업데이트 : Hack Track: #트위터해킹 비트코인 사기
머클 사이언스 Hack Track은 절도와 사기로 도난당한 암호화폐가 어디로 어떻게 움직이는지 이해하기 쉬운 인사이트를 제공합니다.
이 글은 2020년 7월 20일에 업데이트되었습니다. 최신 분석 자료는 이 게시물 끝에 첨부되어 있습니다.
2020년 7월 15일 수요일, 글로벌 소셜 미디어 플랫폼인 트위터에서 해커들이 주요 정치인, 재계 지도자, 유명인사, 수백만 명의 팔로워가 있는 회사의 검증된 계정(파란색 체크 표시가 있는 계정)을 탈취하고, 비트코인 사기를 치는 대규모 보안 사고가 발생했습니다.
해킹된 계정들 중에는 조 바이든, 버락 오바마, 일론 머스크, 빌 게이츠 등 유명 인사들이 있었습니다. 또, 애플이나 바이낸스와 제미니 같은 몇몇 암호화폐 회사들도 있었습니다. 해킹된 계정들은 팔로워들에게 특정 지갑 주소로 비트코인을 보내주면 두 배로 돌려주겠다는 트윗을 올렸습니다. 많은 스캠 트윗의 내용은 다음과 같습니다.
“코로나 19 때문에 저희는 10,000,000 달러의 비트코인을 돌려주고 있습니다!
아래 주소로 보낸 비트코인은 두 배로 돌려드리겠습니다.
BTC 주소: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh
오직 30분 동안만 진행됩니다! 즐기시길!”
해킹은 수요일에 몇 시간 동안 진행되었습니다. 트위터는 사건에 대한 조사를 하는 동안 해킹된 계정들이 트윗을 올리지 못하게 막고, 계정을 잠갔습니다. 계정 탈취는 트위터 직원들을 대상으로 실행된 “사회공학적 공격” 때문이었으며, 이로 인해 해커가 “내부 시스템과 도구”에 접근할 수 있었다고 트위터는 수요일 저녁에 밝혔습니다.
이번 해킹의 원인에 대한 추측이 무성합니다. 사실상 “내부 사람이 저지른 범죄”이며, 이번 해킹을 위해 트위터 직원들에게 뇌물을 제공했다고 말하는 뉴스도 있습니다. 사건의 이유가 어찌 됐든, 세계에서 가장 큰 소셜네트워크 서비스인 트위터에서 이런 사건이 발생했다는 사실은 비트코인의 평판에 악영향을 미치고 있습니다. 이전에도 비트코인은 범죄와 다크넷에서 사용되어 부정적으로 인식하는 사람들이 있었습니다.
사건 초기 분석
그러나, 비트코인 블록체인의 투명성 덕분에 머클 사이언스 데이터 인텔리전스 팀은 사기 트윗에 명시된 비트코인 주소로 들어온 자금을 추적할 수 있었으며, 지금까지 전 세계적으로 12만 달러 이상의 비트코인이 해당 주소로 들어온 사실을 알게 되었습니다. 아래는 저희의 분석을 요약한 것입니다.
위의 스크린샷에서 볼 수 있듯이, 비트코인 주소 bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh는 해킹된 계정의 여러 사기 트윗에 등장합니다. 7월 16일 목요일 23:00 SGT 기준으로 이 주소는 사기 피해자들로부터 323번의 트랜잭션을 통해 총 12.9248개의 비트코인(약 120,000달러)을 전송받았습니다.
유입 트랜잭션 분석
머클 사이언스 팀은 블록체인 트랜잭션 분석을 통해 Twitter Hack 0 주소의 자금 흐름에 대해 더 많은 통찰을 얻을 수 있었습니다.
- 비트코인 주소 bc1q0kznuxzk6d82e27pplw68zkvswy4d24x(코드네임 Twitter Hack 1)은 14건의 트랜잭션에서 총 0.17828423BTC(약 1,625 달러)를 받았으며 모든 자금은 메인 주소인 Twitter Hack 0으로 보내졌습니다.
- 비트코인 주소 bc1qwr30ddc04zqp878c0evdrqfx564mmf0dy2w39l(코드네임 Twitter Hack 2)은 36개의 트랜잭션으로부터 0.55302586 BTC (약 5,038.39 달러)를 받았습니다. 이 중 0.63%가 거래소 ‘Gemini’ 거래소 사용자 계정에서 전송되었습니다.
- Twitter Hack 2의 자금 중 50.13%는 Twitter Hack 0으로 보내졌습니다.
