Munchables가 6천만 달러 이상 도난당했으며, 올해 들어 암호화 보안 손실이 7억 달러를 초과했습니다

저자: flowie, ChainCatcher
편집: Marco, ChainCatcher

3월 27일 새벽, Blast 생태계에서 안타까운 소식이 전해졌다. 그들의 체인 기반 Web3 게임 플랫폼 Munchables가 심각한 공격을 받았으며, 이미 1.74만 개 이상의 ETH(약 6230만 달러)가 도난당했다. 이는 2024년 현재까지 가장 큰 해킹 사건 중 하나이다.

Munchables는 Blast Big Bang 수상 프로젝트이다. 암호 데이터 플랫폼 RootData에 따르면, Munchables는 최근 Manifold와 Mechanism Capital의 공동 주도로 Pre-Seed 라운드 자금을 완료했다고 발표했다.

Munchables가 공격을 받았다고 발표한 후, 그들의 TVL은 9600만 달러에서 3400만 달러 이상으로 급락했다.

기사를 작성하는 시점에서, Blast의 창립자 Pacman은 글을 통해 전 Munchables 개발자가 자금을 반환하기로 선택했으며, 어떤 몸값도 요구하지 않았다고 밝혔다. 그러나 Pacman은 모든 개발자에게 교훈을 얻으라고 경고했다.

이전에 체인 탐정 ZachXBT는 이번 공격의 원인 조사 후, Munchables가 개발자로 위장한 북한 해커를 고용했을 가능성이 있다고 밝혔다.

"Munchables 팀이 고용한 네 명의 다른 개발자는 취약점 이용자와 연관이 있으며, 그들은 아마도 같은 사람일 것이다. 그들은 서로 일을 추천하고, 정기적으로 동일한 두 거래소의 입금 주소로 송금하며, 서로의 지갑에 자금을 충전했다."

느린 안개 창립자 유선의 분석에 따르면, Munchables 외에도 최근 사회 공학 공격을 받은 프로젝트가 적지 않다. "느린 안개는 두 번째 DeFi 프로젝트가 이런 상황에 처한 것을 목격했으며, 핵심 개발자가 오랫동안 위장하여 전체 프로젝트 팀의 신뢰를 얻고, 기회가 오자마자 무자비하게 공격했다. 피해자는 적지 않을 것이다."

신뢰 남용, 북한 해커의 전형적인 공격 패턴

기술적 취약점 공격에 비해, 북한 해커는 사회 공학적 공격 수단을 선택하여 더 많은 암호 팀이 방어하기 어렵게 만들 수 있다.

Munchables가 위험한 북한 해커를 실수로 고용한 것은 새로운 일이 아니다. Munchables를 공격한 이 북한 해커는 NFT 육성 게임 Aavegotchi에 단기적으로 고용된 적이 있으며, Aavegotchi 창립자 CoderDan은 "그가 북한 해커처럼 느껴져서 우리는 한 달 내에 그를 해고했다. 그는 또한 우리에게 또 다른 친구를 고용하라고 시도했는데, 그 친구도 아마 해커일 것이다"라고 말했다.

프라이버시 프로토콜 aztecnetwork의 직원 Jonwu는 한국인으로 위장한 북한 해커와의 면접 경험을 공개적으로 공유한 바 있다.

직원 신분으로 팀 내부에 침투하여 신뢰 공격을 시작하는 것 외에도, 북한 해커는 고용주 신분으로 신뢰 공격을 시작하는 데 능숙하다.

악명 높은 북한 해커 조직 Lazarus Group은 6억 달러 이상의 손실을 초래한 Ronin 크로스 체인 브리지 공격의 배후에 있으며, 2022년과 2023년의 빈번한 범죄에서 할인 채용의 명목으로 목표 프로젝트 시스템에 침투하여 대규모 자금을 탈취하는 것을 선호한다.

