※ 본 게시글의 암호화폐 주소 추적은 BIG의 암호화폐 추적 솔루션인 "QLUE"를 사용했습니다.

1. 사건 개요

암호화폐 결제 플랫폼인 Alphapo및 CoinsPaid의 Hot Wallet에서 상당한 액수의 자금이 탈취당했다고 2023년 7월 22일 보안 전문가가 밝혔다.

1-1) 피해 기업 정보

• Alphapo
  • 세인트 빈센트 그레나딘에 위치한 암호화폐 결제 프로세서 회사
  • 30개 이상의 디지털 자산에 대한 즉각적인 거래와 다양한 법정 화폐 잔액을 제공
  • 10만 명 이상의 사용자 보유
  • HypeDrop, Ignition, Bovada 등 다양한 도박 플랫폼에서 CG(Crypto Gateway)로 활용
• CoinsPaid
  • 에스토니아에 위치한 암호화폐 결제 프로세서 회사
  • 800개 이상의 판매자 계정 서비스
  • 한 달에 100만 개 이상, 700만 유로 이상에 해당하는 거래를 수행

공격자는 탈취한 자금을 크로스 체인 브릿지(Cross Chain Bridge), 토큰 스왑(Token Swap), 믹싱 서비스(Mixing Service) 등을 이용해 세탁을 진행했다. ZachXBT 닉네임을 사용하는 저명한 온체인 분석가에 의하면 탈취된 자금은 믹싱 서비스인 Sinbad에 입금되었다고 한다. 또한 이전에 분석했던 Lazarus Group의 온체인 패턴과 유사하다고 주장했다.

1-2) CoinsPaid APT 공격 정보

※ CoinsPaid에서 업로드한 게시글을 참고했습니다.

공격자의 목적

• 주요 직원을 속여서 CoinsPaid 내부 시스템에 침투하고, 외부에서 접근할 수 있는 원격 제어 소프트웨어 설치

공격 진행 과정

• 2023년 3월 ~
  • 공격자는 사회공학적 기법 및 D-DoS, BruteForce 등 다양한 유형의 공격을 지속적으로 수행했으나 실패
• 2023년 3월 27일
  • 우크라이나 암호화폐 스타트업으로 추정되는 회사로부터 기술 인프라에 대한 질문 목록을 요청받음, 개발자 3명이 이를 확인
• 2023년 4~5월
  • 직원과 고객 계정에 접근하기 위한 목적으로 시스템에 4건의 주요 공격 발생
  • 직원을 대상으로 한 지속적인 스팸 및 피싱 공격
• 2023년 6~7월
  • 핵심 직원에게 위장 채용과 관련된 메일 전송, 뇌물 수수 등 캠페인 수행
• 2023년 7월 7일
  • 인프라 및 애플리케이션을 대상으로 계획된 대규모 공격 수행, 150,000개 이상의 IP 주소 확인

성공한 공격 과정

• LinkedIn 및 메신저를 통해 직원들에게 연락해 고액의 채용 제안, 그중 일부는 한 달 16,000 ~ 24,000 $ 제시
• 인터뷰 과정에서 공격자는 지원자들을 속이고 JumpCloudAgent나 특수 프로그램을 설치하도록 유도
  • JumpCloud : 기업이 사용자와 장치를 인증, 권한 부여 및 관리할 수 있는 디렉터리 플랫폼
    • 사전에 공격자에 의해 해킹당해 있었던 것으로 드러남

1. 내부 직원이 Crypto.com으로 위장한 공격자로부터 채용 제안에 응답
2. 인터뷰 중 테스트 과제로 악성코드가 포함된 애플리케이션 설치를 유도
3. 테스트 작업 후, 인프라 연결 설정을 위한 프로필과 키가 도난
4. 공격자는 인프라에 접근한 후 클러스터 취약점을 이용해 백도어 생성
5. 공격자는 블록체인 상호 작용 인터페이스에 Hot Wallet의 출금 요청을 정상적으로 재현 후 자금을 인출(추후 보안 시스템 동작으로 추가 공격 및 개인 키 획득은 차단)

공격자의 자금 세탁을 막지 못한 이유

• 많은 회사가 KYC 조치를 채택하고 블록체인 위험 스코어링을 사용하지만, 공격자는 자금 세탁에 여전히 성공
  • CoinsPaid는 피해 식별 이후 표준 절차에 따라, 모든 주요 거래소 및 사이버 보안 회사에 피해 사실을 밝히고 공격자 주소에 대한 정보를 공유함
  • 이어서 공격자 주소와 관련된 자금의 추가 이동 및 세탁 방지를 위한 마크업을 커뮤니티에 공유함
  • 하지만, 공격자가 자금을 지속적으로 다른 주소로 이동하고 있어 후속 주소에 대한 마크업이 반영되기까지 최대 60분이 소요
  • 공격자는 마크업이 공격자의 행동을 따라잡기 전 계속 새로운 주소로 자금을 전송

