웁살라시큐리티, 세계 최대 자산 운용사인 블랙록 산하 iShares 브랜드 사칭한 국제 암호화폐 사기 집단 추적
추적팀: 웁살라시큐리티 SecOps Team
리포트 요약
세계 최대 자산관리회사 중 하나인 블랙록(BlackRock)산하 ETF 제공처 아이셰어즈(iShares)를 사칭한 집단이 한화 약 48억 원 규모의 사기 행각을 벌였다.
이 사건은 국내외 가상자산 거래소 총 13곳을 포함 , 175개의 가상자산 이용자 지갑이 연루된 것으로 확인됐으며 본 리포트는 이 사건을 조사한 상세한 기록들을 담았다.
웁살라시큐리티 SecOps Team팀은 지난 3주 동안 사기성이 짙은 암호화폐 거래소가 연관된 사기사건을 조사했고, 이 사건은 세계 최대 자산 관리 회사 중 하나인 블랙록(BlackRock) ¹ 산하 ETF 제공처 아이셰어즈(iShares)의 사칭과 연관이 있었다.
웁살라시큐리티가 받은 피해 신고서에 따르면, 이 사기 사건과 관련된 피해 가상자산의 금액은 약 410만 달러(한화 약 48억) 규모로 추산된다.
이번 사건은 한국에서 가장 오래된 신문사인 서울신문과 웁살라시큐리티가 협업해 만든 공익 플랫폼 코인셜록(Coinsherlock) ²을 통해 처음 알려지게 되었으며, 피해자는 코인셜록 플랫폼을 통해 가상자산 사기피해를 신고하고 웁살라시큐리티의 가상자산피해대응센터CIRC(Crypto Incident Response Center)에 암호화폐 추적과 조사를 요청할 수 있었다.
지난 3주 동안 접수된 여러 신고서에는 몇 가지 일반적인 암호화폐 주소와 함께 다음의 3개의 도메인이 포함되어 있었다.
1. www[.]ishares-crypto[.]xyz
2. www[.]isharesEx[.]com
3. www[.]ishares-crypto[.]net
피해자들이 말하는 사기 집단의 범죄 수법
피해자들이 접수한 신고서를 토대로 종합한 내용을 보면, 이 사기 사건의 배후에 있는 사기 집단은 피해자들에게 초기 투자나 예치금에 대한 이윤을 보장했던 것으로 보인다.
이들은 텔레그램과 같은 메시지 앱을 통해 잠재적 피해자들에게 접근, 투자 기회를 홍보하고 피해자들을 자신들의 플랫폼으로 유도했다. 곧 해당 플랫폼은 아이셰어즈(iShares)로 명명되었고 암호화폐의 미래를 제안하는 암호화폐 거래소로 홍보되기 시작했다.
앞서 언급한 사칭 거래소인 아이셰어즈(iShares)의 투자금 인출은 매월 2회까지 가능하도록 허용되었으나, 이용자들은 인출 전 미리 수수료를 지불해야 했다.
이 수수료는 투자 증가와 함께 그들이 벌어들인 수익의 변동비율로, 아마도 피해자들로부터 보다 많은 투자를 끌어들이기 위한 것으로 추정된다.
또한 이 사기 집단은 거래소의 이용자의 자산이 동결된 이후에도 추가로 ‘세금’을 납부할 것을 요구했는데, 그들이 말하는 ‘세금’을 납부해도 동결된 자산이 풀릴 것이라는 명확한 보장은 없었다.
이 사기 사건은 합법적인 기업을 사칭, 높은 투자 수익률 보장, 자산 동결 및 인출에 대한 추가 자금 요구 등의 수법이 사용된 여타 투자, 거래소 플랫폼 사기와 상당히 유사한 점을 보인다.
웁살라시큐리티 SecOps Team에 신고된 사건의 수와 암호화폐 주소, 피해입은 가상자산의 금액 규모로 볼 때, 이번 거래소 사칭 사기사건은 이미 많은 피해자를 만들었고, 대량의 가상자산을 탈취한 것으로 보인다.
iShares Crypto Exchange — 진짜일까 가짜일까?
먼저, 보고서들을 통해 확인된 3개의 도메인을 살펴보자.
1. www[.]ishares-crypto[.]xyz
2. www[.]isharesEx[.]com
3. www[.]ishares-crypto[.]net
이 도메인들은 자신들이 아이셰어즈(iShares)와 블랙록(BalckRock)에 속한 것처럼 보이도록 해 사칭 플랫폼으로 호스팅 되도록 유도한 것으로 보인다. 글을 작성하는 현재, 첫 번째 도메인만 온라인 상태이나, 이어서 살펴볼 내용들에서 볼 수 있듯이 이 도메인들이 서로 연결되었음을 뒷받침하는 근거들은 여러가지가 있다.
첫째, 3개의 도메인은 ‘-crypto’또는 ‘Ex’(이는 ‘거래소’로 해석될 수 있다)와 함께 모두 ‘ishares’를 포함하고 있다. 이는 이 웹사이트가 아이셰어즈(iShares)에서 제공하는 암호화폐 관련 서비스 또는 거래소와 연결되어 있음을 의도한 한 것으로 볼 수 있다.
둘째, www[.]ishares-crypto[.]xyz의 ‘About Us’ 페이지에서 사기 집단은 블랙록 대한 배경내용을 회사소개 글에 작성했으며 아이셰어즈(iShares)에서 런칭한 암호화폐 거래소라는 점을 명시했다.
아이셰어즈(iShares)와 블랙록(BalckRock)이 관련되어 있다는 주장에도 불구하고, 현재도 활성화 되어있는 도메인인 www[.]ishares-crypto[.]xyz를 간략히 살펴보면 그 신빙성에 대해 의심해볼 만한 여러 가지 위험 신호를 확인해 볼 수 있다.
오프체인 위험 신호들
블랙록은 암호화폐 거래소를 소유하고 있지 않다.
첫째, 블랙록이 비트 코인³을 검토 중이라는 소식이 전해지고 있지만 이들은 암호화폐 거래소 서비스에 과감히 뛰어든 적이 없었고, 이를 출시할 계획이라는 소식도 전무한 상태이다.
