이 문서의 해시( SHA1 ): 9 d 28 ef 4 e 6 e 45 c 21121 d 4 e 6 fc 0 ef 7 c 011 f 4826 3d 8
번호: PandaLY 보안 지식 No.025
블록체인 기술은 디지털 경제의 핵심 원동력으로서 글로벌 금융과 데이터 보안의 혁명을 주도하고 있습니다. 그러나 탈중앙화와 익명성의 특성으로 인해 사이버 범죄자들의 관심도 끌었고, 암호화폐 자산에 대한 일련의 공격이 발생했습니다. 해커는 잠들지 않으며, 자금이 모이는 곳은 항상 해커의 표적이 됩니다. 다양한 블록체인 분석 및 보안 회사에서 제공한 데이터에 따르면 Web3 관련 해킹 공격으로 인한 손실은 2020년부터 2024년까지 30억 달러를 초과했습니다. 저희 체인소스 보안팀은 몇몇 유명 블록체인 해커 그룹과 그들의 잘 알려진 사례에 대한 심층 분석을 수행하고, 그들의 범죄 수법을 밝히고, 개인이 해커 공격을 예방할 수 있는 실용적인 전략을 제공할 것입니다.
유명 해커 집단의 수법과 도난 사례
북한 해커 라자루스 그룹
배경:
위키피디아에 따르면 라자루스그룹은 2007년 설립됐으며 북한 인민군 총참모부 정찰국 산하 110호 연구센터에 소속돼 있으며 사이버전을 전문으로 하고 있다. 조직은 두 개의 부서로 나누어져 있습니다. 첫 번째 부서는 BlueNorOff(APT 38이라고도 함)로 약 1,700명의 회원을 보유하고 있습니다. 이 부서는 주로 위조된 SWIFT 주문을 통한 불법 송금을 수행하고 금전적 이익이나 통제 시스템을 얻기 위해 네트워크 취약점을 이용하는 데 중점을 둡니다. 금융사이버범죄는 주로 금융기관과 암호화폐 거래소를 대상으로 하고 있습니다. 두 번째 유닛은 앤아리엘(AndAriel)로 약 1,600명의 회원을 보유하고 있으며 주로 한국을 타겟으로 하고 있다.
작업 방식:
초기에는 Lazarus가 주로 봇넷을 통해 DDoS 공격을 수행했지만 이제는 작살 공격, 워터링 홀 공격, 공급망 공격 등으로 공격 방법이 바뀌었고 다양한 대상을 대상으로 사회 공학적 표적 공격을 구현합니다. Lazarus는 침입을 위해 이메일 및 웹사이트 워터링 홀 공격에서 작살 공격을 사용하며, 이벤트 분석을 방해하기 위해 시스템 손상이나 랜섬웨어 애플리케이션을 사용할 수도 있습니다. 또한 측면 이동 및 페이로드를 위해 SMB 프로토콜 취약점 또는 관련 웜 도구를 사용할 수도 있습니다. 자금을 훔치기 위해 은행 SWIFT 시스템을 공격하기도 합니다. 기술적 특징에는 다중 암호화 알고리즘(예: RC 4, AES, Spritz) 및 사용자 정의 문자 변환 알고리즘의 사용, TLS 프로토콜을 위장하여 SNI 레코드의 흰색 도메인 이름을 통해 IDS를 우회하고 IRC 및 HTTP를 사용하는 것이 포함됩니다. 프로토콜.
또한 Lazarus는 MBR, 파티션 테이블을 손상시키거나 섹터에 정크 데이터를 기록하여 시스템을 손상시키고, 자체 삭제 스크립트를 사용하여 공격 흔적을 숨깁니다. 공격 방법으로는 작살 공격을 위해 트로이목마를 이메일 첨부 파일로 활용하는 것, 악성 문서와 매크로를 통한 침입 등이 있으며, 워터링 홀 공격에서는 대상의 인터넷 활동을 분석해 자주 방문하는 웹사이트를 공격해 대규모로 악성 코드를 심어놓는다. 공격을 수행하기 위한 자격 증명을 얻기 위해 암호화폐 또는 사이버 보안 채용 담당자인 것처럼 가장하는 사회 공학 공격의 자금. Lazarus의 무기고에는 수많은 맞춤형 도구가 포함되어 있으며, 이는 그 뒤에 대규모 개발팀이 있음을 나타냅니다. 이는 DDoS 봇넷, 키로거, RAT, 와이퍼 악성 코드 및 Destover, Duuzer 및 Hangman과 같은 악성 코드를 포함합니다. .
사례 목록:
2017년 방글라데시 은행 강도 사건
Lazarus 해킹 그룹은 SWIFT 시스템을 공격하여 8,100만 달러의 자금을 훔쳤습니다. 이번 사건은 주로 전통적인 은행 시스템과 관련되어 있지만, 해커들이 이런 방식으로 얻은 자금이 돈세탁을 위해 암호화폐를 구입하는 데 사용되는 경우가 많기 때문에 그 영향은 블록체인 분야에도 확산되었습니다.