후속 조치

• 보안 기업 "Match Systems"에 도난 자금 추적 및 차단 프로세스 협조 요청
  • 공격자의 주소는 모든 주요 블록체인 분석기에서 블랙리스트에 등록
  • 모든 주요 암호화폐 거래소와 AML 담당자에게 긴급 알림이 전송되어 도난당한 자산이 포함된 공격자의 주소를 공유
  • 공격자의 주소를 "Match Systems" 감시 목록에 추가

2. 영향

Alphapo의 클라이언트인 HypeDrop은 암호화폐 거래 처리를 중단한 후, 해킹으로 인해 입출금에 문제가 발생했었지만 사용자의 HypeDrop 자금은 안전하다는 것을 트위터를 통해 밝혔다.

공격 관련 정보 요약

피해 정보는 아래 표와 같다.

3. 탈취 자금 추적

3-1) Ethereum Chain 자금 추적

피해 Alphapo 주소와 공격자의 주소는 다음과 같다.

• (Alphapo) 0x6dfc34609a05bc22319fa4cce1d1e2929548c0d7
• (Hacker) 0x040a96659fd7118259ebcd547771f6ecb9580d17
• (Hacker) 0x6d2e8a20b8afa88d92406d315b67822c01e53c38

피해 암호화폐는 다음과 같다.

• ETH, ERC-20(USDT, USDC, DAI, TFL, FTN)

Alphapo 피해 주소에서 공격자의 1차 주소로 ETH를 비롯해 다수의 토큰이 전송되었다. 전송된 토큰 중 TFL과 FTN을 제외한 토큰을 Uniswap을 통해 약 3,252.35 ETH로 스왑했다. 스왑하지 않은 토큰은 여전히 공격자의 1차 주소에 남아있는 것으로 확인된다.

약 1,060만 $에 해당하는 ETH가 공격자의 2차 주소로 전송되었으며, Alphapo 피해 주소에서 공격자의 2차 주소로 25.7 ETH가 다이렉트로 전송되기도 했다.

0x6d2e8a20b8afa88d92406d315b67822c01e53c38 주소로 전송된 5,716.8 ETH는 67개 주소에 분산되어 전송된 뒤, 각각 WETH로 스왑되어 Avalanche Bridge 주소로 전송됐다.

따라서 Avalanche C-Chain Explorer에서 공격자의 이더리움 주소를 검색하면 Bridge에 전송한 자금의 추가 경로를 파악할 수 있다. 위 그림을 보면 48.332 WETH가 Avalanche C-Chain 주소로 WETH.e 토큰으로 변환되어 전송된 것을 알 수 있다. 이어서 WETH.e 토큰은 3.04 BTC.b 토큰으로 스왑된 뒤, Null Address로 전송된 것으로 보아 비트코인으로 변환된 것을 추측할 수 있다.

Avalanche Bridge 주소는 공개되어 있기 때문에 Bitcoin Chain의 Bridge 주소에서 BTC.b 토큰이 전송된 시간대에 발생한 트랜잭션 중 가치가 비슷한 트랜잭션을 골라내는 방식을 이용해서 위 그림과 같이 Dst.Address를 확인할 수 있다.

Avalanche C-Chain Explorer에서 Bridge의 Dst.Address를 식별한 결과는 위 그림과 같다. 공격자의 브릿지를 이용한 암호화폐 전환은 주로 2023-07-22 08:00 ~ 13:00 (UTC) 사이에 진행되었다.

다음 그림과 같이 전환된 비트코인 중 일부는 거래소로, 일부는 다시 Avalanche Bridge로 전송되는 것을 확인했으며, 그 뒤의 과정은 더 이상 추적을 진행하지 않았다.

[그림 9]는 [그림 8]의 lots of Exchange 영역에서 거래소 소유의 주소를 빨간색 원으로 표시한 그림이다. 거래소에 자금을 전송할 때 여러 차례로 나눠서 보낸 모습을 확인할 수 있다.

[그림 9]에서는 다음과 같은 거래소 주소가 식별되었다.

• MEXC
• Binance
• Htx

3-2) Tron Chain 자금 추적

피해 Alphapo 주소, 공격자 Tron 주소 및 피해 정보는 다음과 같다.

• (Alphapo) TGx3Lyc6rR14keStqfAK8u37euNFaq8uZ4
• (Hacker) TKSitnfTLVMRbJsF1i2UH5hNUeHLDrXDiY

탈취 암호화폐

• 5,542,290 TRX
• 11,673,373 USDT(TRC-20)

이어서 공격자는 탈취한 USDT 토큰을 다음 2개의 스마트 컨트랙트를 이용해 40차례에 걸쳐 TRX로 스왑했다.

