2023년 12월 14일, 미국 뉴욕 남부 지방 검찰은 샤키브 아메드가 2022년 7월 두 개의 탈중앙화 가상자산 거래소(이하가상자산 거래소"와 너바나 파이낸스)를 해킹한 것과 관련하여 유죄를 인정한다고 발표했습니다.
아메드는 컴퓨터 사기 혐의에 대해 유죄를 인정하고 부정하게 취득한 가상자산 약 560만 달러의 몰수를 포함해 1,230만 달러 이상을 몰수하기로 합의했습니다.
TRM Labs 는 이번 조사 과정에서 법 집행 기관과 사고 대응 과정에서 피해자를 지원하게 된 것을 자랑스럽게 생각합니다.
2023년 7월 아메드가 가상자산 거래소 해킹 혐의로 공개 기소된 바 있지만, 지난주 유죄 판결은 아메드가 너바나 해킹과 공개적으로 연루된 첫 번째 사례입니다. 탈중앙화 거래소가 운영하는 스마트 컨트랙트 대한 공격과 관련된 형사 사건은 이번이 처음입니다.
기소장에 따르면 2022년 7월, 숙련된 보안 엔지니어인 아메드는 가상자산 거래소의 스마트 컨트랙트 중 하나의 취약점을 악용하여 가상자산 거래소에 대한 공격을 수행했습니다. TRM은 아래에서 이 익스플로잇에 대해 자세히 설명합니다.
이 익스플로잇은 가상자산 토큰인 ANA를 사고 팔았던 너바나의 경우에도 유사하게 사용되었습니다. 너바나는 사용자가 ANA를 대량으로 구매하면 ANA 가격이 상승하고, 사용자가 ANA를 대량으로 판매하면 ANA 가격이 하락하도록 설계되었습니다.
가상자산 거래소 해킹이 발생한 지 몇 주 후인 2022년 7월 28일, 아흐메드는 너바나를 공격하여 약 천만 달러의 급전을 대출받고 그 자금으로 너바나로부터 ANA를 구매한 후 너바나의 스마트 계약에서 발견한 취약점을 이용하여 구매 규모에 따라 너바나가 부과하도록 설계한 높은 가격이 아닌 초기 낮은 가격으로 ANA를 구매했습니다. 대규모 구매를 반영하여 ANA 가격이 업데이트되자 아흐메드는 자신이 구매한 ANA를 새로운 높은 가격으로 너바나에 재판매하여 약 360만 달러의 이익을 얻었습니다.
너바나는 아흐메드에게 훔친 자금을 돌려주기 위해 60만 달러의 '버그 현상금'을 제시했지만 아흐메드는 대신 140만 달러를 요구했고 너바나와 합의에 이르지 못한 채 훔친 자금을 모두 보관하고 있었습니다. 아흐메드가 훔친 360만 달러는 너바나가 보유한 거의 모든 자금에 해당하며, 그 결과 너바나는 아흐메드의 공격 직후 문을 닫았습니다.
아래에서 자세히 설명하겠지만, 아메드는 믹서, 크로스체인 스왑, 프라이버시 코인 모네로 등 다양한 온체인 난독화 기술을 사용하여 가상자산 거래소 및 너바나에서 훔친 수백만 달러를 세탁했습니다.
아래에서는 가상자산 거래소에서 발생한 익스플로잇, 사고 대응 및 TRM의 블록체인 인텔리전스 활용한 조사에 대해 설명합니다.
익스플로잇
기소장에 따르면, 공격 당시 피고는 "국제 기술 회사의 선임 보안 엔지니어로, 이력서에 스마트 컨트랙트 리버스 엔지니어링과 블록체인 감사 등의 기술이 반영되어 있으며, 이는 아메드가 공격을 실행하는 데 사용한 전문 기술 중 일부입니다."라고 합니다. 법원 문서에 따르면 가상자산 거래소는 고객이 솔라나 블록체인에서 자산을 교환할 때 스마트 컨트랙트에 의존하는 '자동화된 시장 조성자'입니다. 구체적으로 가상자산 거래소는 고객의 유동성을 모아 거래 시장을 만들었습니다(예: 고객이 100 USDC를 시장가로 거래소에 예치하면 거래소는 유동성 제공에 대한 수수료를 고객에게 지불).
