아토믹 월렛 해커 집단···토르체인 활용하여 3,500만 달러 은닉

Hyunsoo Kim
| 1 min read
면책조항: 이 기사를 투자 조언으로 받아들여서는 안됩니다. 암호화폐는 변동성이 큰 투자상품이기 때문에 투자 전 자체적인 조사를 수행하시기 바랍니다.
출처: Pexels

당월 초, 아토믹 월렛(Atomic Wallet)을 공격하여 1억 달러 이상을 갈취한 해커들이 크로스체인 유동성 프로토콜인 토르체인(THORChain)을 활용하여 갈취금을 은닉하고 있는 것으로 드러났다.

암호화폐 추적 업체 미스트 트랙(Mist Track)에 따르면 온체인 데이터를 분석한 결과, 아토믹 해킹과 연루된 87만 달러 상당의 ETH 503 개가 당월 18일과 19일에 토르체인으로 전송된 이후 비트코인으로 교환됐다.

해킹으로 갈취된 ETH 대부분이 SWFT 블록체인상에서 BTC로 교환됐다.

블록체인 분석 업체 엘립틱(Elliptic)은 아토믹 월렛 해킹 사건을 악명높은 북한 해커 집단 ‘라자루스(Lazarus)’의 소행으로 분석했다.

라자루스는 북한의 탄도 미사일 프로그램 자금을 충당하기 위해 세계 여러 암호화폐 거래소를 공격하여 수십억 달러 상당의 암호화폐를 갈취했다고 보고된다.

‘가란텍스’ 통해 자금 세탁하는 해커들

아토믹 월렛 해커들은 지난 주에 갈취금 일부를 암호화폐 거래소 ‘가란텍스’로 옮겼다.

지난 4월, 미국 재무부의 해외 자산 통제국(Office of Foreign Assets Control, OFAC)은 가란텍스의 러시아 다크넷 시장인 하이드라(Hydra)와 연루성과 랜섬웨어 공격자들의 자금 세탁이 공공연히 진행되고 있음을 근거로 경제 제재를 가한 바 있다.

동시에 OFAC는 북한 해커들이 자금 세탁에 사용한 암호화폐 믹싱 서비스 제공 업체인 블렌더(Blender)와 토네이도 캐쉬(Tornado Cash)에 대한 경제 제재도 진행했다.

경제 제재에도 불구하고 가란텍스는 여전히 정상 운영 중이다.

엘립틱 보안 조사관들에 의하면 다수의 암호화폐 거래소가 이미 아토믹 월렛 해킹 사건과 관련된 주소들을 블랙리스트에 올렸지만 해커들은 갈취금 일부를 가란텍스에 전송하는데 성공했다.

해커들은 가란텍스로 갈취금을 전송한 후 비트코인으로 교환하였고 비트코인 믹서 서비스 제공 업체인 신밧(Sinbad)를 통해 해당 자금을 세탁했다.

라자루스 그룹, 체인 호핑으로 갈취금 은닉

이번이 북한 해커 그룹 라자루스가 체인 호핑(chain hopping) 기법으로 불법 자금을 은닉한 첫 사례가 아니다.

라자루스는 지난 해 로닌 브릿지 해킹으로 훔친 6억 달러 가량을 렌(REN) 프로토콜과 중앙집중화 거래소(CEX)를 활용해 비트코인으로 옮긴 바 있다. 또한 신밧을 활용해 로닌 브릿지 해킹 수익금의 일부를 자금 세탁했다.

2022년 1월, 호라이즌 브릿지(Horizon Bridge)는 수차례의 공격을 받으며 1억 달러 이상을 갈취당했다. FBI는 호라이즌 브릿지 해킹이 북한 해커 그룹의 소행이라는 상당한 증거를 확보했다고 발표했다. 해당 해커들은 유사한 체인 호핑 기법으로 자금 세탁을 했으며 토네이도 캐쉬와 같은 믹서 서비스를 활용했다.

엘립틱에 의하면 라자루스는 디파이와 암호화폐 거래소에서 현재까지 총 20억 달러 이상을 갈취했다.

함께 읽을 만한 기사