- Twitter Hack 0 주소는 323건의 트랜잭션으로부터 총 12.86584703 BTC를 받았습니다. 이 중 5.2%는 바이낸스, 비트플라이어, 자포, 쿠코인, 비트소 거래소의 사용자 계정으로부터 전송되었습니다.
반출 트랜잭션 분석
Twitter Hack 0 주소에 있던 45%(5.817 BTC)의 자금은 미확인된 “클러스터(cluster)”(연결된 주소들로 우리 플랫폼에서는 93712089998626로 이름 붙임)로 보내졌습니다. 6.45%(0.83 BTC)는 3개의 다른 주소로 전송됐습니다.
- bc1qas2rvpejpvncd6z5hcscvw52n4wxw5th2de67v
- bc1qs0tglr6gfc90q7ngw4yynvl2cmyvlhdqehwy4f
- bc1q7jy39ducamer90t4a68y6jhzakvdqlps4ynhs5
이 세 곳의 주소에 남은 자금은 아직 이동하지 않았습니다.
Twitter Hack 0에 남아 있는 나머지 47.66%(6.16 BTC)의 자금도 아직 움직이지 않았습니다.
클러스터 93712089998626은 13개의 주소로 이루어져 있는데, 여러 주소로 차례차례 자금을 전송하고 있습니다. 이 클러스터의 수신 주소(Recipient addresses)들은 사기가 발생하기 전에 코인베이스와 코인페이먼트와 연결된 주소로 비트코인을 보낸 적이 있습니다.
분석 업데이트 — 2020년 7월 20일 월요일
Twitter Hack 0에 연결된 비트코인 주소들(위의 스크린샷 참조)이 이제 약 18.45 BTC(약 170,000 달러)를 전송받았습니다. 이 클러스터의 자금 중 99.99% 이상이 다른 주소들로 송금되었습니다.
분석* 결과 해커들이 바이낸스, 팍스풀, 코인페이먼트 등 여러 거래소와 연관된 주소로 비트코인을 보낸 것으로 보입니다. 그 내역은 다음과 같습니다.
- 0.0011 BTC는 바이낸스로 전송
- 0.016 BTC는 팍스풀로 전송
- 0.0090 BTC는 코인페이먼트로 전송
또한, 해커들은 자금 흐름을 추적하기 어렵게 만들려고 와사비 월렛(Wasabi Wallet)과 칩믹서(ChipMixer) 같은 코인 믹싱 서비스를 사용하였습니다.
- 2.89 BTC는 와사비 월렛으로 전송
- 0.1092 BTC는 칩믹서로 전송
머클 사이언스의 데이터 인텔리전스 팀은 트위터 해킹 사기 사건과 관련된 비트코인 주소를 계속 감시할 것이며, 자금 이동이 있으면 글을 업데이트할 예정입니다. 이 주소들은 블록체인 트랜잭션 모니터링 및 블록체인 포렌식 툴에 이미 표시해놓았습니다.
*머클 사이언스는 자체 휴리스틱스 알고리즘을 사용하여 암호화폐 주소 클러스터를 결정하고, 데이터베이스에 표시된 주체들은 머클 사이언스 데이터 인텔리전스 팀에서 직접 손수 검증합니다.
과거에도 우리는 유튜브, 트위터, 레딧, 비트코인톡 등 다양한 플랫폼에서 비트코인을 이용하는 유명인 사칭 사기 사건을 본 적이 있습니다. 하지만, 이렇게 많은 유명 트위터 계정들이 도용이 아니라 실제로 동시에 해킹된 일은 처음입니다. 앞으로 몇 달 동안 암호화폐 사기의 성격이 어떻게 진화하는지, 트위터와 다른 소셜미디어 플랫폼들이 그러한 위협에 어떻게 대응하는지 살펴보는 일은 흥미로울 것입니다.
머클 사이언스의 블록체인 트랜잭션 모니터링 및 포렌식 툴과 인텔리전스 보고 서비스에 대한 자세한 정보를 원하시면 sales@merklescience.com으로 이메일을 보내 주십시오.
머클 사이언스는?
머클사이언스는 암호자산 서비스 제공업체, 금융기관 및 정부 기관을 대상으로 자금세탁, 테러 자금조달 및 기타 범죄 활동에 대한 암호화폐 사용을 탐지, 조사 및 예방하기 위한 블록체인 트랜잭션 모니터링 및 인텔리전스 솔루션을 제공합니다. 머클 사이언스는 싱가포르에 본사를 두고 있으며, 서울 및 도쿄와 방갈로르에 사무소를 두고 있습니다. Digital Currency Group, Kenetic, SGInnovate와 LuneX로부터 투자 받았습니다.
