2023년 9월 8일

FBI , 4,100만 달러 규모의 스테이크닷컴 익스플로잇 배후에 북한이 있다는 사실 확인

이번 주 FBI 온라인 카지노 및 베팅 플랫폼인 스테이크닷컴에서 약 4,100만 달러의 암호화폐 자산이 도난당한 사건이 북한 라자루스 그룹의 소행임을 확인하는 발표를 발표했습니다. 라자루스는 이더리움, 바이낸스(Binance) 스마트 체인(BSC), 폴리곤 블록체인의 스테이크 관리 주소에서 이 자산을 훔쳤으며, 어제까지 FBI발표한 보도자료에 명시된 40개의 암호화폐 주소로 자산을 옮겼다고 합니다.

해킹과 도난 후 자금 이동에 대한 TRM의 온체인 분석 결과, 북한의 개입이 확인되었습니다. 이더리움과 BSC 자산은 대부분 동결 불가능한 네이티브 자산으로 스왑되었지만 여전히 파킹된 상태입니다. 폴리곤과 MATIC은 스퀴드 라우터를 통해 스왑되고 연결되었습니다. 이러한 스왑은 일반적으로 MATIC에서 USDT 또는 USDC로 이동한 후 Avalanche로 이동했습니다. 아발란치에서는 랩드 BTC로 스왑된 다음 비트코인으로 브리지되어 현재 파킹되어 있습니다. 이러한 유형의 활동은 최근 라자루스 그룹 공격의 특징입니다.

*그림 1은 해커가 훔친 자금을 여러 통화와 여러 체인으로 빠르게 이동한 것을 보여주며, 이는 TRM의 그래프에서 쉽게 확인할 수 있습니다. Graph Visualizer*

‍

*그림 2는 AVAX에서 비트코인으로의 특정 크로스 체인 스왑을 자세히 보여줍니다.*

‍

북한의 암호화폐 절도에 대한 TRM의 최근 보고서에서 설명한 바와 같이, 애벌랜치 브리지는 북한 해커들이 비트코인 블록체인으로 자금을 주고받는 데 사용하는 수단으로 자리 잡았습니다.

FBI TRM의 최근 보고서에 따르면, 2023년 현재까지 2억 달러 이상을 훔친 다른 여러 대규모 공격의 배후에도 동일한 북한 공격자들이 있다고 합니다. FBI 따르면 이 금액에는 2023년 7월 22일경 알파포와 코인페이드로부터 약 6천만 달러의 가상 화폐와 2023년 6월 2일경 아토믹 월렛으로부터 약 1억 달러의 가상 화폐가 포함되지만 이에 국한되지 않습니다. TRM에 따르면 북한 사이버 범죄자들은 지난 5년 동안 20억 달러 이상의 가상자산 훔쳤습니다.

FBI 이전에하모니의 호라이즌 다리와 스카이 마비스의 로닌 다 리에 대한 북한의 공격에 관한 정보를 공개하고 트레이더트레이터에 대한 사이버 보안 주의보를 발령한 바 있습니다.또한 미국 재무부OFAC(해외재산관리국))은 2019년에 라자루스 그룹을 제재한 바 있습니다.

최근 일련의 해킹에 북한이 연루되었다는 FBI 잇따른 공개 발표는 북한이 통제하는 암호화폐 자산을 거부, 차단, 동결하는 데 필요한 지식을 업계에 제공하기 위한 미국 정부의 대규모 노력의 일환입니다. FBI 북한이 통제하는 것으로 알려진 주소를 정확히 공개함으로써 규정 준수 전문가들이 북한 해커의 의심스러운 입금을 식별하고 차단하는 것을 훨씬 더 쉽게 할 수 있도록 하고 있습니다.‍

북한 사이버 범죄자들은 계속 진화하고 있습니다↪f_200D↩

작년 한 해에도 북한의 자금 세탁 전술은 변화했습니다. 2022년 북한 범죄자들은 대부분의 해킹이 이더리움 또는 기타 EVM 블록체인에서 발생함에 따라 훔친 자금을 이더리움 기반 믹서인 토네이도 캐시로 빠르게 이동하는 경향이 있었습니다. 그런 다음 자금은 렌 브릿지를 통해 비트코인으로 연결되었고, 당시 인기 있던 비트코인 믹싱 서비스인 칩믹서를 통해 다시 자금 세탁이 이루어졌습니다.