이것은 이 웹사이트의 신빙성(또는 신빙성 결여)에 대한 가장 큰 위험 신호이자, 명백한 위험지표라고 할 수 있다.
형편없이 설계된 사용자 인터페이스와 웹사이트
둘째, 이 웹사이트는 UX(User Experience) 퀄리티가 매우 떨어지는 것을 확인할 수 있다. 또한 UI(User Interface) 또한 제대로 갖춰져 있지 않다. 탐색 메뉴가 맨 아래에 배치되어 있고, 페이지 상단에는 활용되지 않는 빈 공간과 활용도가 낮은 공간이 많이 있다.
또한 페이지 제목의 언어가 통일되어 있지 않다. 아래 자료에서 보는것과 같이, 거래 페이지 중국어(Mandarin)만 되어 있고 다른 모든 페이지는 영어로 되어 있다.
이러한 단순한 디자인과 페이지 제목의 언어 불일치가 사기 사이트임을 증명하는 증거로 쉽게 인식되기는 어려울 수 있으나, 블랙록(BalckRock)과 같은 규모가 큰 기업에게 이는 분명 이례적인 일일 것이다.
비전문적인 프레젠테이션
셋째, 웹사이트에서 전반에 사용된 서투른 언어이다.
웹사이트 전반에 게재된 글의 문법은 모두 제각각이며, 이 또한 미국 기업인 블랙록(BalckRock)의 특징이 아닐 것이다.
도메인 유효성
더욱 깊게 파고들수록 더 많은 문제가 드러난다.
후이즈(WhoIs)의 정보에 따르면 www[.]ishares-crypto[.]xyz의 도메인은 2021년 3월 5일부터 2022년 3월 5일까지 1년 동안만 사용하도록 등록되었다.
도메인 사용등록 최소기간이 1년임을 고려할 때, 이와 같은 양상은 사기 범죄와 관련된 웹사이트에서 흔히 볼 수 있다. 또한 블랙록(BalckRock)과 같은 대기업이 가상자산거래소를 출범했더라면, 더 오랜 기간으로 사용등록을 했을 가능성이 높다.
이는 나머지 2개 도메인에서도 동일하게 나타난다.
흥미롭게도 상위3개의 도메인 등록자 정보는 모두 올해 3월과 4월에 등록되었는데, 3개 모두 같은 국가인 태국에서 등록되었다.
또한 같은 이름을 공유하는 2개의 도메인인 ishares-crypto도 같은 날 등록되었다는 점에서, 우리는 이 웹사이트들이 동일한 사건과 연관된 것을 확인할 수 있다.
연결되지 않는 링크와 빈 웹페이지
사용자가 ishares-crypto[.]xyz의 정보 페이지에서 백서 링크를 클릭하면 이는 두 번째 도메인인 isharesEx[.]com으로 연결되며, 이는 두 도메인 간의 연관성을 확실히 보여주는 점이다. (현재 이 도메인이 닫힌 상태로 백서에 접근할 수 있는 방법이 없는 상태이다.)
또한 연결되지 않는 링크 외에도 ‘Rules’라는 이름의 빈 웹 페이지가 있는 것도 확인되었다.
이처럼 앞서 언급한 많은 위험지표들을 통해 상위 도메인들이 아이셰어즈(iShares)에 속한 기업라는 주장은 거짓이며, 이들은 사기와 연관되어 있다는것을 보다 확신할 수 있다.
의심스러운 지갑으로부터의 자금 추적
암호화폐 관련 사기 및 해킹에 대한 거래추적 및 분석 조사의 핵심은 불법 편취 자금이 가상자산서비스제공자인 VASP(Virtual Asset Service Provider)가 통제하는 지갑으로 유입되었는가를 식별하는 과정에 있다.
일반적으로 사기범죄자들은 사기 또는 탈취에 성공한 가상자산의 현금화를 궁극적인 목표로 하며, 이전 사례에서도 볼 수 있듯이 이를 실현하는 데는 암호화폐 거래소와 같은 VASP를 통하는 것이 대표적이다.
따라서, 이러한 시나리오들을 식별해내는 것은 여러 이유에서 매우 중요하다.
첫째, VASP가 관리하는 지갑으로 탈취, 사기자금이 유입되면 자금 통제권이 범죄자에서 VASP로 이전된다. 이는 적시에 위험이 식별되고 확인된 경우, 해당 불법 자금은 성공적으로 현금화되기 전에 사전에 동결할 수 있다.
둘째, 경우에 따라 VASP는 사용자 지갑 주소와 연결된 KYC(Know-Your-Customer) 정보를 보유할 수도 있고, 이 정보는 사기 사건을 조사중인 사법기관에게 매우 중요하고 유용한 단서가 될 수 있다.
피해자들이 제공한 정보를 바탕으로 우리는 좀 더 범위를 좁힐 수 있었고, 이번 사기 사건에서 주로 사용된 것으로 보이는 6개의 위험 지갑 주소에 좀 더 집중해 보고자 한다.
6개 중 5개는 이더리움 체인에 있었으며, 마지막 하나는 비트코인 주소로 확인되었다.
이더리움 체인(EC): 용의자 지갑
범죄자가 소지한 것으로 보고된 이더리움 체인의 5가지 의심스러운 지갑은 다음과 같다.
SW #1: 0x458b10fBFFe699E9C7F5c7749aF4a770a4a9DBf0
SW #2: 0x29d959ec2a9efb31e0b3a2e7ecb0342ebbcc31b8
SW #3: 0x5cC8750E61ca277AaA9D925ccfb8bd3882Bc5650
SW #4: 0x890d9D6d827d987EB83aF9d25b9C09Fe74192bd1
SW #5: 0x1ada1C6670D40ac7a0f46A5865BEe0e53A46e670
다음 단락부터 우리는 이들을 SW #1, #2, #3, #4 및 #5로 라벨을 붙여 언급할 것이다.
이 5개의 지갑은 비교적 새로 생성된 것이나, 가장 먼저 등록된 사기 도메인의 등록날짜를 기준으로 이후의 모든 거래내역이 담고 있기에 우리는 이 지갑들을 통해 모든 자금을 추적해 볼 것이다.
