5000만 달러 규모의 래디언트 캐피탈(Radiant Capital) 해킹, 북한 사이버 범죄자로 추적
이 기사는 기계로 번역되었습니다
원문 표시
이하는 문서를 한국어로 번역한 결과입니다:
2024년 10월 16일, LayerZero에 구축된 분산형 크로스체인 대출 프로토콜인 래디언트 캐피탈이 정교한 사이버 공격의 피해자가 되어 50억 달러의 손실을 입었습니다.
이 공격은 북한 해커들과 연관된 것으로 밝혀졌으며, 이는 분산 금융(DeFi)을 겨냥한 사이버 범죄의 증가에 대한 또 다른 경고 신호입니다.
북한 행위자들이 래디언트 캐피탈 사건과 연관되었다는 보고서
코인베이스 지원 암호화폐 하드웨어 지갑 제조업체인 OneKey의 보고서에 따르면, 이 공격은 북한 해커들에 의한 것으로 밝혀졌습니다. 이 보고서는 래디언트 캐피탈이 10월 16일 공격에 대한 사건 업데이트를 제공한 최근 Medium 게시물에서 확장되었습니다.
보고서에 따르면, 선도적인 사이버 보안 기업인 Mandiant는 이 침해 사고를 UNC4736, 즉 AppleJeus 또는 Citrine Sleet로 알려진 DPRK 연계 그룹과 연결시켰습니다. 이 그룹은 북한의 주요 정보기관인 정찰총국(RGB) 산하에서 활동하고 있습니다.
Mandiant의 조사 결과, 공격자들은 자신들의 작전을 세밀하게 계획했습니다. 그들은 아비트럼, 바이낸스 스마트 체인, 베이스, 이더리움을 포함한 여러 블록체인 네트워크에 걸쳐 악성 스마트 계약을 배치했습니다. 이러한 노력은 DPRK 지원 위협 행위자들의 DeFi 부문 공격 능력을 반영합니다.
이 침해는 2024년 9월 11일 정교한 피싱 공격으로 시작되었습니다. 래디언트 캐피탈 개발자가 신뢰할 수 있는 하청업체를 사칭한 개인으로부터 텔레그램 메시지를 받았습니다. 이 메시지에는 스마트 계약 감사 보고서를 포함하고 있다고 주장하는 zip 파일이 포함되어 있었습니다. 이 파일 "Penpie_Hacking_Analysis_Report.zip"에는 INLETDRIFT라는 맬웨어가 포함되어 있었으며, 이는 래디언트의 시스템에 무단 액세스할 수 있는 macOS 백도어였습니다.
개발자가 파일을 열면 합법적인 PDF 파일이 표시되었습니다. 그러나 맬웨어는 조용히 설치되어 atokyonews[.]com이라는 악성 도메인에 백도어 연결을 설정했습니다. 이를 통해 공격자들은 래디언트 팀 구성원들 사이에 맬웨어를 더 퍼뜨려 민감한 시스템에 대한 더 깊은 액세스 권한을 얻을 수 있었습니다.
해커들의 전략은 중간자(MITM) 공격으로 정점에 달했습니다. 침해된 장치를 악용하여 래디언트의 Gnosis Safe 다중 서명 지갑 내 거래 요청을 가로채고 조작했습니다. 개발자에게는 거래가 합법적으로 보였지만, 맬웨어는 소유권 이전 호출을 은밀히 실행하여 래디언트의 대출 풀 계약에 대한 통제권을 장악했습니다.
약탈의 실행, 업계 영향 및 교훈
래디언트가 하드웨어 지갑, 거래 시뮬레이션, 검증 도구 등 모범 사례를 준수했음에도 불구하고, 공격자들의 방법은 모든 방어를 우회했습니다. 소유권을 확보한 지 몇 분 만에 해커들은 래디언트의 대출 풀에서 자금을 빼냈고, 이로 인해 플랫폼과 사용자들이 큰 타격을 입었습니다.
래디언트 캐피탈 해킹 사건은 DeFi 업계에 엄중한 경고로 작용합니다. 엄격한 보안 기준을 준수하는 프로젝트조차도 정교한 위협 행위자들의 표적이 될 수 있습니다. 이 사건은 다음과 같은 중요한 취약점을 강조했습니다:
- 피싱 위험: 이 공격은 설득력 있는 사칭 계획으로 시작되었으며, 이는 요청되지 않은 파일 공유에 대한 경계심 제고의 필요성을 강조합니다.
- 블라인드 서명: 하드웨어 지갑은 기본적인 거래 세부 정보만 표시하므로, 사용자가 악의적인 수정을 감지하기 어렵습니다. 거래 페이로드를 해독하고 검증할 수 있는 향상된 하드웨어 수준의 솔루션이 필요합니다.
- 프론트엔드 보안: 거래 검증을 위한 프론트엔드 인터페이스에 대한 의존성이 부족했습니다. 위조된 인터페이스를 통해 해커들은 거래 데이터를 감지되지 않고 조작할 수 있었습니다.
- 거버넌스 취약점: 소유권 이전을 취소할 수 있는 메커니즘이 부재했기 때문에 래디언트의 계약이 취약했습니다. 시간 잠금 또는 지연된 자금 이체 요구와 같은 방법을 통해 향후 사건에 대한 대응 시간을 확보할 수 있습니다.
이 침해 사고에 대응하여 래디언트 캐피탈은 Mandiant, zeroShadow, Hypernative 등 선도적인 사이버 보안 기업들과 협력하고 있습니다. 이 기업들은 조사와 자산 회수에 도움을 주고 있습니다. 래디언트 DAO는 또한 미국 법 집행 기관과 협력하여 도난당한 자금을 추적하고 동결하고 있습니다.
Medium 게시물에서 래디언트는 DeFi 업계의 보안 강화를 위한 교훈을 공유하겠다는 의지를 재확인했습니다. DAO는 강력한 거버넌스 프레임워크 채택, 기기 수준의 보안 강화, 블라인드 서명과 같은 위험한 관행 배제의 중요성을 강조했습니다.
이 래디언트 캐피탈 사건은 최근 보고서에 나타난 바와 같이 북한 해커들이 전술을 계속 변화시키고 있다는 점과 일치합니다. 사이버 범죄자들이 점점 더 정교해짐에 따라, 업계는 투명성, 강력한 보안 조치, 이러한 공격에 대처하기 위한 협력적 노력을 우선순위로 삼아야 합니다.
출처
면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트
공유