2022년 7월 2일, 가상자산 거래소는 공격이 발생했으며 고객 자금을 보호하기 위해 신속한 조치를 취할 것이라고 공지했습니다. 공격이 진행되는 동안 아메드는 거래소와 관련된 스마트 컨트랙트 악용하여 실제로는 하지 않은 대량의 유동성을 거래소에 공급한 것처럼 보이도록 허위 데이터를 제공했습니다. 그 결과 피고는 거래소로부터 상당한 수수료를 부당하게 수령했습니다.
또한 거래소의 스마트 컨트랙트 악용하는 방법을 알아낸 후 아메드는 "플래시 대출"을 통해 얻은 자금을 사용하여 거래소에 일련의 입금을 하여 추가 사기 수수료를 발생시켰습니다. 그런 다음 그는 거래소에서 또 다른 사기 계정을 만들고 스마트 컨트랙트 추가로 조작하여 거래소에서 원금을 빠르게 인출할 수 있었습니다.
법원 문서에 따르면 아흐메드는 스마트 컨트랙트 조작하여 거래소로부터 총 미화 900만 달러 상당의 가상자산 부정하게 취득했습니다. 사용 TRM Labs Graph Visualizer를 사용하면 익스플로잇이 공격자 주소에서 시작하여 솔라나에서 이더리움으로 블록체인을 가로지르고 이후 ETH 주소로 이동하는 것을 확인할 수 있습니다.
익스플로잇 이후, 피고는 부정하게 획득한 자금의 흐름을 난독화할 필요가 있었기 때문에 자금의 목적지를 숨기기 위해 정교한 자금 세탁 기술을 사용하기 시작했습니다. 피고는 자금의 흐름을 숨기기 위해 여러 차례 블록체인 간에 자금을 교환하고, 가상자산 "믹서"를 사용했으며, 프라이버시가 강화된 암호화폐로 자금을 이동한 것으로 보입니다.↪CF_200D↩
.png)
↪f_200D↩응답↪f_200D↩
해킹이 발생한 후 거래소는 TRM의 사고 대응팀, HSI 및 IRS 조사관과 협력하여 익스플로잇 전후의 자금 흐름을 추적하고 추적했습니다.
조사 및 사건 대응 과정에서 피고는 스마트 컨트랙트 프로토콜의 취약점을 지적한 대가로 150만 달러 상당의 가상자산 제외한 모든 자금을 반환했으며, 이는 자신이 받아야 할 돈이라고 주장했습니다.
기소장에 따르면 수사관들은 이 온체인 데이터를 오프체인 수사와 함께 사용하여 궁극적으로 피의자를 식별하고 체포했습니다. 오프체인 조사 결과, 피고는 공격 이후 온라인에서 공격에 대한 정보, 자신의 형사 책임, 유사한 사건에 대한 전문성을 갖춘 형사 변호인, 법 집행 기관의 성공적인 공격 조사 능력, 형사 고발을 피하기 위한 미국 도피 등을 검색한 것으로 밝혀졌습니다.
예를 들어, 공소장에 따르면 피고인은 공격 이틀 후 인터넷에서디파이(Defi) 해킹'이라는 용어를 검색하고 가상자산 거래소 해킹에 관한 여러 기사를 읽었으며, 미국 도피, 범죄인 인도 회피, 훔친 가상자산 보관과 관련된 인터넷 검색을 하거나 웹사이트를 방문했습니다: " 가상자산 국경을 넘을 수 있는가 가상자산"연방정부의 자산 압류를 막는 방법", "시민권 구매"라는 용어를 검색했고, "투자로 시민권을 살 수 있는 16개국 ...."이라는 제목의 웹사이트를 방문했다. . ."
이번 사건은 블록체인 인텔리전스 활용해 가상자산 생태계를 교란하고 사기를 처벌하기 위한 HSI와 IRS 같은 미국 법 집행 기관의 정교하고 조직적인 노력을 보여주는 예시입니다. 또한 거래를 난독화하려는 불법 행위자를 막기 위해 블록체인 전반에서 자금의 흐름을 추적하고 추적할 수 있는 능력의 중요성을 강조합니다.
트론, 솔라나 및 기타 23개 블록체인에 대한 보도 내용을 확인하세요.
양식을 작성하여 조사 전문 서비스에 대해 저희 팀과 상담하세요.