2020년 쿠코인 해킹 사건
2020년 9월, 쿠코인 거래소는 대규모 해커 공격을 받아 최대 2억 달러의 손실을 입었습니다. 직접적인 책임이 완전히 확인되지는 않았지만 분석가들은 그것이 나사로와 관련이 있다고 믿고 있습니다. 해커들은 계약 취약점과 시스템 취약점을 이용해 대량의 암호화폐를 훔치고, 여러 채널을 통해 자금 이체 및 세탁을 시도했다.
로닌 사이버 공격 2021
Axie Infinity 게임의 블록체인 네트워크인 Ronin은 2021년 3월 공격을 받아 6억 달러 이상의 손실을 입었습니다. 해커는 개발자의 노드와 시스템 취약점을 공격하는 방식으로 공격을 진행했다. 직접적인 책임이 확인되지는 않았지만 많은 분석가들은 이를 라자루스(Lazarus)나 기타 국가 후원 해킹 그룹과 연관지었습니다.
하모니 사이버 공격 2022
Harmony 블록체인의 크로스체인 브리지는 2022년 6월에 공격을 받아 약 1억 달러의 손실을 입었습니다. 이번 공격은 블록체인 크로스체인 브릿지의 보안 결함을 드러냈다. 비록 공격자가 누구인지는 밝혀지지 않았지만, 일부 전문가들은 이를 북한 해커 집단의 전술과 연관시켜 유사한 기법을 통해 공격을 감행했을 가능성이 있다고 추정했다.
드레이너 범죄조직
블록체인의 드레이너는 일반적으로 사용자의 암호화폐 지갑이나 계정에서 자금을 사기적으로 훔치는 것이 목적인 악의적인 스마트 계약 또는 스크립트를 의미합니다. 이러한 유형의 공격은 일반적으로 사용자가 가짜 또는 손상된 분산 애플리케이션(dApp) 또는 웹사이트와 상호 작용할 때 발생합니다. 사용자는 자신도 모르게 악성 계약을 승인하여 자금을 통제할 수 있습니다.
배경:
가장 인기 있는 암호화폐 지갑 사기 도구 중 하나인 인페르노 드레이너(Inferno Drainer)는 사기꾼에게 즉시 사용 가능한 피싱 도구를 제공하는 서비스로서의 피싱(Phishing-as-a-Service)(PaaS) 플랫폼입니다. 이러한 플랫폼을 통해 공격자는 쉽게 만들 수 있습니다. 사용자의 암호화폐 자산을 훔치기 위해 합법적인 분산 애플리케이션(dApp)으로 위장한 피싱 웹사이트입니다. Web3 보안업체 Blockaid의 데이터에 따르면 2024년 7월 현재 Inferno Drainer를 사용하는 DApp의 수가 40,000개로 늘어났습니다. 이 도구를 사용하는 새로운 악성 DApp의 수가 3배 증가했으며 사용량도 300% 증가했습니다.
작업 방식:
이 갱단은 텔레그램 채널을 통해 서비스를 홍보하고 개발자가 사기꾼에게 피싱 웹사이트를 제공하여 사기 행위를 돕도록 하는 서비스형 사기 모델을 운영하고 있습니다. 피해자가 피싱 웹사이트에서 QR 코드를 스캔하고 지갑을 연결하면 Inferno Drainer는 지갑에서 가장 가치 있고 쉽게 양도할 수 있는 자산을 자동으로 검사하고 찾아 악의적인 거래를 시작합니다. 피해자가 거래를 확인하면 자산이 범죄자의 계좌로 이체됩니다. 도난당한 자산 중 20%는 Inferno Drainer 개발자에게 배포되고 나머지 80%는 사기꾼이 소유하게 됩니다.
주로 탈중앙화 금융(DeFi) 애플리케이션, NFT 시장, 암호화폐 지갑 등 암호화폐와 관련된 사용자 및 플랫폼을 대상으로 합니다. 가짜 공식 발표나 에어드롭 캠페인과 같은 사회 공학 기술은 사용자가 합법적인 애플리케이션이나 서비스인 것처럼 가장하여 지갑에 대한 액세스를 승인하도록 유도하여 자금을 훔치는 데 사용됩니다. 이 도구의 출현으로 온라인 사기를 저지르는 기준이 크게 낮아져 관련 사기 활동이 증가했습니다.
사례 목록:
OpenSea 피싱 공격
해커들은 Inferno Drainer 플랫폼을 사용하여 OpenSea 사용자를 대상으로 피싱 공격을 수행했습니다. OpenSea는 인기 있는 NFT 마켓플레이스로, 많은 사용자가 자신의 계정에 암호화폐 지갑을 연결하고 있습니다. 공격자는 OpenSea 웹사이트로 위장한 피싱 페이지를 생성하고 이메일과 소셜미디어 광고를 통해 사용자를 유인했습니다. 사용자가 이 페이지에서 지갑을 연결하고 거래를 승인하면 Inferno Drainer는 자동으로 악의적인 거래를 시작하고 사용자 지갑에 있는 NFT와 암호화폐를 해커가 제어하는 주소로 전송합니다. 이 공격으로 인해 수십 명의 사용자가 귀중한 NFT와 대량의 이더리움을 잃어버렸고, 총 손실액은 수백만 달러에 달했습니다.
