Elliptic의 원본 기사
원본: 베이비웨일, 포사이트 뉴스 제공
북한 해킹 그룹 라자루스가 6월 3일 이후 4건의 암호화폐 기업 공격이 확인되는 등 최근 공격 수위를 높이고 있는 가운데, 최근 암호화폐 거래소 코인엑스에 대한 공격도 라자루스의 소행일 가능성이 높습니다. 이에 대해 코인엑스는 의심스러운 지갑 주소가 아직 확인 중이라 도난당한 자금의 총액은 아직 알 수 없지만 5,400만 달러에 달할 수 있다는 트윗을 여러 차례 올렸습니다.
지난 100여 일 동안 라자루스는 아토믹 월렛(1억 달러), 코인페이드 (3730만 달러), 알파포(6000만 달러), 스테이크닷컴(4100만 달러)에서 약 2억 4000만 달러 상당의 암호화폐 자산을 훔친 것으로 확인되었습니다.
위 이미지에서 볼 수 있듯이, 엘립틱은 코인엑스에서 탈취한 자금 중 일부가 라자루스 조직이 스테이크닷컴에서 탈취한 자금을 저장하는 데 사용한 주소로 전송된 것으로 분석했습니다(다른 블록체인이긴 하지만). 그런 다음 자금은 이전에 라자루스가 사용했던 크로스 체인 브리지를 통해 체인을 가로질러 이더로 전송된 다음 코인엑스 해커가 관리하는 것으로 알려진 주소로 다시 전송되었습니다.엘립틱은 라자루스 사건에서 여러 해커의 자금이 섞이는 것을 관찰했으며, 가장 최근에는 스테이크닷컴에서 훔친 자금과 아토믹 지갑에서 훔친 자금이 섞이는 것을 목격했습니다. 서로 다른 해커의 자금이 합쳐진 사례는 아래 그래프에서 주황색으로 표시되어 있습니다.
100일 동안 5건의 공격
2022년에는 작년 상반기에 발생한 하모니의 호라이즌 브리지에 대한 공격과액시 인피니티의 로닌 브리지에 대한 공격 등 몇 가지 유명한 해킹이 라자루스의 소행으로 밝혀졌습니다. 그 이후부터 올해 6월까지 라자루스에 의한 주요 암호화폐 도난 사건은 공개적으로 밝혀지지 않았기 때문에 지난 100여 일 동안의 다양한 해킹은 북한 핵티비스트 그룹이 다시 활동하고 있음을 시사합니다.
2023년 6월 3일, 관리되지 않는 탈중앙화 암호화폐 지갑인 아토믹 월렛의 사용자들이 1억 달러 이상의 손실을 입었습니다.2023년 6월 6일, 엘립틱은 여러 가지 정황이 북한 해킹 그룹의 소행으로 보인다고 판단한 후 공식적으로 라자루스를 해킹의 주범으로 지목했으며, 이후 미 연방수사국(FBI)에서 이를 확인했습니다.
2023년 7월 22일, 라자루스는 소셜 엔지니어링 공격을 통해 암호화폐 결제 플랫폼 코인페이드의 핫월렛에 액세스했습니다. 공격자들은 이 접근 권한을 통해 플랫폼의 핫월렛에서 약 3,730만 달러의 암호화폐 자산을 인출하기 위한 승인 요청을 생성할 수 있었고, 7월 26일 코인스페이드는 라자루스가 이 공격의 책임자라고 주장하는 보고서를 발표했으며, 이는 FBI에 의해 확인되었습니다.
같은 날인 7월 22일, 라자루스는 중앙화된 암호화폐 결제 서비스 제공업체인 알파포를 대상으로 또 다른 공격을 수행하여 6,000만 달러의 암호화폐 자산을 탈취했습니다. 공격자는 이전에 유출된 개인 키를 통해 액세스 권한을 얻은 것으로 보이며, 이후 FBI는 라자루스를 이 사건의 공격자로 재확인했습니다.
2023년 9월 4일, 온라인 암호화폐 게임 플랫폼 스테이크닷컴에 대한 공격으로 약 4,100만 달러 상당의 암호화폐가 도난당했으며, 이는 개인 키 도난으로 인한 것으로 추정되며 FBI는 9월 6일 라자루스 그룹이 공격의 배후임을 확인하는 발표를 발표 했습니다.
마지막으로 2023년 9월 12일에는 중앙화된 암호화폐 거래소 코인엑스가 해킹 공격을 받아 5,400만 달러의 도난 피해를 입었습니다. 위에서 언급했듯이 라자루스가 공격의 배후라는 증거가 많이 있습니다.
라자루스가 '전술'을 바꿨나요?
라자루스의 최근 활동을 분석한 결과, 작년부터 탈중앙화 서비스에서 중앙 집중식 서비스로 초점을 옮긴 것으로 나타났습니다. 앞서 설명한 최근 5건의 해킹 중 4건은 중앙화된 암호화폐 자산 서비스 제공업체를 표적으로 삼았습니다. 탈중앙화 금융 생태계가 급부상하기 전인 2020년 이전에는 중앙화된 거래소가 라자루스의 주요 표적이었습니다.
라자루스가 다시 중앙화된 서비스로 관심을 돌린 이유에는 여러 가지 설명이 있을 수 있습니다.
보안에 대한 관심 증가: 엘립틱의 이전 연구에 따르면 2022년 디파이 해킹은 4일마다 평균 한 건씩 발생했으며, 공격당 평균 3,260만 달러가 도난당한 것으로 나타났습니다. 크로스체인 브리지는 2022년에 가장 빈번하게 해킹당한 디파이 프로토콜 유형 중 하나입니다. 이러한 추세는 스마트 컨트랙트 감사 및 개발 표준의 개선에 기여하여 해커가 취약점을 식별하고 악용할 수 있는 범위를 좁혔을 수 있습니다.
사회 공학에 대한 민감성: 여러 해킹에서 라자루스 그룹이 선택한 공격 방법은 사회 공학이었습니다. 예를 들어, 5억 4천만 달러 규모의 로닌 브리지 해킹 사건은 가짜 LinkedIn 채용공고를 통해 '틈새' 를 노린 것이었습니다. 그러나 탈중앙화 서비스는 직원이 많지 않은 경향이 있으며, 이름에서 알 수 있듯이 다양한 수준으로 분산되어 있습니다. 따라서 개발자에 대한 악의적인 접근이 스마트 콘트랙트에 대한 관리자 접근과 반드시 같지는 않을 수 있습니다.
반면 중앙화된 거래소는 상대적으로 더 많은 인력을 고용할 수 있으므로 가능한 공격 대상의 범위가 더 넓어질 수 있습니다. 또한 중앙화된 내부 정보 기술 시스템을 사용하여 운영할 수 있으므로 라자루스 멀웨어가 비즈니스에 침투할 수 있는 기회가 더 많아집니다.
