번 공격이 ‘엔젤페르노(Angelferno)’ 코드 기반으로 이뤄졌다고 분석했다. 이는 온체인에서 활동 중인 대표적인 ‘지갑 탈취(드레이너)’ 공격 도구다. 공격자는 사용자를 속여 악성 트랜잭션 서명을 유도하고, 이를 통해 지갑 자산 인출 권한을 획득하는 방식이다.

이달 초에는 AI 기반 크립토 기업 GAIB 역시 유사한 방식의 도메인 탈취를 겪었다. 사회공학적 수법으로 도메인 접근권을 빼앗은 뒤, 동일한 엔젤페르노 코드를 삽입한 ‘복제 사이트’를 배포한 사례다.

디파이 전반으로 확산되는 ‘프론트엔드 공격’

이번 사건은 디파이(DeFi) 생태계 전반에서 반복되는 프론트엔드 해킹의 연장선으로 풀이된다. 지난 3월 12일에는 솔라나 기반 밈코인 런치패드 봉크펀(BONKfun)이 도메인 탈취 공격을 당해 사용자 지갑이 유출됐고, 2024년 7월에는 컴파운드 파이낸스 웹사이트가 피싱 페이지로 리디렉션되는 사고도 발생했다.

이들 공격은 스마트컨트랙트 취약점이 아닌 ‘사용자 인터페이스’를 노린다는 점에서 탐지가 어렵고 피해 확산 속도가 빠르다.

복구 시점 미정…사용자 주의 필요

스테이크하우스 파이낸셜은 프론트엔드 복구 일정에 대해서는 아직 밝히지 않은 상태다. 업계에서는 이번 사례가 디파이 서비스 이용 시 ‘도메인 검증’과 ‘트랜잭션 서명 확인’의 중요성을 다시 환기하는 계기로 보고 있다.

기사요약 by TokenPost.ai

🔎 시장 해석

디파이 서비스에서 ‘스마트컨트랙트’가 아닌 프론트엔드(웹·앱)를 겨냥한 공격이 증가하는 추세

사용자 인터페이스를 노리는 해킹은 탐지 어려움과 빠른 피해 확산이 특징

신뢰도 높은 프로젝트도 도메인 탈취 및 피싱에 취약

💡 전략 포인트

DeFi 이용 시 URL 직접 입력 또는 북마크 사용 습관화

트랜잭션 서명 전 권한 요청 내용 반드시 확인

‘지갑 드레이너’ 유형 공격 증가에 따른 보안 인식 강화 필요

신규 사용자일수록 피싱 타깃이 되기 쉬움

📘 용어정리

프론트엔드 공격: 웹사이트 UI를 변조해 사용자를 속이는 해킹 방식

지갑 드레이너: 서명을 유도해 지갑 자산 인출 권한을 탈취하는 악성 코드

Angelferno: 대표적인 드레이너 공격 코드로 다양한 피싱에 활용됨

도메인 탈취: 공식 사이트 주소 권한을 공격자가 가로채는 사이버 공격

💡 자주 묻는 질문 (FAQ)

Q.

이번 Steakhouse Financial 사건의 핵심 위험은 무엇인가요?

스마트컨트랙트가 아닌 웹사이트 자체가 변조되어 사용자가 가짜 페이지에서 트랜잭션을 서명하도록 유도된 점입니다. 이 경우 사용자가 직접 자산 인출 권한을 넘기게 되어 피해가 발생합니다.

Q.

기존 사용자 자산도 위험한가요?

현재까지는 스마트컨트랙트와 예치금에는 영향이 없어 기존 자산은 안전한 것으로 확인됐습니다. 다만 변조된 사이트에 접속할 경우 새로운 피해가 발생할 수 있어 주의가 필요합니다.

Q.

이런 피싱 공격을 예방하려면 어떻게 해야 하나요?

공식 URL을 직접 입력하거나 북마크를 이용해 접속하고, 지갑 서명 요청 시 권한 내용을 반드시 확인해야 합니다. 낯선 링크나 SNS 경로 접속은 피하는 것이 안전합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.