클레이튼 관련 커뮤니티에는 “(지난 2일 자정부터) 클레이스테이션에 접속이 안 된다”는 글이 많이 올라오기 시작했다. 이용자들은 지갑 연결이 안 되고, 프라이빗 키를 입력해도 접속이 안 된다고 호소했다. 이에 커뮤니티에서는 해킹 의혹이 불거졌다. 일각에서는 프라이빗 키를 유출하면 해커가 클레이 토큰을 얼마든지 인출할 수 있기 때문에 조심하라고 조언했다.
새벽 2시경부터는 클레이튼 월렛에서 아무렇게나 문자를 입력하면 접속이 가능해졌다. 일부 이용자들은 피싱 사이트로 접속을 유도하는 게 아니냐고 추측했다. 해당 사이트 인증서가 1일 발급됐고, 사이트에 있는 모든 버튼이 spa(Single Page Application, 단일 페이지)가 아니라 html(Hyper Text Markup Language, 웹 페이지에서 다른 페이지로 이동할 수 있도록 하는 기능)로 하드코딩 되어 있어 피싱 사이트로 보인다는 의견이 대두됐다.
의혹을 제기한 유저는 개인키를 작성하면 키가 savekey.php로 전송된다고 말했다. 그는 클레이스테이션 사이트는 Node.js(확장성이 있는 네트워크 애플리케이션 개발에 사용하는 소프트웨어 플랫폼) 기반 홈페이지이기 때문에 php(프로그램 언어, HTML 소스 문서 안에 넣으면 PHP 처리 기능이 있는 웹 서버에서 해당 코드를 인식해 작성자가 원하는 웹 페이지를 생성한다)를 사용할 필요가 없다고 주장했다. 또 클레이스테이션은 spa이기 때문에 노드를 사용하지, php를 사용할 이유가 전혀 없다고 덧붙였다. 이용자는 오지스 서버 자체가 해킹 당했을 것이라고 추측했다.
클레이튼 관련 커뮤니티 이용자들은 업체에 상황 설명을 해달라고 요청했다. 오지스는 새벽 3시 35분에 “당사의 도메인을 관리하던 whois 계정이 해킹당해 클레이스테이션과 오르빗 체인의 dns(인터넷 도메인 이름들의 위치를 알아내기 위한 IP 주소로 바꾸어주는 시스템)가 변경돼 해커의 피싱 사이트가 노출되고 있다”며 “어떠한 경우에도 절대로 프라이빗키를 입력하지 말라”고 당부했다.
오지스는 그로부터 1시간 기량 지난 새벽 4시 28분에 “클레이스테이션과 오르빗체인이 복구돼 정상적으로 이용할 수 있다”며 “추가적인 보안 점검을 진행 후 안내하겠다”고 공지했다. 또 “클레이스테이션은 절대 사용자의 프라이빗키와 키스토어 파일을 요구하지 않는다. 프라이빗키와 키스토어 파일 관리에 대한 철저한 관리를 당부드린다”고 덧붙였다.
오지스 관계자는 “클레이스테이션은 정상적으로 복구해서 서비스에 문제가 없으며 어떤 경위로 해킹을 진행했는지 파악하고 있는 중”이라고 밝혔다. 그는 “해킹 원인에 대해선 민감한 사안이라 당장 정확히 밝힐 수는 없다”고 덧붙였다. 또 그는 해킹 당한 도메인 관리 계정 역시 원인을 파악하고 있으며, 보안을 삼중 구조로 강화했다고 설명했다.
