Chainfeeds 요약:

해커 조직, 특히 Lazarus Group과 같은 국가 지원 해커들이 공격 수단을 지속적으로 업그레이드하고 있습니다.

기사 출처:

https://mp.weixin.qq.com/s/imC09I6Ty5aMkkENZTMOVg

기사 작성자:

슬로우 미스트 (SlowMist) 보안팀

관점:

슬로우 미스트 (SlowMist) 보안팀: 우리는 온체인 추적 및 반세탁 도구 MistTrack을 사용하여 초기 해커 주소 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2에 대한 분석을 수행했으며, 다음과 같은 정보를 얻었습니다: ETH가 분산 전송되고 있으며, 초기 해커 주소가 400,000 ETH를 1,000 ETH 단위로 40개 주소로 분산시키고 있습니다. 205 ETH가 Chainflip을 통해 BTC로 전환되어 bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq 주소로 이동했습니다. 15,000 cmETH가 0x1542368a03ad1f03d96D51B414f4738961Cf4443 주소로 전송되었습니다. mETH Protocol은 Bybit 보안 사고에 대응하여 cmETH 출금을 일시 중단하고 15,000 cmETH를 해커 주소에서 회수했습니다. 8,000 mETH와 90,375.5479 stETH가 0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e 주소로 전송되었고, Uniswap과 ParaSwap을 통해 98,048 ETH로 전환되어 0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92 주소로 이동했습니다. 0xdd9 주소는 ETH를 1,000 ETH 단위로 9개 주소로 분산시켰습니다. 사건 발생 후 슬로우 미스트는 공격자의 Safe 다중 서명 방식과 세탁 방식을 분석하여 공격자가 북한 해커 조직일 것으로 추정했습니다. MistTrack 분석 결과, 이번 사건의 해커 주소와 BingX Hacker, Phemex Hacker 주소가 연관되어 있음을 확인했습니다. ZachXBT도 이번 공격이 북한 해커 조직 Lazarus Group과 관련이 있다고 실증했습니다. 공격 수법 면에서 WazirX 해킹 사건과 Radiant Capital 해킹 사건도 이번 공격과 유사한 점이 있습니다. 이 세 사건 모두 Safe 다중 서명 지갑을 목표로 했으며, 악성 구현 계약을 사전에 배포하고 3명의 소유자 서명을 통해 DELEGATECALL을 이용해 악성 로직 계약을 STORAGE 0에 기록했습니다. Radiant Capital 해킹 사건의 경우 공격자가 복잡한 방법을 사용해 서명자에게 합법적인 거래로 보이게 했다는 점도 Ben Zhou의 트윗 내용과 유사합니다. 이 세 사건의 악성 계약 권한 검사 방식도 동일했습니다. Bybit 해킹 사건과 WazirX 해킹 사건의 권한 검사 오류 메시지도 유사했습니다. Ben Zhou의 트윗을 종합해볼 때 다음과 같은 의문점이 생깁니다: 1) 일상적인 ETH 송금: 공격자가 Bybit 내부 재무팀의 운영 정보를 사전에 확보하고 ETH 다중 서명 콜드 월렛 송금 시점을 파악했을 수 있는가? Safe 시스템을 이용해 서명자를 속여 악성 거래에 서명하게 했을 수 있는가? Safe 프론트엔드 시스템이 침해되어 장악당했을 수 있는가? 2) Safe 계약 UI가 변조되었을 수 있다: 서명자가 Safe 인터페이스에서 보는 주소와 URL은 정확해 보이지만, 실제 서명한 거래 데이터가 변조되었을 수 있다. 핵심 문제는 누가 먼저 서명 요청을 시작했는지, 그 장치의 보안 상태는 어떤지에 있습니다. 이러한 의문점들과 함께 우리는 공식 측의 추가 조사 결과를 기대하고 있습니다.