하지만 토네이도 캐시는 2022년 8월 OFAC(해외재산관리국) 제재 대상이 되었고, 올해 초 칩믹서는 법 집행 기관에 의해 폐쇄되어 라자루스 그룹이 해당 믹서를 사용하기가 더욱 어려워졌습니다. 토네이도 캐시 제재 이후, 올해 초에는 2022년 여름에 토네이도 캐시를 통해 처음 세탁된 이후 휴면 상태였던 하모니 브리지 해킹 자금이 갑자기 다양한 서비스를 거쳐 명백한 장외거래 브로커로 이동하는 것을 목격했습니다. 이 새로운 세탁 모델은 기본적으로 렌 브릿지보다 훨씬 저렴하고 여전히 기능적인 대안인 애벌랜치 브릿지를 통해 자금을 비트코인으로 연결한 다음, 북한 사이버 범죄자들이 주로 이용하는 비트코인 믹서인 신바드(Sinbad)를 통해 세탁하는 방식입니다. 이후 북한 해커들은 일반적으로 스테이크닷컴 해킹에서 보았듯이 자금을 아발란체와 같은 체인으로 다시 이동하고, BTTC와 같이 잘 알려지지 않은 다른 체인으로 우회한 다음, 중국어권 암호화폐 사용자에게 가장 인기 있는 트론 브리징 서비스인 SWFT 브리지를 통해 트론 블록체인에 최종적으로 도달하게 됩니다.

트론에서 도난당한 자금은 대부분 이미 USDT로 전환된 후, 불법적인 중국 암호화폐 거래자에게 서비스를 제공하는 장외 브로커일 가능성이 높은 대량 고가 주소로 청산되는 것으로 보입니다.

북한의 탈취 자금을 추적하는 블록체인 인텔리전스 역할↪f_200D↩ ↪f_200D↩북한의 탈취 자금 추적에서 블록체인 인텔리전스 역할

스테이크닷컴 해킹과 도난 후 자금 이동은 멀티체인 및 크로스체인 생태계에서 북한의 진화한 난독화 기술을 보여주는 또 다른 예입니다. TRM Forensics 대표되는 블록체인 인텔리전스 인텔리전스 - 오픈 소스 및 독점 위협 인텔리전스로 강화된 블록체인 데이터 - 는 수사관이 가상자산 자금을 추적하여 궁극적으로 위협 행위자를 식별하고 북한이 도난 및 세탁한 자금 등 불법 자금을 압수할 수 있게 해줍니다.

2019년에는 블록체인의 수가 증가하고 사이버 범죄자들이 다양한 체인을 사용하는 사례가 늘어남에 따라 TRM Labs 에 크로스체인 분석 기능을 도입했습니다. TRM Forensics에 크로스체인 분석을 도입했습니다. 이를 통해 수사관들은 하나의 시각화에서 여러 블록체인과 여러 자산의 자금을 추적할 수 있습니다.

2022년 TRM은 난독화 기법으로 체인 호핑의 사용이 증가하고 있음을 파악하고, 브릿지 및 기타 서비스를 통해 블록체인 전반의 자금 흐름을 자동으로 추적하는 업계 최초의 솔루션인 TRM 피닉스를 출시했습니다.

북한이 성장하는 암호화폐 생태계를 계속 공격함에 따라 훔친 자금을 추적하는 능력이 그 어느 때보다 중요해졌으며, 북한의 자금 세탁 방법론이 진화함에 따라 수사관들이 사용하는 도구도 진화해야 합니다.

FBI 발표에서 확인된 주소입니다:

0x94f1b9b64e2932f6a2db338f616844400cd58e8a

0xba36735021a9ccd7582ebc7f70164794154ff30e

0xbda83686c90314cfbaaeb18db46723d83fdf0c83

0x7d84d78bb9b6044a45fa08b7fe109f2c8648ab4e

0xff29a52a538f1591235656f71135c24019bf82e5

0x0004a76e39d33edfeac7fc3c8d3994f54428a0be

0xbcedc4f3855148df3ea5423ce758bda9f51630aa

0xe03a1ae400fa54283d5a1c4f8b89d3ca74afbd62

0x95b6656838a1d852dd1313c659581f36b2afb237