유니스왑(Uniswap) 피싱 공격
Uniswap은 탈중앙화 금융(DeFi) 분야에서 가장 인기 있는 탈중앙화 거래소 중 하나입니다. Inferno Drainer는 Uniswap으로 위장한 피싱 공격에 사용됩니다. 공격자는 가짜 Uniswap 웹사이트를 생성하고 Google 광고, 소셜 미디어 링크 등을 통해 사용자가 해당 웹사이트를 방문하도록 유도했습니다. 피해자가 사이트에서 악의적인 계약을 승인하면 Inferno Drainer는 신속하게 계정을 스캔하고 토큰을 전송하는 거래를 시작하여 사용자의 자산을 훔칩니다. 여러 사용자는 이 공격으로 인해 총 가치가 수십만 달러에서 수백만 달러에 이르는 대량의 토큰과 스테이블 코인을 잃었습니다.
해커 집단이 흔히 사용하는 공격 방법도 유사하다.
피싱
해커는 신뢰할 수 있는 기관이나 개인인 것처럼 가장하고 피해자를 속여 악성 링크를 클릭하거나 개인 키를 유출하여 암호화폐 자산을 획득하도록 합니다. 예를 들어 Lazarus Group은 정부 공무원의 신원을 위조하고 정밀한 피싱 공격을 감행하여 암호화폐 거래소에서 막대한 자금을 훔치는 데 성공했습니다.
악성 코드
해커는 악성 코드를 사용해 피해자의 기기를 감염시켜 비밀번호를 훔치거나 기기를 원격으로 제어할 수 있습니다. FIN 6은 특히 금융 기관과 암호화폐 거래소를 표적으로 삼기 위해 맞춤형 악성 코드를 사용하는 경우가 많습니다.
스마트 계약 취약점 악용
해커는 스마트 계약의 취약점을 식별하고 악용하여 불법적으로 자금을 이체하거나 훔칩니다. 스마트 계약의 코드는 일단 블록체인에 배포되면 변경할 수 없기 때문에 취약점으로 인한 피해는 매우 심각할 수 있습니다.
51% 공격
해커는 블록체인 네트워크에서 컴퓨팅 성능의 50% 이상을 제어함으로써 이중 지출 공격을 수행하거나 거래 기록을 변조할 수 있습니다. 이러한 공격은 특히 상대적으로 집중된 컴퓨팅 성능으로 인해 악의적인 조작이 발생하기 쉬운 소규모 또는 신흥 블록체인 네트워크를 대상으로 합니다.
개인고객을 위한 예방조치
안전의식 강화
항상 주의를 기울이고 익숙하지 않은 링크를 클릭하거나 알 수 없는 소스에서 소프트웨어를 다운로드하지 마십시오. 특히 암호화폐를 다룰 때에는 함정에 빠지지 않도록 주의가 필요합니다.
이중 인증 활성화
모든 암호화폐 계정에 이중 인증(2FA)을 활성화하여 계정에 추가 보안 계층을 추가하고 무단 로그인을 방지하세요.
하드웨어 지갑을 사용하세요
대부분의 암호화폐를 온라인 지갑이나 거래소가 아닌 하드웨어 지갑에 보관하세요. 이 오프라인 저장 방법은 해커의 원격 공격 위험을 효과적으로 줄일 수 있습니다.
스마트 계약 검토
스마트 계약과 상호 작용하기 전에 계약 코드를 이해하거나 전문적으로 검토된 계약을 선택하여 검증되지 않은 스마트 계약과의 상호 작용을 피하고 자금 도난의 위험을 줄이십시오.
장비 및 소프트웨어를 정기적으로 업데이트
오래된 취약점으로 인한 공격을 방지하려면 정기적인 보안 업데이트를 통해 사용되는 모든 장치와 관련 소프트웨어가 최신 상태인지 확인하세요.
결론
블록체인 분야에서 보안은 언제나 중요한 이슈였습니다. 잘 알려진 해킹 그룹, 도구 및 방법을 이해하고 식별하는 것과 효과적인 개인 예방 조치를 결합하면 표적이 될 위험을 크게 줄일 수 있습니다. 기술이 계속 발전함에 따라 해킹 방법도 고도화되고 있습니다. 체인소스 보안팀은 급변하는 디지털 시대에 무적을 유지하기 위해 사용자들에게 보안 인식을 지속적으로 향상시키고 항상 경계할 것을 권장합니다.
Chainyuan Technology는 블록체인 보안에 주력하는 회사입니다. 우리의 핵심 업무에는 블록체인 보안 연구, 온체인 데이터 분석, 자산 및 계약 취약성 구조가 포함되며, 개인과 기관을 위해 도난당한 많은 디지털 자산을 성공적으로 복구했습니다. 동시에 우리는 업계 조직에 프로젝트 안전 분석 보고서, 온체인 추적성 및 기술 컨설팅/지원 서비스를 제공하기 위해 최선을 다하고 있습니다.
읽어주셔서 감사합니다. 앞으로도 블록체인 보안 콘텐츠에 집중하고 공유하겠습니다.