예를 들어, 2022년 6억 달러 이상의 손실을 초래한 Ronin 크로스 체인 브리지 공격 사건에서 Lazarus Group은 가짜 회사를 등록하고, LinkedIn을 통해 Axie Infinity와 Ronin 개발자 Sky Mavis의 직원과 연락하여 악성 소프트웨어를 위조된 "Offer"에 심었다. 직원이 "Offer"를 다운로드한 후, 해커는 Ronin 시스템에 침투하여 검증자 서명을 획득했다.

2023년 CoinsPaid가 해커에게 3700만 달러를 도난당한 공격에서도 Lazarus Group은 CoinsPaid의 한 엔지니어가 Crypto.com 면접 기회를 얻었다고 믿게 하여 기술 테스트 중 악성 소프트웨어를 다운로드하게 만들고, 북한 해커가 CoinsPaid의 핫 월렛에서 자금을 인출하는 권한 요청을 위조하게 했다.

ChainCatcher는 《Ronin, KuCoin 등 여러 보안 사건의 배후: 북한 해커 조직 Lazarus Group++》++에서 분석한 바와 같이, Lazarus Group이 가장 잘 사용하는 공격 수단은 신뢰 남용이며, 목표의 상업적 커뮤니케이션, 동료 내부 채팅 또는 외부 상호작용에 대한 신뢰를 이용하여 악성 파일을 전송하고, 일상적인 작업을 모니터링하여 기회를 엿본다.

공격자가 암호 대부를 찾은 후, 사용자의 수주 또는 수개월의 활동 궤적을 면밀히 관찰한 후에야 도난 계획을 세운다.

2021년 1월, 구글 보안 팀은 Lazarus가 Twitter, LinkedIn, Telegram 등 소셜 미디어에 장기간 잠복해 있으며, 가짜 신분으로 활발한 업계 취약점 연구 전문가로 위장하여 업계의 신뢰를 얻고 다른 취약점 연구자에게 0day 공격을 감행한다고 밝혔다.

블록체인 보안 손실 대폭 증가

황소장세에서 암호 시장 자금이 활발해지면서 블록체인 각종 보안 사건의 손실도 대폭 증가하고 있다.

ChainCatcher는 블록체인 보안 업체 Beosin의 보고서를 바탕으로 2024년 이후 각종 보안 사건의 손실 금액이 7억 달러를 초과했다고 통계했다.

2024년 1월 각종 보안 사건 중, 해킹 공격, 피싱 사기 및 Rug Pull로 인한 총 손실 금액은 약 2억 500만 달러로, 지난해 12월보다 약 93% 증가했다. 2024년 2월은 1월보다 105% 증가했다.

해킹 공격 측면에서는 이미 두 건의 1억 달러 이상의 공격 사건이 발생했다. 2월 9일과 2월 12일, 암호 게임 플랫폼 PlayDapp은 두 번의 개인 키 유출 공격을 받아 공격자는 총 17.9억 개의 PLA 토큰을 발행하여 약 2.9억 달러의 가치를 지니게 되었다.

1월 30일, Ripple 공동 창립자 Chris Larsen은 개인 계좌에서 2.13억 개의 XRP가 도난당했다고 주장했으며, 이는 약 1.12억 달러에 해당한다.

오늘, Blast 생태계 Web3 게임 플랫폼 Munchables가 공격을 받아 6230만 달러의 손실을 입었으며, 이는 2024년 현재까지 세 번째로 큰 공격 사건이다. 또한, 탈중앙화 거래소 FixedFloat, 한국 Web3 소셜 음악 서비스 SOMESING, Axie Infinity 공동 창립자 Jihoz.ron도 최근 수천만 달러의 손실을 입었다.

해킹 공격에 비해 Rug Pull 사건의 증가세는 더욱 가파르다. 2024년 2월 Rug Pull 사건은 1월보다 약 440% 증가했다. 이 중, 홍콩 거래소 Bitforex의 핫 월렛에서 5650만 달러가 비정상적으로 유출된 사건은 Rug Pull로 의심된다.

해당 거래소 CEO는 이미 사임했으며, 공식적으로 출금을 처리 중단하고 웹사이트를 폐쇄했으며, X 계정도 업데이트를 중단했다.