자금의 대부분은 USDT로 첫 4개의 지갑에 포함되어 있고, SW #5에는 USDT와 이더리움 두가지 모두 포함되어 있었다.
우리 팀은 당사의 추적 툴을 이용해, 이 5개의 의심되는 지갑에서 나온 범죄자의 불법 자금이 다음의 13개 암호화폐 거래소 (바이낸스(Binance), 비트맥스(Bitmax), 크립토닷컴(Crypto.com), FTX, 픽스드플롯(Fixed Float), 게이트아이오(Gate.io), 후오비(Huobi), 크라켄(Kraken), 쿠코인(KuCoin), MXC, 오케이엑스(OKEx), 업비트(Upbit), 화이트빗(WhiteBIT))로 유입되었음을 확인했다.
또한 이와 관련된 175건의 사용자 지갑의 목록은 본 기고문 하단에서 확인할 수 있다.
이 지갑들은 단순히 범죄자의 지갑에서 자금을 받은 내역이 확인된 사용자 지갑으로, 범죄자의 소유일 수도 있고 아닐 수도 있다.
이것들은 범죄자가 사용하는 OTC(Over-the-counter)와 같은 타사 서비스에 속한 사용자 지갑이거나 사기 거래소에 투자한 자산을 성공적으로 인출한 피해자의 지갑일 수도 있다.
이더리움 체인(EC)-거래소 1: 바이낸스
범죄자의 지갑에서 나온 자금은 총 76개의 바이낸스 사용자 지갑으로 흘러 들어간 것으로 파악됐다. 이 자금은 이후 다른 바이낸스 핫 월렛(Binance 0x3f5ce, Binance 14 0x28c6c)으로 흘러갔다.
SW#5에서 나와 바이낸스 사용자 지갑#39으로 송금된 소량의 이더리움을 제외하고, 바이낸스 거래소에 들어간 다른 모든 자금은 USDT로 확인되었다.
Binance user wallet #1 (의심스러운 지갑)
0x0b3f00124Cde1a7B6F9b88F7766839775B0ADd2e
SW#1에서 약 90,000 USDT를 대량으로 유입된 것이 확인된 바이낸스 사용자 지갑 #1(0x0b3f00)을 좀 더 자세히 살펴보자.
위와 같이, 자금은 SW#1에서 바이낸스 사용자 지갑 #1 (0x0b3f00)으로 이동해 다른 2개의 다른 지갑을 거쳤고 이후 바이낸스 핫 월렛(0x3f5ce5)으로 이동되었다.
약 90,000 USDT금액 중 43,000 USDT와 약 9970.409 USDT가 SW#4 및 SW#5로부터 각각 이동했음이 추가로 확인됐다.
이더리움 체인(EC)– 거래소 2: 비트맥스
Bitmax user wallet #1: 0x46cd7b0810BD914D91912112dD284f4c233f8916
SW#5에서 발생한 총 1000 USDT의 자금 이동은 중개 지갑을 거쳐 단일 비트맥스 사용자 지갑(0x46cd7b)으로 이체되었다.
이 자금은 이후 비트맥스 2 핫 월렛(0x4b1a994)으로 흘러갔다.
이더리움 체인(EC)– 거래소 3: 크립토닷컴
의심스러운 지갑에서 나온 자금이 크립토닷컴의 사용자 지갑 2개에 도달했고, 이어 크립토닷컴의 핫 월렛(0x626299)으로 들어간 것이 확인됐다.
Crypto.com user wallet #2: 0x62034b12ed809D5236F4120CCe24F1BA0f8bAeE6
더 많은 금액을 수신한 크립토닷컴 사용자 지갑 #2 (0x62034b)를 보면,
SW#5에서 시작된 총 3,515 USDT는 1개의 지갑을 통해 크립토닷컴 사용자 지갑인 #2 (0x62034b)로 이체되었으며, 이후 크립토닷컴 핫 월렛(0x626299) 으로 흘러 들어갔다.
이더리움 체인 — 거래소 4: 픽스드플롯
SW#5에서 송금된 총 27,533 USDT는 여러 경로를 통해 단일 픽스드플롯 사용자 지갑#1 (0xe601A)으로 전송되었으며, 이후 픽스드플롯 핫 월렛 (0x4e5b2)으로 흘러 들어갔다.
FixedFloat user wallet #1: 0xe601A2e78a5ea55E149C5b57f8a440121af3ec66
이러한 경로 중 하나의 예를 아래에서 살펴보면,
SW#5에서 송금된 자금은 픽스드플롯 사용자지갑#1 (0xe601A)으로 최종 이동하기 전에 SW#1을 거쳐간 것을 확인 할 수 있다.
이더리움 체인 — 거래소 5: FTX
의심스러운 지갑에서 나온 자금은 FTX 거래소에서 2개의 사용자 지갑에 도달한 것으로 확인됐으며, 이후 FTX의 핫 월렛(0x2FAF48)으로 흘러 들어갔다.
FTX user wallet #1: 0x09115Fb3750582440DA65a7B9de74A9d2bD26B0B
FTX 사용자 지갑 #1 (0x09115)을 살펴보면,
SW #2에서 송금된 15,015.09 USDT는 3개의 서로 다른 지갑을 거쳐 FTX 사용자 지갑 #1 (0x09115)으로 이체되었으며, 이후 FTX 핫 월렛(0x2FAF48)으로 흘러갔다.
이더리움 체인 — 거래소 6: 게이트아이오
의심스러운 지갑에서 나온 자금은 게이트아이오 거래소의 2개의 사용자 지갑에 도달한 것으로 확인됐으며, 이후 게이트아이오 핫 월렛(0x0D07079)으로 흘러 들어갔다.
Gate.io user wallet #1: 0x90c401cF2199Ba729D75f4Cf8Ad41c7c960D48Db
Gate.io user wallet #2: 0xFDd4254f9beD17Dbc82EF642A21C5BDf40BB60C6
두 사용자 지갑 모두 SW #5에서 각각 110,290 USDT 및 48,764.27 USDT로 많은 자금을 받은 것이 확인되었으며, 아래는 SW #5에서 게이트아이오 사용자 지갑 #1까지의 자금 흐름 경로 중 하나를 보여준다.
