로닛 브릿지 해킹사건 추적기 — Huobi, FTX, Crypto.com으로 자금이 빠져나갔다고?
웁살라시큐리티의 새로운 솔루션인 CAMS와 함께라면 6억 달러 이상의 가상자산도 쉽게 모니터링 할 수 있습니다.
작성자: Uppsala Security Threat Intelligence Operations Team
2022년 3월 29일, Ronin Network(로닌 네트워크)는 Twitter를 통해 Ronin Bridge(로닌 브릿지)가 총 173,600개의 Ethereum(이더리움)과 2550만USDC가 해킹되었다고 발표했습니다. 이는 역사상 가장 큰 DeFi 해킹 사례입니다.
아래에서 보이는 것처럼 공격자는 3월 23일 브릿지에서 해킹 자산을 인출, 2건의 트랜잭션을 발생시켜 자산을 빼돌렸습니다. 로닌 네트워크 팀에 따르면, 이것은 공격자가 해킹한 개인 키를 사용하여 실행했으며, 그들이 발표를 한 당일 그들의 팀에 의해 발견되었다고 합니다.
가상자산 추적 사건은 특히 대량의 자산이 관련된 이와 같은 사고의 경우 복잡해질 수 있습니다. 또한 횡령된 자산을 수동으로 추적하고 감시하는 것도 많은 시간과 자원을 필요로 합니다. 이러한 자산은 여러 Hop(경로)에 걸쳐 여러 지갑에 분산될 수 있습니다. 이 방식은 일부 해킹범들이 사용하는 일반적인 자금세탁 방법입니다.
웁살라시큐리티의 자금세탁 방지, 가상자산 규제 및 추적 솔루션에 추가된 최신 제품인 Crypto Asset Monitor Solution(CAMS)은 앞서 언급한 복잡한 가상자산 추적의 문제를 해결하는 것을 목적으로 합니다.
CAMS는 사용자가 제공하는 트랜잭션 해시에서 발생하는 가상자산을 실시간 모니터링합니다. 추적 결과는 정보 대시보드를 통해 표시되며 추적 대상의 자금을 받은 것으로 나온 가상자산 거래소 등의 가상자산사업자(Virtual Asset Service Provider) 탈취한 자금을 받은 것으로 나타난 지갑 목록 및 현재 탈취 자산을 보유하고 있는 지갑 목록과 같은 주요 정보가 나타납니다. 이러한 정보는 수사관뿐만 아니라 피해자에게도 정보를 제공할 수 있습니다.
가상자산 사고에 관련된 가상자산을 빠르고, 효율적이고, 쉽게 모니터링 및 추적할 수 있는 블록체인 추적 또는 포렌식 노하우를 제공합니다. 저희 팀은CAMS를 사용하여 이 로닌 브릿지 해킹 사고에 관련된 자산을 추적하고 있습니다.
CAMS 대시보드의 상단에는, 추적중인 사건 관련 최초 거래의 리스트와 관련된 자산을 포함한 정보가 표시됩니다.
로닌 브릿지 공격 사건의 경우, CAMS에 제공된 원본 트랜잭션은 위의 List of Initial Transactions 표에서 볼 수 있듯이 2개의 인출이 발생됩니다. 초기토큰은 아래의 CAMS에서 볼 수 있듯이 173,600 ETH와 2,550만 USDC였습니다.
다음은 CAMS에 의해 수행된 모니터링 및 추적의 요약입니다.
CAMS 대시보드에서 위와 같이 이더리움 메인넷 관련 거래 206건, ERC-20 거래 12건, 토큰 스왑 관련 거래 6건의 거래가 공격자에 의해 이루어진 것으로 확인되었으며, 총 22건의 의심스러운 지갑이 관련되어 있습니다. DEX(Distributed Exchange) 2건, VASP 지갑(Exchange, Bridge, Mixer) 4건이 탈취 자금을 수신한 것으로 감지되었습니다.
CAMS는 탈취된 자금을 받은 것으로 감지되는 지갑과 여전히 탈취 자산을 보유하고 있는 모든 지갑을 식별하고 나열할 수 있습니다. 여기에는 각 지갑에있는 추적에 성공한 탈취된 자금의 수량도 포함됩니다. 아래와 같이 로닌 브릿지 공격에서 탈취된 자금은 작성 시점 현재 4개의 지갑에 보관되어 있는 것으로 확인되었습니다.
