암호화폐 결제 플랫폼인 "Alphapo" 및 "CoinsPaid"의 Hot Wallet에서 상당한 금액의 자금이 탈취당했다고 2023년 7월 22일 보안 전문가가 밝혔다.
공격자는 탈취한 자금을 크로스 체인 브릿지(Cross Chain Bridge), 토큰 스왑(Token Swap), 믹싱 서비스(Mixing Service) 등을 이용해 세탁을 진행했다. ZachXBT 닉네임을 사용하는 저명한 온체인 분석가에 의하면 탈취된 자금은 믹싱 서비스인 Sinbad에 입금되었다고 한다. 또한 이전에 분석했던 Lazarus Group의 온체인 패턴과 유사하다고 주장했다.
2023년 11월 29일, OFAC은 믹싱 서비스 Sinbad 가 북한과 밀접한 관계가 있다고 판단해 제재 리스트에 올렸다.
공격과정
1. LinkedIn 및 메신저를 통해 직원들에게 연락해 고액의 채용 제안, 그중 일부는 한 달 16,000 ~ 24,000 $ 제시
2. 인터뷰 과정에서 공격자는 지원자들을 속이고 JumpCloudAgent나 특수 프로그램을 설치하도록 유도
JumpCloud : 기업이 사용자와 장치를 인증, 권한 부여 및 관리할 수 있는 디렉터리 플랫폼 - 사전에 공격자에 의해 해킹당해 있었던 것으로 드러남
1. 내부 직원이 Crypto.com으로 위장한 공격자로부터 채용 제안에 응답
2. 인터뷰 중 테스트 과제로 악성코드가 포함된 애플리케이션 설치를 유도
3. 테스트 작업 후, 인프라 연결 설정을 위한 프로필과 키가 도난
4. 공격자는 인프라에 접근한 후 클러스터 취약점을 이용해 백도어 생성
5. 공격자는 블록체인 상호 작용 인터페이스에 Hot Wallet의 출금 요청을 정상적으로 재현 후 자금을 인출(추후 보안 시스템 동작으로 추가 공격 및 개인 키 획득은 차단)
Ethereum Chain 탈취 자금 추적
Alphapo 피해 주소에서 공격자의 1차 주소로 ETH를 비롯해 다수의 토큰이 전송되었다. 전송된 토큰 중 TFL과 FTN을 제외한 토큰을 Uniswap을 통해 약 3,252.35 ETH로 스왑했다. 스왑하지 않은 토큰은 여전히 공격자의 1차 주소에 남아있는 것으로 확인된다.
ETH?
이더리움의 화폐
토큰?
일반적인 형태의 블록체인 기반 디지털 자산
암호화폐는 보통 자체 블록체인을 가지고 있지만 토큰은 이미 존재하는 블록체인을 기반으로 구축된다. 예를 들어, 이더리움의 고유 화폐는 이더(ETH)이다. 하지만 이더리운 블록체인을 사용하는 암호화 토큰은 그 밖에도 많이 존재한다.
Uniswap?
탈중앙화 거래소(DEX)로, 사용자가 암호화폐를 다른 암호화폐로 교환(스왑)할 수 있는 플랫폼
"스왑했다"는 특정 토큰을 판매하고 그 대가로 약 3,252.35 ETH을 받았다는 것을 의미
0x6d2e8a20b8afa88d92406d315b67822c01e53c38 주소로 전송된 5,716.8 ETH는 67개 주소에 분산되어 전송된 뒤, 각각 WETH로 스왑되어 Avalanche Bridge 주소로 전송됐다.
Avalanche Bridge?
Avalanche 블록체인 네트워크와 다른 블록체인(예: Ethereum) 간에 암호화폐 자산을 이동(브리지)할 수 있도록 설계된 크로스체인 브리지. 이 브리지를 통해 사용자는 다양한 네트워크에서 자산을 손쉽게 전송하고, Avalanche 생태계의 DApps(탈중앙화 애플리케이션)를 사용할 수 있다.
크로스체인 전송기술?
서로 다른 블록체인 네트워크 간에 데이터와 자산을 전송할 수 있도록 설계된 기술
1. 잠금(Locking) & 발행(Minting) 모델
2. 해시 타임록 계약(HTLC, Hash Time-Locked Contract)
따라서 Avalanche C-Chain Explorer에서 공격자의 이더리움 주소를 검색하면 Bridge에 전송한 자금의 추가 경로를 파악할 수 있다. 위 그림을 보면 48.332 WETH가 Avalanche C-Chain 주소로 WETH.e 토큰으로 변환되어 전송된 것을 알 수 있다. 이어서 WETH.e 토큰은 3.04 BTC.b 토큰으로 스왑된 뒤, Null Address로 전송된 것으로 보아 비트코인으로 변환된 것을 추측할 수 있다.
Avalanche Bridge 주소는 공개되어 있기 때문에 Bitcoin Chain의 Bridge 주소에서 BTC.b 토큰이 전송된 시간대에 발생한 트랜잭션 중 가치가 비슷한 트랜잭션을 골라내는 방식을 이용해서 위 그림과 같이 Dst.Address를 확인할 수 있다.
다음 그림과 같이 전환된 비트코인 중 일부는 거래소로, 일부는 다시 Avalanche Bridge로 전송되는 것을 확인했으며, 그 뒤의 과정은 더 이상 추적을 진행하지 않았다.
lots of Exchange 영역에서 거래소 소유의 주소를 빨간색 원으로 표시한 그림이다. 거래소에 자금을 전송할 때 여러 차례로 나눠서 보낸 모습을 확인할 수 있다.
실제로 영화에서나 볼 법한 일들이 일어나서 신기했고 자금 추적하는 기술들이 많이 발전해야겠다는 생각이 들었다.
[출처]https://blog.plainbit.co.kr/alphapo-coinspaid-hot-wallet-hack/
'swuforce' 카테고리의 다른 글
[써니나타스] 2번 write up (0) | 2024.11.26 |
---|---|
[써니나타스] 포렌식 19번 write up (0) | 2024.11.26 |
[인프런] 기초부터 따라하는 디지털포렌식 3강 마무리 (0) | 2024.11.19 |
[써니타스] 18번 문제풀이 (0) | 2024.11.19 |
[H4CKING GAME] code (0) | 2024.11.18 |