이더리움 체인 — 거래소 7: 후오비
의심스러운 지갑의 자금은 39명의 후오비 사용자 지갑에 도달한 것으로 관찰되었으며, 이는 이후 여러 후오비 핫 월렛 또는 OTC 관련 지갑으로 흘러 들어갔다.
Huobi user wallet #5: 0xF7119c17d120f1410DB0077e46256eCe3C0DA243
Huobi user wallet #6: 0xC0482C63A03c483B0fFaF8877289EC2CB579c37c
이 중 후오비 사용자 지갑 #5 (0xF7119), #6 (0xC0482)은 SW#1에서 대량의 자금을 받은 것으로 확인됐다. 이 자금은 이후 후오비 4 핫 월렛(0xeee28)으로 전송되었다.
위에서 보았듯이 SW#1에서 문제의 후오비 사용자 지갑 2군데로 자금이 이체되었고, 이후 후오비 핫월렛(Huobi 4, 0xeee28)으로 이동했다. 우리는 SW#1에서 출발하여 후오비 사용자 지갑 #5, #6에 각각 도달한 총 11,317 USDT와 53,000 USDT를 탐지했다.
Huobi user wallet #13: (의심스러운 지갑)
0x3C09872B77b3340FC26A34C2487f11890b98FFcb
거액의 자금을 받은 또 다른 지갑은 후오비 사용자 지갑#13(0x3C0987)이다. SW#5로부터 총 80,200 USDT를 받았다.
이더리움 체인 — 거래소 8: 크라켄
SW#1과 SW#2에서 이동된 자금은 여러 경로를 통해 단일 크라켄 사용자 지갑 (0x6F1CFE)에 도달한 것으로 확인됐다.
Kraken user wallet #1: 0x6F1CFEe3C8f113b77A85F172027950709D043339
다음은 SW#1에서 시작되는 경로 중 하나의 예시이다.
이 경로에는 3개의 서로 다른 지갑을 통한 자금 이동 과정이 포함되었고 그 중 하나는 SW#2였다.
이후 이 자금은 크라켄이 소유한 핫월렛(0x89e51f)으로 흘러 들어갔다.
이더리움 체인 — 거래소 9: 쿠코인
의심스러운 지갑에서 나온 자금은 쿠코인 거래소의 3개의 사용자 지갑에 도달한 것으로 확인되었으며, 이후 쿠코인3 핫 월렛(0xa1D8d9)으로 흘러 들어갔다.
KuCoin user wallet #3: (의심스러운 지갑)
0x754Cb3E18A7Bc240D4b979Ae1f87c2417d25657a
가장 많은 자금을 받은 쿠코인 사용자 지갑 #3에 대해 살펴보면,
SW#5에서 발생된 총 2,850 USDT가 1개의 지갑을 통해 쿠코인 사용자 지갑 #3 (0x754Cb3)으로 이체되었다.
이더리움 체인 — 거래소 10: MXC
의심스러운 지갑에서 나온 자금이 MXC 거래소의 3개의 사용자 지갑에 도달한 것으로 확인되었고, 이후 MXC 2 핫월렛 (0x0211f3)으로 흘러 들어갔다.
MXC user wallet #3: (의심스러운 지갑)
0x1728B329354ecC9Aa21a45FA50f1f76041A5e015
MXC 사용자 지갑#3을 살펴보면, SW#5으로부터 총 2,280 USDT가 1개의 지갑을 통해 MXC 사용자 지갑 #3 (0x1728B3)으로 이체되었다.
이더리움 체인 — 거래소 11: 오케이엑스
의심스러운 지갑에서 나온 자금은 오케이 이엑스 거래소의 6명의 사용자 지갑으로 이동한 것이 확인됐고, 이후 오케이 이엑스 핫 지갑 (0x5041ed)으로 흘러 들어갔다.
OKEx user wallet #6: (의심스러운 지갑)
0x1F772F301fA91e475a4c069B6F42D498a981bb42
가장 많은 자금을 받은 마지막 사용자 지갑 #6을 살펴보면, SW#5에서 시작된 총 5,357 USDT가 9개의 다른 지갑에서 오케이엑스 거래소 사용자 지갑 #6 (0x1F772F)으로 이체되었음을 확인할 수 있다.
이더리움 체인 — 거래소 12: 업비트
이더리움 체인에서 의심스러운 지갑으로부터 나온 자금은 7개의 각기 다른 업비트 사용자 지갑을 거쳐 다수의 업비트 핫월렛으로 흘러 들어갔다.
흥미롭게도 업비트 거래소로 유입된 자금들 모두 SW#5에서 이동되었으며, 대부분 이더리움으로 확인되었다.
Upbit user wallet #6: (의심스러운 지갑)
0x432033662Ee50251d934a31367A9473a4Af4A6Df
가장 많은 자금을 받은 사용자 지갑인 업비트 사용자 지갑 #6 (0x43203)을 살펴보면, 해당 사용자 지갑은 0.8147 ETH를 받았음을 확인할 수 있다.
이더리움 체인 — 거래소 13: 화이트빗
의심스러운 지갑에서 나온 자금은 32개의 화이트빗 사용자 지갑을 거친 것으로 확인됐고, 이후 화이트빗 핫월렛 (0x39F6a6)으로 흘러 들어갔다.
WhiteBIT user wallet #9: 0x9374b739Cf6F623a359cE4Cd922dC983015Aa853
의심스러운 지갑으로부터 비교적 많은 금액을 받은 사용자 지갑 중 하나인 화이트빗 사용자 지갑 #9 (0x9374)를 살펴보면, 이 사용자 지갑은 SW#2에서 1451.76 USDT를 받았음을 확인할 수 있다.
탈중앙화 거래소(DEX)를 통한 토큰 스왑
우리는 사기 범죄자가 SW#5의 자금 중 일부를 토큰 스왑에 이용한 정황을 확인했다. 이런 스왑은 주로 토큰론(Tokenlon)이라는 탈중앙화 거래소를 통해 진행되었으며 주로 ETH와 USDT간에 스왑이 이루어졌다.
이러한 스왑의 예시는 아래에서 좀 더 자세히 살펴볼 수 있다.