• TQn9Y2khEsLJW1ChVWFMSMeRDow5KcbLSE
• TFVisXFaijZfeyeSjCEVkHfex7HGdTxzF9

USDT 토큰을 TRX로 스왑하고, 모든 TRX를 위 그림과 같이 다음 주소에 차례로 전송했다. 전송된 TRX는 118,351,300개 가량으로 전송 당시 10,170,471 $의 가치를 가졌다.

• TDoNAZHa7WxarUAFbQUhiijTGtd7EpbzRh
• TJF7mdFxDuHB4tb9hoyR4SCpKxk7gr23ym

Alphapo 해킹 사고에서 탈취된 자금은 일부 주소에서 CoinsPaid 해킹 사고에서 탈취된 자금과 합쳐졌다. 이는 두 해킹 사고의 공격자가 동일한 그룹에 속해있다고 판단할 수 있는 근거로 볼 수 있다.

크로스 체인 브릿지 자금 추적

합쳐진 자금 중 일부는 위 그림에서 표시한 바와 같이 거래소로 전송되었으며, 또 다른 일부는 SWFT Bridge, BitTorrent Bridge, All Bridge 크로스 체인 브릿지 서비스를 통해 다른 암호화폐로 전환된 사실을 확인했다.

# BitTorrent Bridge (Tron → BitTorrent)

BitTorrent Bridge를 이용해 Tron 체인에서 BitTorrent 체인으로 전송된 경우, TronScan에서 트랜잭션을 조회해서 목적지 주소를 획득할 수 있다.

# SWFT Bridge (Tron → Ethereum)

SWFT Bridge를 이용해 Tron 체인에서 Ethereum Chain으로 전송된 경우, TronScan에서 트랜잭션 이벤트 로그를 조회해서 목적지 주소를 획득할 수 있다. 획득한 목적지 주소를 EVM 형식의 주소로 변환해야 정확한 주소를 알 수 있다.

# All Bridge (Tron → Ethereum)

All Bridge를 이용해 Tron 체인에서 Ethereum Chain으로 전송된 경우는 All Bridge Explorer 사이트에서 트랜잭션을 조회해 목적지 주소를 획득할 수 있다.

위 그림을 보면 주소에서 일부 자금을 All Bridge를 이용해 전환한 뒤, 나머지 자금을 다른 주소로 보내는 형태의 과정을 반복한 것을 알 수 있다.

비트코인 자금 추적

All Bridge를 이용해 이더리움으로 전환된 자금은 Avalanche Bridge를 통해 다시 비트코인으로 전환되었다. 전환된 비트코인 자금을 일부 추적한 결과는 위 그림과 같다.

식별된 거래소

• OKX
• Htx
• Mexc
• Bitfinex
• Binance

식별된 믹싱 서비스

• Samourai Whirlpool

4. 결론

• 최근 발생하고 있는 암호화폐 관련 침해사고는 대부분 북한 소행으로 밝혀지고 있다.
  • 그중에서도 Lazarus Group의 소행으로 지목되고 있다.
• 북한의 자금 세탁 과정에서 과거에는 믹싱 서비스 이용 비중이 높았으나, 최근에는 크로스 체인 브릿지 서비스를 이용하는 비중이 높아졌다.
  • 특히 예전에는 Ren Bridge를 이용하는 경우가 많았으나, Ren Bridge 서비스가 종료된 뒤로는 Avalanche Bridge를 주로 이용하는 모습이 보인다.
    • 최근 발생한 공격 중 자금 세탁 과정에서 Avalanche Bridge를 이용한 사례로 Atomic Wallet 해킹, Harmony Bridge 해킹이 있다.
• 크로스 체인 브릿지를 이용해 꼭 Bitcoin Chain으로 자금을 전송하려고 하는 모습이 보이는데, 예전부터 이용했던 비트코인 위주의 자금세탁 프로세스 체계가 잘 잡혀 있어서 그런 것으로 추측되며, 한 편으로는 비트코인이 UTXO 기반이기 때문에 암호화폐 추적이 더욱 힘들기 때문일 것으로 생각된다.
• 북한은 다양한 방면에서 제재를 받는 국가이기 때문에, 자금 확보를 위해 사이버 공격을 통해 암호화폐 탈취를 목적으로 하는 경우가 많다.
  • 이를 위해 APT 공격에 장기간 노력하는 것을 볼 수 있다.
• 탈취 자금은 다양한 거래소 주소로 전송되었다. 따라서 북한은 일부 거래소만 이용하는 것이 아니라 필요에 따라 여러 거래소를 이용하고 있는 것으로 볼 수 있다.
• 결국 가장 큰 위험 포인트는 사람이다.
  • 북한도 뚫으려다 실패했던 시스템이 내부 직원의 실수로 인해 뚫리고 말았다.

부록