선도적인 사이버 보안 회사인 Certik은 5월 15일 암호화폐 업계를 겨냥한 일련의 기이한 사이버 공격에 대해 경고하며, 오래된 스마트 계약이 해커들의 취약한 표적이 되고 있다고 밝혔습니다.
Certik에 따르면 해커들은 급성장하는 인공지능(AI) 기술을 이용하여 이러한 스마트 계약에 존재하는 취약점을 찾아내고 있습니다.
Certik 공동 창업자가 오래된 스마트 계약에 대한 경고를 제기했습니다.
CertiK 공동 창립자 겸 CEO인 롱후이 구는 "지난달 4월 한 달 동안 해킹이 없었던 날은 단 3일뿐이었습니다. 지난달 DeFi 프로토콜에서 6억 9천만 달러 이상이 해킹당했습니다."라고 말했습니다.
암호화폐 시장은 지난 4월과 5월 대규모 사이버 공격으로 수억 달러에 달하는 자금을 도난당하며 최악의 시기를 맞고 있습니다. 특히 4월 한 달 동안 30건의 사이버 공격으로 6억 달러 이상이 유출되었으며, 이는 최근 몇 년간 암호화폐 해킹 피해가 가장 심각했던 달 중 하나였습니다. 이러한 사이버 공격 중에서도 드리프트 프로토콜(Drift Protocol)과 켈프 분산형 자율 조직(DAO)(Kelp DAO) 공격은 탈중앙화 금융(DeFi) 분야에 치명적인 결과를 초래했습니다.
이러한 플랫폼의 코드에 단순한 버그가 있었던 것이 아니라, 해커들이 정교한 공격을 감행했습니다. 이러한 사이버 공격의 대부분은 북한의 라자루스 그룹과 연관되어 있습니다. 이러한 공격으로 인해 투자자들의 신뢰가 무너지고 여러 플랫폼에서 대규모 자금 인출이 발생했습니다. 또한, 이러한 공격은 브릿지, 스마트 계약 등을 포함한 DeFi 인프라의 취약점을 드러냈습니다.
솔라나(Solana) 블록체인 기반의 대표적인 탈중앙화 무기한 선물 거래소인 드리프트 프로토콜(Drift Protocol)이 지난 4월 보안 사고를 당해 약 2억 8,500만 달러의 손실을 입었습니다. 사이버 보안 전문가들에 따르면, 이번 공격은 라자루스 그룹(Lazarus Group)이 6개월에 걸쳐 사회공학적 기법을 이용해 실행한 것으로 밝혀졌습니다. 이들은 자금을 탈취하기 위해 가짜 사업 대화를 통해 팀 구성원들과 신뢰를 쌓은 후, 보안 위원회 구성원들을 속여 거래에 사전 서명하도록 유도했습니다.
해커는 플랫폼에 접근한 후, 플랫폼에서 담보로 사용할 가짜 토큰을 생성했습니다. 이 가짜 토큰을 이용해 해커들은 단 12분 만에 프로토콜 금고의 자금을 모두 빼돌렸습니다. 이 공격은 매우 파괴적이어서 드리프트(Drift)의 TVL(Total Value Locked) (Total Value Locked(TVL))의 절반 이상이 해킹으로 사라졌습니다. 하지만 스마트 계약 자체는 이번 사건의 영향을 받지 않았습니다. 이 공격은 인적 오류와 운영 보안 수준 저하로 인해 발생했습니다.
드리프트 프로토콜에 대한 사이버 공격 발생 후 며칠 만에, 주요 유동성 리스테이킹(reStaking) 프로토콜인 켈프 분산형 자율 조직(DAO) 가 브리지에 대한 대규모 공격을 받았습니다. 이 사이버 공격으로 해커들은 116,500 rsETH 토큰을 탈취하여 켈프에서 약 2억 9,200만 달러 상당의 자산을 훔쳐갔습니다.