CAMS의 중요한 기능은 탈취 자금을 받은 VASP(Exchange, Mixer, Bridge) 지갑을 식별하는 것입니다. 이러한 지갑의 식별 기능은, 피해자, 수사관, 또는 법 집행 기관이 상호간의 협력과 지원을 하는 데에 도움을 줄 수 있습니다.
이는 자금 회수 또는 동결의 가능성이 있다는 것을 의미하며, 가능한 경우 사용자 정보를 파악, 제공하여 사건 조사에 빠르게 착수할 수 있도록 도울 수 있습니다.
로닌 브릿지 공격 사건에서는 탈취 자금이 4개의 거래소 핫월렛을 통해 Huobi, FTX, Crypto.com 3개의 거래소로 유입된 것으로 감지되었습니다.
4개의 거래소 지갑 각각이 받은 토큰에 대한 분석은 위의 이미지처럼 보실 수 있으며, 아래의 분석 결과를 볼 수 있습니다.
추적을 용이하게 하고 탈취된 자금의 흐름을 문서화하기 쉽게 거래 내역들은 CAMS 대시보드를 통해 제공됩니다.
또한 탈취된 자금의 이동과 관련되어 인사이트를 제공할 수 있게 인포그래픽을 제공하며, 다양한 그래프 양식을 사용하실 수 있습니다. 가상자산 추적 조사관이 공격자에 대한 자금 세탁 또는 거래 활동 패턴을 파악하고 식별하는 데에 도움을 줄 수 있습니다.
CAMS에서는 공격자의 토큰 스왑 관련 분석도 지원되기 때문에 공격자가 실행한 모든 토큰 스왑도 볼 수 있습니다. 여기에는 해시, 관련된 모든 토큰, 스왑 서비스의 스마트 컨트랙트 주소 및 DEX를 포함하여 각 스왑에 대한 세부 정보가 포함됩니다. 아래에서 볼 수 있듯이 공격자는 1inch, Uniswap을 통해서 ETH를 USDC로 교환한 것으로 감지되었습니다.
사건 전체 거래 흐름도 및 거래 흐름 시각화 그래프는 CAMS 대시보드에서 보실 수 있습니다. 탈취 자금은 각각 1inch, Uniswap으로 2개의 다른 지갑에서 토큰 스왑이 이루어졌으며, 추적된 자금은 궁극적으로 4개의 거래소 핫월렛으로 들어갔습니다.
실시간에 가까운 모니터링 솔루션인 CAMS는 로닌 브릿지 공격 사건에서 탈취된 자산과 관련된 모든 새로운 트랜잭션을 지속적으로 모니터링하고 있으며, 새로운 정보는 CAMS 대시보드에 반영됩니다.
CAMS는 곧 출시 예정입니다. CAMS에 관심이 있으시다면, support@uppsalasecurity.com으로 연락주시기 바랍니다.
가상자산 추적 서비스가 필요한 가상자산 범죄 피해자는 https://uppsalasecurity.com/trackingsvc/ 로 방문하여 웁살라시큐리티가 제공하는 가상자산 추적 서비스에 대해 알아보실 수 있습니다.
웁살라시큐리티 (Uppsala Security) https://www.uppsalasecurity.com
아시아 테크의 중심 싱가포르에 본사를 둔 웁살라시큐리티는 30여명의 숙련된 보안 전문가로 구성된 블록체인 사이버 보안 회사로, 최초의 블록체인 기반 크라우드 소싱 보안 플랫폼인 ‘센티넬프로토콜(Sentinel Protocol)’을 서비스하고 있습니다. 자사의 독자적인 AI 머신러닝 알고리즘 바탕으로 가상자산 부정거래를 사전에 식별 및 신속하게 추적할 수 있는 원천기술을 소유하고 있으며 세계적인 컨설팅 기업 ‘프로스트 앤 설리번(Frost & Sullivan)’으로부터 ‘2020년 아시아태평양 블록체인/가상자산 보안기술 혁신상’을 아태지역 최초로 수상하며 기술력을 인정받은 바 있습니다. 현재 글로벌가상자산대응센터(CIRC)를 부설기관으로 설립, 싱가포르 본사를 중심으로 아세안 지역과 한국 시장의 사법기관, 거래소, 지갑회사, 결제사업 업체, 디파이(De-fi) 금융기업 및 글로벌 엔터프라이즈 등 다양한 분야의 고객을 확보하고 있습니다.
소셜미디어 (Telegram, LinkedIn, Twitter, Facebook)에서 웁살라시큐리티를 팔로우 하고 최신 뉴스를 확인해보세요.