여기서 SW#5는 토큰론 탈중앙화 거래소를 통해 20 ETH를 약 41,896 USDT로 스왑했다.
Tx Hash: 0x06cc05f5d87df604440363faed234a180e62322c8d1c7c46f5039a010ce77f54
이렇게 스왑된 자금 중 일부는 일부 중앙화 거래소에서도 발견되었다.
의심스러운 지갑으로부터 나온 자금의 흐름은 이들의 연관성이 있음을 보여준다.
우리는 자금 흐름의 분석을 통해 이러한 의심스러운 지갑 간의 연관성을 살펴보았다.
앞서 언급했듯이, SW#1에서 크라켄 거래소로 이동한 자금은 SW#2를 거쳐갔다.
SW#4와 #5에서 출발한 자금들도 바이낸스 사용자 지갑 #1 (0x0b3f00)의 분석을 토대로 알아본 결과, 여러 번의 송금과 홉을 통해 SW#1을 통과한 것으로 확인되었다.
또한 의심스러운 지갑의 일부 자금들은 동일한 거래소 사용자 지갑으로 들어가는 것이 확인되었다. SW#1에서의 나온USDT는 SW#3을 통과하지 않았음에도 불구하고 SW#1과 SW#3는 두가지 모두 동일한 후오비 사용자 지갑 (Huobi #8–0xb126E)으로 이동되었음을 확인했다.
비트코인: 의심스러운 지갑
계속해서 이번에는 의심스러운1개의 비트코인 주소에 대한 거래흐름 분석내용을 살펴보자.
BTC-SW #1: 3LyL836J7vuxMm2LBLbbEo14BoxNgwYqHV
전과 동일하게, 이 의심스러운 BTC 지갑의 자금 역시 VASP 가상자산서비스 제공자(VASP)로 이동한 것으로 감지되었다. 연관된 VASP에는 업비트와 후오비 그리고 HaoBTC가 포함되어 있다.
BTC — 거래소 1: 업비트
아래에서 살펴볼 수 있듯이, BTC-SW #1의 자금이 2개의 업비트 사용자 지갑 (37Q3La5, 31hmgo)으로 흘러가는 것을 확인할 수 있다. 이후 이 자금은 업비트 거래소에 속한 3개의 다른 주소로 이동했다.
BTC-SW #1에서 이동한 자금과 3개의 업비트 주소들은 다음과 같다:
1. 3Mptox8RPyC8x67gQCzxfs98ENqLGAMi8h — 0.1462 BTC 수취완료
2. 3F3oXPkBMgMxcKsySrue16ySmVsLJYV7zG — 0.1304 BTC 수취완료
3. 351yZhnPPbV8Y9C4NBaK1w4GSoRkUzUaU7–0.1596 BTC 수취완료
BTC — 거래소2: 후오비
BTC-SW #1의 자금도 후오비 거래소에 유입된 것이 확인되었다.
후오비로 유입된 자금 규모는 업비트로 유입된 자금보다 확연히 그 규모가 크다.
위에서 살펴보았듯이, BTC-SW #1의 자금은 후오비 거래소에 속한 지갑 1AmajNxtJyU7JjAuyiFFkqDaaxuYqkNSkF으로 이동하였고 확인된 금액은4.6714 BTC로 나타났다.
1. 1AmajNxtJyU7JjAuyiFFkqDaaxuYqkNSkF — 4.6714 BTC 수취완료
BTC — 지갑 서비스 업체: HaoBTC
마지막으로, BTC-SW #1으로부터 나온 자금 또한 HaoBTC로 이동한 것이 확인되었다. HaoBTC는 사용자에게 BTC 지갑 서비스를 제공하는 지갑 서비스 기업으로 이전에 거래소 서비스도 제공한 적이 있으나, 현재는 더이상 해당 서비스를 제공하지 않는다. 하지만 HaoBTC가 이전에 핫 지갑으로 사용했던 지갑 (32rtpdd4)은 여전히 활성화 상태이고 BTC-SW #1에서 2.2607 BTC도 송금 받은 것으로 확인되었다.
위에서 살펴본 것처럼, BTC-SW #1에서 나온 자금은 HaoBTC 지갑에 도달하기 전, HaoBTC에서 생성된 개인지갑(3EdBupC)을 중개지갑으로 거쳐갔다.
- 3EdBupCc8P2e8AKYdG72HSoLqh92tu3SH1–2.2607 수취완료
아이셰어즈(iShares) 사칭 그 이상이 있지 않을까?
자금 흐름을 추적 중 확인된 사용자 지갑 중 하나인 FTX 사용자 지갑 #2 (0x87dBF716a9)가 이미 자사 위협 평판 데이터베이스(TRDB)에 블랙리스트로 올라와 있다는 사실을 알게 되었다. 또한 이전에 우리 팀이 신고 접수된 사기사건과 연관성이 있으며 불법자금을 수취한 이력이 있음을 함께 확인할 수 있었다. 신고 받은 내용에는 아래 2개의 도메인 정보가 포함되어 있었다.
1. wap[.]coinbene[.]shop
2. coinbene[.]world
앞서 언급한 아이셰어즈(iShares) 도메인처럼, 이 도메인도 공신력 있는 기업-이번 사례에서는 가상자산 거래소 코인베네를 사칭하려고 했던 것으로 보인다.
이 모든 정황에 비추어볼 때, 이번 아이셰어즈(iShares) 거래소 사칭 사기사건은 빙산의 일각에 불과하며 더 큰 사기 사건이 같은 사기집단에 의해 진행되고 있을지도 모른다는 점을 시사한다.
우리는 무엇을 대비할 수 있나?
도난당한 자산을 회수하는 것은 굉장히 어렵지만, 이 환수 사건과 같이 완전히 불가능한 것은 아니다. 이전 사례의 경우, 피해자는 웁살라시큐리티 SecOps Team 팀이 제공한 지원 및 추적 조사자료 등을 통해 사기를 당했던 자산을 회수할 수 있었다.
