DeFi 프로토콜 Neutrl은 공격자들이 DNS 하이재킹을 통해 웹사이트를 침해한 후 3월 19일 플랫폼 운영을 중단했습니다. 이 공격은 사용자를 악성 인터페이스로 리디렉션하여 자산 탈취를 가능하게 하는 권한을 부여하도록 속이는 방식으로 진행되었으며, 이에 따라 긴급 보안 경고가 발령되었습니다.
Permit2 승인을 노렸는데, 이는 계약이 사용자 토큰을 제어할 수 있도록 하는 것으로, 지갑을 무단 이체에 노출시켰습니다.
분산형 금융(DeFi) 프로토콜 Neutrl은 프론트엔드가 손상된 후 3월 19일 플랫폼 운영을 중단했습니다. 팀은 X(구 트위터)를 통해 프론트엔드 공격이 의심된다고 발표하며 사용자들에게 웹사이트와의 모든 상호작용을 즉시 중단할 것을 권고했습니다. 초기 조사 결과, 이번 사건은 스마트 계약 익스플로잇이 아닌 도메인 이름 시스템(DNS) 하이재킹으로 밝혀졌습니다. 공격자들은 사회 공학적 방법을 사용하여 제공업체로부터 앱 도메인 제어권을 얻어 트래픽을 Neutrl 인터페이스의 악성 복제본으로 리디렉션했습니다.
이에 대응하여 Neutrl은 손상된 프론트엔드와의 모든 상호작용을 방지하기 위한 예방 조치로 스마트 계약을 오프라인으로 전환했습니다. 팀은 보안 회사 @0xGroomLake와 협력하여 침해를 조사하고 있으며, 완전한 사고 후 보고서를 발표할 예정입니다.
이 공격의 주요 목표는 사용자들을 속여 악성 Permit2 권한을 승인하도록 유도하는 것이었습니다. 이 권한은 외부 계약이 사용자의 토큰을 관리할 수 있도록 하며, 이를 사기성 주소에 부여하면 공격자가 추가 확인 없이 사용자 지갑에서 자금을 유출할 수 있게 됩니다. 복제된 웹사이트는 합법적인 웹사이트와 동일하게 보였기 때문에 사용자들은 악성 승인 요청을 감지하기 어려웠습니다.
Neutrl은 사용자들에게 Revoke.cash와 같은 서비스를 이용하여 다음 두 가지 특정 악성 계약 주소에 부여된 권한을 취소하도록 권고했습니다.
0x23f2741EaA0045038e9b52100CdcC890163dE53F0xa0Adf074056E41dfB892aFC69881E15073b384b9현재 진행 중인 보안 사고에 대한 업데이트: 현재 @0xGroomLake와 협력하여 조사를 진행하고 있습니다. 초기 조사 결과, 앱 도메인을 호스팅하는 DNS 제공업체가 사회 공학적 공격을 받아 공격자가 도메인을 리디렉션할 수 있었던 것으로 나타났습니다. Neutrl 스마트 계약은 여전히 안전합니다…
— Neutrl, 2026년 3월 19일
이 사건은 분산형 금융 생태계에서 지속적으로 존재하는 약점을 부각시킵니다. 프로토콜은 스마트 계약 감사를 위해 막대한 투자를 하지만, 사용자 대면 프론트엔드는 공격자들의 주요 표적이 됩니다. DNS 또는 다른 수단을 통해 웹사이트 레이어를 침해함으로써 해커는 기본 블록체인 프로토콜을 침해하지 않고도 사용자 작업을 가로채고 자산을 훔칠 수 있습니다. 이러한 유형의 공격은 웹사이트 인터페이스에 대한 사용자 신뢰를 악용하여 안전한 백엔드를 함정으로 만듭니다.