호라이즌 브리지 1억 원 증발 사건, 북 해커 소행 확인
상태바
호라이즌 브리지 1억 원 증발 사건, 북 해커 소행 확인
  • 곽중희 기자
  • 승인 2023.01.25 13:56
  • 댓글 0
이 기사를 공유합니다

자금 세탁 과정에서 북 해커 그룹 라자루스 수법 발견돼

미국 연방수사국(FBI)이 2022년 6월 발생한 호라이즌 브리지 가상자산 해킹 사건이 북한 해커 그룹인 라자루스의 소행이라고 공식적으로 발표했다.

FBI는 “조사를 통해 2022년 6월 24일 보고된 하모니의 호라이즌 브릿지의 가상자산 1억 달러해킹이 북한 해커 그룹 라자루스의 소행임을 확인했다”라고 말했다.

해킹이 발생한 지난해 6월 호라이즌 브리지를 운영하는 하모니는 사건을 당국에 보고했고, FBI는 여러 사이버 보안 기업의 도움을 받아 사건을 조사하기 시작했다.

하모니는 사용자가 다른 플랫폼으로 가상자산을 전송할 수 있게 허용했으며, 추가 거래를 방지하기 위해 즉시 브리지의 시스템을 중단했다.

블록체인 보안 기업 CertiK는 사건에 대한 분석을 통해 해커가 호라이즌 브리지의 multiSig 지갑에 접근해 자금을 빼냈다는 사실을 확인했다.

CertiK는 “2022년 6월 23일 하모니 체인과 이더리움 사이의 브리지에서 여러 익스플로잇이 발생했다. 12개의 공격 트랜잭션과 3개의 공격 주소를 발견했다”라고 설명했다.

이어 “이러한 트랜잭션에서 공격자는 ETH, USDC, WBTC, USDT, DAI, BUSD, AAG, FXS, SUSHI, AAVE, WETH, FRAX 등을 포함한 브리지 내 다양한 토큰에 접근했다. 거래액은 4만 9178달러에서 4120만 달러까지 다양하다. 공격자는 MultiSigWallet의 소유자가 ConfirmTransaction을 직접 호출해 호라이즌 브리지에서 대량의 토큰을 전송하도록 제어했다”라고 덧붙였다.

2022년 6월 27일, 북한 해커들은 해킹한 자금을 세탁하기 위해 Tornado Cash 믹서 서비스를 통해 약 3900만 달러를 이전하기 시작했다.

블록체인 보안 기업 엘립틱(Elliptic)은 믹서 서비스를 사용한 이후의 거래 내역을 분석했다. 그 결과, 공격 배후에서 북한 해커 그룹 라자루스를 발견할 수 있었다.

엘립틱이 발표한 보고서에 따르면 “해킹과 자금 세탁의 수법을 봤을 때 북한의 라자루스 그룹의 소행이라는 징후를 발견할 수 있었다. 라자루스는 가상자산 거래소, 디파이(DeFi) 서비스에서 20억 달러 이상의 가상자산을 훔친 것으로 추정된다. 해커는 다중 서명 지갑의 암호화 키를 손상시켰다. 아마도 하모니 직원에 대한 사회 공학 공격을 동원한 것으로 예상된다. 이는 라자루스 그룹이 자주 사용하는 수법이다”라고 설명했다.

FBI는 2023년 1월 13일 북한의 해커들이 RAILGUN 프라이버시 프로토콜을 사용해 지난해 6월 호라이즌 브리지에서 훔친 6000만 달러 상당의 이더리움(ETH)을 세탁했다고 보고했다. 해커는 훔친 자금의 일부를 여러 가상 자산 서비스 제공 기업에 보낸 후 비트코인(BTC)으로 전환했다.

한편, FBI는 가상자산 서비스 제공 기업과 협력해 해킹된 자금의 일부가 더 이상 빠져나갈 수 없도록 막았다고 발표했다.
 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.