이번 사기 사건에서도 도난당한 자산이 특정 VASP들을 유입된 것이 밝혀졌으니 환수의 가능성은 충분히 있다. 이전 사례에서 볼 수 있듯이, 피해자가 적절한 법 집행 기관에 연락하여 조치를 취하고 사법기관이 공식적으로 조사를 시작해 관련된 VASP에 정식으로 협조를 구한다면 환수의 가능성은 더욱 높아질 것이다.
또한 향후 가상자산 사기나 피싱 웹사이트들로 부터 우리 스스로를 더욱 보호하기 위한 조치들도 선행되어야 할 것이다. 잠재적 위험 요소들을 숙지하는 것과 더불어 공신력 있는 보안 전문기업의 전문 사이버 보호 툴 활용을 고려하는 것도 하나의 방법이다.
이러한 도구 중 하나가 웁살라시큐리티에서 개발한 무료 브라우저 익스텐션 웁워드(UPPward)다. 웁워드는 보안 전문가들이 검증한 집단지성 기반의 위협 인텔리전스를 바탕으로 운영되는 툴로 사용자가 방문하는 사이트가 의심스러운 사이트나 블랙리스트에 등록된 사이트인가 판별할 수 있도록 돕는 툴이다.
피해입은 가상자산 추적에 필요한 적절한 도구와 전문 지식을 갖추지 못한 사람이 가상자산 사기사건의 희생양이 되는 일은 매우 충격적인 일이다.
웁살라시큐리티에서는 개인 또는 단체가 가상자산 규제를 준수하고, 보유한 가상 자산을 안전하게 유지할 수 있도록 지원하는 종합적인 솔루션을 제공하며
가상자산 추적에 도움이 필요한 개인과 기업 모두에게 가상자산추적서비스를 제공한다.
*본 아이셰어즈(iShares) 거래소 사칭 조사에 사용한 가상자산 거래추적 툴 CATV에 대한 자세한 내용은 여기를 참고해주세요.
*가상 자산 추적 서비스가 필요한 경우,
support@uppsalasecurity.com (글로벌)으로 이메일을 보내시거나 https://uppsalasecurity.com/ko/trackingsvc/ (한국어) 웹사이트를 방문해주세요.
의심되는 지갑으로부터 자금 유입이 확인된 거래소 지갑 목록:
(이더리움 체인) EC-거래소 1: Binance User Wallets
#1: 0x0b3f00124Cde1a7B6F9b88F7766839775B0ADd2e
#2: 0xc1c904d2686cf7e5f972995d5a4950005d238c40
#3: 0x613263695b90ac0f1e8858a7971d438f6f5a6b74
#4: 0xa2503e16b68f1979a33a2ee326475a9b803ece9a
#5: 0x635df389ef13bdf402ca7d2525c52abf836dcbeb
#6: 0xdbb4036df266409fa9fc6414172414fa9a0ad5f9
#7: 0x07bfff01d12e8374d04cf4b21bd803e9f130cc3d
#8: 0x7d94109c90e25dec9f4c1f7e7e8448460649c019
#9: 0x1c457a710140f5bf42142248efdc773aaf7e62cd
#10: 0x4bf0e0bcdbb7d4b45d277bfdfb2895e1f64b805a
#11: 0x1e0c546e6431e87784d15d2bcd1208fc898643d2
#12: 0x6e32b069038d255df455993248dfb7b427fbec0d
#13: 0xa503ed5959744cd66ac2cfa162c184aeff32c496
#14: 0x2e557836289d680b59bf1c715f735f01a7efaf6d
#15: 0xae10d16e51b6aafec52e9d69e37dd5a3fe9fafda
#16: 0x58733c11343e003be1855ec8d7f0b91f22622fc6
#17: 0x9b7072ebb23128aba60cc3d33ac6db6eef345477
#18: 0x4733907994e8da8d49aaebf932fc6640fb6413b1
#19: 0x51f4Ba56b6b4B91845CC4512828BA8a88C589975
#20: 0xD0A14240bfA9B95ED4D8b68ffe81eE42eC6dbe9b
#21: 0x9006e170f8CBcf60812E40c6795b7eD0939199e1
#22: 0xE539cF84AE5270DbB41dD382D0b8848535a8Ba57
#23: 0x99ed9b1d168Eb86CaF1692EF6403b7C8C8Ac9307
#24: 0xc0151c47f93e836c495534c8a1ae093665090Ce8
#25: 0x2Bda85bc56b0e82F9112509d646bb6CA6CDD3bC4
#26: 0x81E3DB97388810b96E0dA842C1290B9D834cEf6a
#27: 0x77999f718d2EE19ef6fd7f328d1d670978C2BAA5
#28: 0x8387c16C4aE61aA3e908B8F83E385D5957Ed68EB
#29: 0x717651808759897Aa265d1d20FDb49de507aeBDD
#30: 0x6D6d75800F94cC5f350df5237937b3402047E4E6
#31: 0x0Cc8a451B7A0d639d65b1afed66Aa7789CE19Cab
#32: 0x348B86104C13bAe7B8f7243737363D9DEf85082f
#33: 0xe092672f6AC84D2094359d548d8f68fC571A8E74
#34: 0x8f533a9939F386Bf3C42F84F4480c22c0F353ecF
#35: 0x6447a0652712675f73B4b9FeE4fD2a4b614B901a
#36: 0xc63a4a68a225D0EA68F903936bEf826566e28E53
#37: 0xf9aefa55d69Ed028e0dbd362D508B251d95f9217
#38: 0xD5B75786735bdb2ad67231CB16eb5f1b814e6712
#39: 0xf9098656110016D6F213c22813FBD1Ee68BFdd45
#40: 0x88D21dDCa923af0D3ae4eDc103f60B88Ed98EACd
#41: 0x87a74F697e8c710110c8eBF87196C9D29d2754C0
#42: 0x9e97a4aD8A2d4118a3F77b0D92B7161935E0E1eB
#43: 0x442Ea0f47b7370e2E489B668c30779d8d77f3412
#44: 0x10a138ace2f046d01b0e07ec9dc4db56d86fbf51
#45: 0x443b5160d2d9052ccddf3ec395a049b98c284c34
#46: 0xd202c0383e784d6fddbf7cda79e3d14c6a98fe7e
#47: 0xe577a5897e746787c377e9aebc803bcb979fabb3
#48: 0x909d223735d073dafdb3d8554aa51719affd9193
#49: 0xd9a58784cfc80a30dcc9f586529c47f725f15a1c
#50: 0x95bb6089b3118cbca6eedf147438203deb75cf5e
