최근 가상자산 플랫폼 하모니 호라이즌 브리지에서 발생한 해킹 사건의 배후로 북한 연계 해커 조직 라자루스가 지목됐다.
지난 6월 24일 블록체인 기업 하모니에서 1억 달러의 가상자산이 해킹되는 사건이 발생했다. 하모니 측은 사건을 미 당국에 보고했으며 FBI는 사이버 보안 기업의 도움을 받아 용의자를 찾고 있는 상황이다.
해킹 사건 발생 후 하모니는 추가 피해를 막기 위해 즉시 브리지의 모든 거래를 중단하고 다른 거래소에 알렸다. 또한 자금 반환의 대가로 해커에게 현상금 100만 달러를 걸었다.
블록체인 보안 기업 CertiK는 사건에 대한 자세한 분석을 발표하면서 해커가 하모니의 멀티시그 지갑 소유자에 접근한 다음 하모니에서 자금을 빼낸 것을 확인했다.
CertiK는 “하모니와 이더리움 사이에서 여러 결함을 발견했다. 구체적으로는 12개의 공격 트랜잭션과 3개의 공격 주소를 찾아냈다”라고 설명했다.
이어 “해커는 ETH, USDC, WBTC, USDT, DAI, BUSD, AAG, FXS, SUSHI, AAVE, WETH 및 FRAX를 포함한 브리지에서 다양한 토큰을 획득했다. 거래 금액은 다양하지만 4만 9000달러 이상이다. 해커는 멀티시그 지갑의 소유자가 Confirm Transaction을 직접 호출해 하모니에서 많은 양의 가상자산을 전송하도록 유도했다”라고 덧붙였다.
또한 블록체인 분석 기업 Elliptic이 관련 거래를 분석한 결과, 이번 해킹의 배후에 북 연계 해커 조직 라자루스가 있다는 정황이 포착됐다.
Elliptic은 “이번 해킹의 성격과 훔친 자금의 세탁 방식으로 볼 때 북한 해커 조직의 범죄 행각과 상당히 비슷하다. 라자루스는 거래소와 디파이 플랫폼에서 20억 달러 이상의 가상자산을 갈취해 왔다. 하모니에 대한 사이버 공격을 통해 다중 인증 지갑의 암호화 키를 손상시켰다. 이러한 기술은 라자루스가 주로 사용하는 기술이다”라고 설명했다.
하모니는 사건 발생 이후 모든 가상자산 거래소와 관련 법 집행 기관, 블록체인 포렌식 기업에 도난당한 자산의 복구를 도와달라고 요청했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