Kelp 분산형 자율 조직(DAO) 는 사용자들이 이더리움 파생상품을 예치(stake) 하고 그 대가로 rsETH 토큰을 받는 DeFi 플랫폼입니다. 이 토큰을 통해 사용자들은 유동성을 확보하고 수익을 창출할 수 있습니다. 이번 해킹 사건에서 라자루스 그룹과 연계된 해커들은 Kelp가 사용하는 레이어제로 기반의 크로스체인 브리지를 공격했습니다.
크로스체인 브리지는 서로 다른 블록체인 네트워크 간에 자산을 이동하는 데 사용되며, 이러한 DeFi 인프라는 서로 다른 블록체인에서 발생하는 거래를 검증하고 승인할 검증자가 필요합니다. 당시 Kelp는 단일 검증자를 사용하여 거래를 승인했습니다.
해커들은 먼저 블록체인이 검증자가 거래를 검증할 수 있도록 데이터를 읽는 데 도움을 주는 RPC 노드를 장악했습니다. 이와 더불어, 해커들은 다른 노드들을 마비시키기 위해 DDoS 공격을 감행했습니다.
이후 해커들은 RPC 노드에 가짜 데이터를 주입하여 토큰 소각 이벤트가 발생한 것처럼 위장했습니다. 실제로는 이러한 토큰 소각 이벤트는 발생하지 않았습니다. 이러한 공격으로 인해 시스템은 아무런 실질적인 근거 없이 이더리움 네트워크에 rsETH 토큰이 발행되는 것처럼 속았습니다. 이러한 사이버 공격에도 불구하고 Kelp 분산형 자율 조직(DAO) 최근 운영을 복구했습니다.
라자루스 그룹, 암호화폐 업계에 대한 캠페인 시작
최근 블록체인 보안 기업 서틱(Certik)은 북한에 대한 충격적인 내용을 담은 보고서를 공개했습니다.
보고서는 " 북한은 암호화폐 절도를 국가 핵심 수입원으로 삼아 디지털 자산 생태계에서 유례없는 규모와 조직적인 수준으로 운영하고 있다"고 밝혔다. "본 보고서는 약 10년간의 활동을 분석한 결과, 북한과 연계된 세력이 2016년부터 2026년 초까지 263건의 사건을 통해 약 67억 5천만 달러를 훔친 것으로 추정된다. 개인과 초기 단계 프로젝트를 대상으로 한 수백 건의 소규모 공격이 보고되지 않아 실제 피해 규모는 이보다 훨씬 클 것으로 예상된다 " 고 덧붙였다.
지난해 북한과 연계된 해커들이 저지른 피해액은 총 20억 6천만 달러에 달합니다. 이는 한 해 동안 발생한 전체 암호화폐 해킹 사건의 약 60%에 해당합니다. 하지만 흥미로운 점은 이 수치가 전체 해킹 사건의 12%에 불과하다는 것입니다. 이는 북한 해커들이 대규모 공격을 선호한다는 것을 보여줍니다.
" 이러한 추세는 2026년에도 지속되어 북한의 활동이 올해 현재까지 전 세계 손실의 55%를 차지하고 있으며, 이는 2억 9100만 달러 규모의 KelpDAO 공격과 같은 대규모 공격에 기인합니다. 이러한 추세는 점점 더 정교해지는 작전, 매우 효율적인 자금 세탁 경로, 그리고 스마트 계약의 결함보다는 인적 및 공급망 취약점에 지속적으로 의존하는 양상을 보여줍니다."라고 보고서는 밝혔습니다.
지난 몇 달 동안 Certik은 암호화폐 부문에 대한 사이버 공격 패턴을 관찰해 왔습니다. 대부분의 사이버 공격은 기존 스마트 계약에 존재하는 취약점과 관련이 있는 것으로 나타났습니다. 이러한 스마트 계약들은 대부분 솔리디티 0.6과 같은 구형 프로그래밍 언어를 사용하고 있었습니다. 해커들은 인공지능 기술을 활용하여 이러한 취약점을 악용하기 위해 스마트 계약을 적극적으로 물색하고 있습니다.