#51: 0x1176372247b36e2192192485e74f64d38a5bbaad
#52: 0xfe0a8ec1627d2bd2c511db4dad53a25c19b87fc0
#53: 0x5cf42a5bdaa2f6db05877abd9ddf274de88dde1c
#54: 0xf530944a7eab6780dfe5ec6e980a8f957899eb83
#55: 0xec56482c90b3f8a6c605f74487ecc4546ee54270
#56: 0xbfa35dd5292b765e98f91d492819b8f5aa4d73b2
#57: 0x8c9feab899d2506f6940c63c6e995f1efc3f3f04
#58: 0x9843a8f2f2cb05fdc52b639392eb3257db4e719c
#59: 0xa9c1f1a83b3f0be3787833be3515465017380dc8
#60: 0xef6a2779f670f65c58f2d61c9674d9c49842c279
#61: 0x010c0684ecb89ba6e9d31f9c99284fb8f474efc0
#62: 0xfac2a5e21a947f417498a29a7bd41ab2f54452eb
#63: 0x5004e16647d24ea940a94e7a3bf14f1a8ad74681
#64: 0xd402962714883f29899604a4218f8896cf24dfa8
#65: 0xab47cb5d24ce0189b49cf8363cd86f72511bc176
#66: 0x74bfd0630431A49D5fE2fA90984a2f0Bb2e83A27
#67: 0x61044eE203818f443D146D592F080152A1Df7303
#68: 0x3bFCabFfcc1Df310f6dD9bca46313c7195B85786
#69: 0x465027555588D22Ff1770A2cecB66555A14A677b
#70: 0x9328b2e4074d4235eCD89b245877540B348D4d18
#71: 0x732aCf2c12378301939C6878201703e3f19506c7
#72: 0x40B55F358233Ec64cf363C70a58254626a4a329b
#73: 0x5942725d074a3e6B4381cC24b9A98cD6C798f5B4
#74: 0x98F5c0f12c219a64a0719Ad5D24fc217dd4cB087
#75: 0x9bB4381F58188Bf11DA82c7d5bbF7ADf1f815030
#76: 0x9c31DF08475785DfB5D53b6969b9658b0296cbF8
EC-거래소 2: Bitmax User Wallets
#1: 0x46cd7b0810BD914D91912112dD284f4c233f8916
EC- 거래소 3: Crypto.com User Wallets
#1: 0xA69E8Ff6971db17601CC06c45c248e308Be8B142
#2: 0x62034b12ed809D5236F4120CCe24F1BA0f8bAeE6
EC- 거래소 4: FixedFloat User Wallets
#1: 0xe601A2e78a5ea55E149C5b57f8a440121af3ec66
EC- 거래소 5: FTX User Wallets
#1: 0x09115Fb3750582440DA65a7B9de74A9d2bD26B0B
#2: 0x87dBF716a9bF6281FAfEeb79263D5f485d71B1d0
EC-거래소 6: Gate.io User Wallets
#1: 0x90c401cF2199Ba729D75f4Cf8Ad41c7c960D48Db
#2: 0xFDd4254f9beD17Dbc82EF642A21C5BDf40BB60C6
EC-거래소 7: Huobi User Wallets
#1: 0x1536B525d3E607139d7D6bb7e6Ee62f94acda41A
#2: 0x44f4C77495C4EBC3aB2A78B871bA3b5d10F7FA52
#3: 0xbE9e4ff77461f8c27E3A0bd4b3d9D8778235337f
#4: 0x3cC1C0eca5d08f32FBC0DF12c86BD8F1507D9c31
#5: 0xF7119c17d120f1410DB0077e46256eCe3C0DA243
#6: 0xC0482C63A03c483B0fFaF8877289EC2CB579c37c
#7: 0x54B5Afe1980dc61c165d1016245495C3d157ebf4
#8: 0xb126EF7C21093af8986CEE2b49d6695DfaC9470B
#9: 0x6ddCBA24821b4752F6ebeE92A20b52E5c47bfA23
#10: 0x0a9e37Ba38A299F3Ed202ac2F1156433A721dEc2
#11: 0xDed6D13230fCa0Ebb487D29b1019d6b154C173A6
#12: 0xa70fDA94bFDEc6e0A3D439B82745B1E0cE302564
#13: 0x3C09872B77b3340FC26A34C2487f11890b98FFcb
#14: 0x48B563C07bDc522FF4C9D322c6D169D759a4040E
#15: 0x3F11E6120D624E7a12837fbC78AE029103CAe9eD
#16: 0x55259eC47705B919F81474DBb33b97A4aF0c08Fa
#17: 0x7C5D76f445DC18b19d99869d6A4862B2dda9d0d3
#18: 0xC63301165a0493DF65312B94ac22Aac9AD4dA664
#19: 0x8572DC2a1230eA025c77bEDF4836cbf1200CCe6d
#20: 0x23c055F139a446a45EF2E088174cdC3f45d8F97F
#21: 0x8a3B2554e5A522c3f726638488C17D4a7E0B5b42
#22: 0xeD23a52499BaA017F1e28599e8B4DA2E1148431c
#23: 0xF63d50612cC07A04258a9083883045691fe11993
#24: 0x1311f7970d7a8b9C9405F6f68E120D3417604f51
#25: 0xE81dc638C99F07f7a6552863ae26A7e6E1140463
#26: 0x87935ce3B9a35cDdA8f5fa10710290Ca3f32d4Ee
#27: 0x8E427b1ba41c918E1B66f63C4ec7EFa5DEe70dE4
#28: 0x64A2Aa4558a64B16075136d7Ac0d712B9CC11987
#29: 0xcab799eb1d1410B2E58e505869CfB6cE07f9AecB
#30: 0xF191a9539C693343800FE38c2B0923777b9F0B20
#31: 0x0AeeEb68e2E2f2ba6412DeEC6CbBA91fc3b8c9ED
#32: 0x9E805d4CEdF1aD13106090FeE6074af271eD081e
#33: 0x08f2d25361A5Bc010F357863A3aef4158B8D1C32
#34: 0x68C37F88A72d714318AD762a24949efA22D537b1
#35: 0x76EF22a45C7ab8aA6AbE5EA065e8d449CfB93F6A
#36: 0x7F25Afa0E2619089d3b6747c66c3a59CFb887fdB
#37: 0xF47eD80137A86bbE143007c962245Ef388ada58D
#38: 0xc622f2ba648Ff8d22d420D33ef68D91c45cC7Fd8
#39: 0xe37b530B71b480Dc6B537DFDb013Dd2724904344
EC-거래소 8: Kraken User Wallets
#1: 0x6F1CFEe3C8f113b77A85F172027950709D043339
EC-거래소 9: KuCoin User Wallets
#1: 0xC50dD832DF176C99951E9f1D240f8281Ba4Db95e
#2: 0xd9F99A4d70B4e099e155744815655025Aee3E8DB
#3: 0x754Cb3E18A7Bc240D4b979Ae1f87c2417d25657a
EC-거래소 10: MXC User Wallets
#1: 0x7B64Afd0AdEa1DDC4af31d0C9F62693c392BDb3F
#2: 0x908657B0339B600337ADe727Fd53Fd5050D64526
#3: 0x1728B329354ecC9Aa21a45FA50f1f76041A5e015
EC-거래소 11: OKEx User Wallets
#1: 0xaE2EB981093Ba63047384C83aaFeEe3cc589647C
#2: 0x7a5b874434f52324be09fdcE383e49141921f3FC
#3: 0x48411f166141dEfAF063C5Df0259C7eAfc9Fde8E
#4: 0xb5A122be082bd4B3bc74785357713392e0eaa6d2
#5: 0x9cb7b8749d77776dADb7ddc67e259a76AF72A898
#6: 0x1F772F301fA91e475a4c069B6F42D498a981bb42
EC-거래소 12: Upbit User Wallets
#1: 0x79C2e18125c7ed7267bd719B4467ff2b7a61969c
#2: 0xD4999e39D377eB130E1697D58f34EB871F38b5f0
#3: 0x04Ae6C78fCf0707C33C882f3940b19712a8d658E
#4: 0x438B1669dA15cF4813a152b51113610E6f16bDcA
#5: 0xaa1F74EF9DC35C7b6DE50972c8C55aeC52C14f2A
#6: 0x432033662Ee50251d934a31367A9473a4Af4A6Df
#7: 0x1836DB4ed50f36b5463B7880514459472Bd09733
EC-거래소 13: WhiteBIT User Wallets
#1: 0x49511C6D1A1Ae4123bA4ed0ABF46A557D747E4AF
#2: 0xEd74E00BA0f1236f13BcE2Ac626C72c43816a3b1
#3: 0xC350E8a67dB7D8c1Cfc0AE564b052EfF1A1156f4
#4: 0x38E73b184f22A01cA86bB43c13ea6a08b878eDe9
#5: 0x34241f4C8832f100987266738946B41cEE375D20
#6: 0xa7De17ec8f855035DBFEcD4CD4764f4a8c8ac90D
#7: 0x75B5E7D7181917Af3A1bCEa8900Fea4D5BBd9b3c
#8: 0x839DE8F71A13AFFa359787ac201F90057f54061e
#9: 0x9374b739Cf6F623a359cE4Cd922dC983015Aa853
#10: 0xe2073d8493bA9068a9BA618997ea2c6cCce152F7
#11: 0xE6C2643a7d5409027AA6B3C3300CCBE69A57cC85
#12: 0xeB9a0b67bB13982447a3975147f8974Ab747Be5a
#13: 0x3E86b5418E438eCA30Dd82fe4361ad740dF2566C
#14: 0xE92aFA2735d9E55B11581187b9A1B9B2925Eb139
#15: 0xCd667c8F134635F9Df9e67FF534b7D70987370Fa
#16: 0x3A58563C1266EE710Ed504CaE679cF0ED29a5807
#17: 0x204219000Ef86FE0268DF75ef70B45e5Ee79044C
#18: 0x2d27e47C22756ED19440D3e0090e70b5aa0e5437
#19: 0xb7FC204beAE85Df26b23ECD6B6af9c961b7c42eD
#20: 0xe0e7E0bbea799B9FbE92D878dD5aC7194a455856
#21: 0xe001E4238f6D5e47183Fea2cBC0673E725720D6C
#22: 0xb46597142522bf721e83e2D85B7b54F09Cb678Da
#23: 0x4719781fAE0a3A27B19c2DC50B1678845fc3Cdca
#24: 0x0092a68002f9F01599A49e9b8d1C8cf512871040
#25: 0x7dE4Cb773c3C44a1534e6a61B085A7Df7AE29D07
#26: 0x517505a1b5E4FB129E0cC842a731bCE433Bc2534
#27: 0x179850e20d23af4A04A6F761e5f655123f6137c8
#28: 0x6d1a4babdfDd53d78F16B844830d9ad13d5147Ed
#29: 0xFffe9eB0C00e48Ed24A86E0294AFAb118D214f8c
#30: 0x4e87435d3DcE46068f8B844f4195a6D68A1f9241
#31: 0xF70d34992EF477DF6A0C5E74b53BEa2bBe068B84
#32: 0xD2ffA6c0A68ce9D73809283DFdbb71e8e67eE590
BTC-거래소 1: Upbit
#1: 3Mptox8RPyC8x67gQCzxfs98ENqLGAMi8h
#2: 3F3oXPkBMgMxcKsySrue16ySmVsLJYV7zG
#3: 351yZhnPPbV8Y9C4NBaK1w4GSoRkUzUaU7
BTC-거래소 2: Huobi
#1: 1AmajNxtJyU7JjAuyiFFkqDaaxuYqkNSkF
BTC-지갑서비스업체: HaoBTC
#1: 32rtpdd4FMgc5pRWcx7KXEW2isKkGAncya
아시아 테크의 중심 싱가포르에 본사를 둔 웁살라시큐리티는 30여명의 숙련된 보안 전문가로 구성된 블록체인 사이버 보안 회사로, 한국과 일본에 지사를 두고 있습니다.
