암호화폐 이상거래 보고서 3 : 코인베네 해커의 자금세탁 흐름 분석

안녕하세요, 수호 데이터 분석가 마라입니다.

지난 19년 3월 싱가포르의 암호화폐 거래소인 코인베네(Coinbene)에서 해킹 사건이 발생하여 대량의 암호화폐가 탈취되는 사건이 있었습니다. 해당 암호화폐는 대부분 이더리움 베이스의 ERC 20 토큰이었습니다. 해당 토큰은 그 직후 출금되어 중국계 거래소 후오비(Huobi)와 탈중앙화 거래소인 이더델타(EtherDelta)로 흘러들어갔습니다.

그런데 그 이후 이더델타에서 다시 코인베네 해커의 계좌 등으로 이더가 보내진 정황이 발견 되었습니다. 이더 델타에서 이더 형태로 출금한 자금은 약 10,817 ETH 이상인 것으로 확인되며, 자금 세탁 과정을 거쳐 러시아의 거래소 요빗으로 계속해서 유입되고 있는 것으로 확인됩니다. 현재 가장 마지막으로 요빗으로 흘러든 시점은 지난 11월 16일이며, 아직 3000 ETH 가량 남아있는 상태입니다.

아래의 그림은 코인베네 해커의 자금이 어떻게 이동 하였는지 그 흐름을 요약 및 도식화 한 것입니다.

그림1. 자금 흐름 도식화

• 빨간 선: 토큰 흐름
• 검은 선: 이더 흐름

주요 금액

• 코인베네에서 탈취된 금액 : 암호화폐 107종, 총 한화 58억원 규모
• 이더 델타에서 코인베네 해커 관련 지갑으로 보내진 이더 : 10,817 ETH
• 요빗으로 흘러들어간 금액 : 8,740 ETH
• 빨간색 지갑 주소에 예치된 금액 : 3,030.5925156861 ETH

자금 이동 과정

구체적인 자금 이동 과정은 다음과 같습니다.

• 지난 3월 25일 코인베네에서 탈취된 자금은 암호화폐 107종, 총 한화 58억원 규모였습니다.
• 해킹된 자금은 해커의 지갑에서 하루 뒤인 3월 26일부터 후오비와 이더델타 지갑으로 출금되었습니다.
• 이중 이더델타로 토큰을 입금하였던 지갑으로부터 이더들이 출금되어 0x6bbd2c904161f0d09f27a5abe42ce47997e0e2fe 지갑으로 모였습니다. 금액은 총 10,817 ETH 규모였습니다.
• 이후 0x6bbd2c904161f0d09f27a5abe42ce47997e0e2fe 로 보내진 이더는 지난 9월 20일 0x1cab134c69a361d880a33eb98237b5557ad4cd26 로 보내진 후 곧바로 요빗으로 총 26번은 트랜잭션을 통해 약 6,800 ETH 가량이 흘러들어갔습니다. 남은 4,000 ETH 가량은 다시 0x43b69c2927e53f8cccdcb2bbb73bf637215405c7 지갑으로 보내졌습니다.
• 이후 11월에도 요빗으로 세탁 자금의 일부를 입금하고 나머지 자금은 다시 다른 계좌로 송금하며, 천천히 요빗으로 으로 자금을 흘러 보내는 행위를 두차례 이상 반복하였습니다.
• 최종적으로 아직 거래소로 흘러 들지 않고 고여있는 자금은 3030 ETH 가량이며 지난 11월 17일에 0x698a98afbca7423b413b5f0f7efabbb08a773767 지갑으로 보내져 현재까지 보관되고 있습니다.
• 이 외에 11월 16일에 해커의 계정에서 약 55 ETH 가량이 바이낸스 거래소로 흘러들어갔습니다. 이후 28분 후에 바이낸스의 지갑에서 자금 세탁 계정 중 하나인 0x8d419c8b98885a899844dc74f0213431a620be2c 로 약 53 ETH가 출금된 기록이 있어, 해당 자금이 그대로 다시 출금 되었을 가능성이 존재합니다.

따라서 각 거래소는 조속히 아래의 지갑 주소들을 블랙리스트로 등록하는 등 조치가 이루어져 할 것으로 보입니다.

지갑 목록

1. 코인베네 해커의 주소

• 0xb3df999c5dc026dea265aeb02b8519844c9b6d5e

2. 요빗 관련 지갑 주소

• 0xfe51c743cc2bd9546b4fdfba6478c229229c5ad0
• 0xdbe9dfaf4a94da4cdc9da677048c2d5ae6cd401a
• 0xdbe9dfaf4a94da4cdc9da677048c2d5ae6cd401a
• 0x6709b9bba3eafdb5dd7d3d0cc3a1d5178a77bacf
• 0x2521b8f714bf17baf3d7462ed86544c8592638b5
• 0xe83031ff3ff1f8b6e12fb80566a489ffc93392af
• 0x8c67d5ad5b9f28bc6cb31c81afc4fcf5cbb9609c
• 0x8c3d690ed8289358b837366250ea4aea80f9e129
• 0x82e047410fc84f904261a993333209f01dc952ba
• 0xa95527fb3a5473adf67c5ffbd514191d504cf76c
• 0x8d797502dd801b7ebddbe9180d29ba7fc9607012
• 0x45f951ae837823ab4fcac62391418bce4bcdc16b
• 0x42aaba73a577a1a3a2bde883b77ad4b972e6852d

3. 이더델타 관련 지갑 주소

• 0x6ec8572dac56c5a400cf2a94eb629b3eae029550
• 0xc7124291ddbef24f800e90b8476e03284ad18757
• 0x8173e3d5bb53a9e869307e0e19b6a4b4927bfb1b
• 0xba351e7f0c630b3baa30a0ff38f6f4a333ef2133
• 0x3d2b314516a614c821e586fb0ea4e645c66ede4e

4. 후오비 관련 지갑 주소

• 0x712ae2390e296311d69fcd143a2ad2117a7ca997

5. 바이낸스 관련 지갑 주소

• 0xd9ee699014aefd7084033255af0cab02367c5b70

6. 지속적인 모니터링이 필요한 지갑 주소

• 0x698a98afbca7423b413b5f0f7efabbb08a773767

7. 이외 이번 자금 세탁 과정에 참여한 지갑 주소

• 0x652fcc141c14fb95e3160b49e94dd868b6d2cd9e
• 0x84b60e8265d1a7c51592cd017e830357f644c7df
• 0x1be8ff95af0a819a7cb2494739b9903145c46d31
• 0x9664c954933bebbe320a24221b75d1efce058020
• 0x1f67836a991cd319db778b80806071eb05b42b4b
• 0x257dab66a7afe1a694676838695c7af644728b56
• 0x1c0f883fc1fb85bb10655f1a63d947fca49a46d1
• 0x9f2da349b5cfba583f70d2e03c60397bc92f49b9
• 0x8d419c8b98885a899844dc74f0213431a620be2c
• 0xe0071cbf23231b60c43051407a6029a37ba946f5
• 0xd59688b87e56621696f5bc994e91f027883c60f8
• 0x4fa909ccde53d08bdeaef158a1726d4d16d42110
• 0x17989484435e3ec07a0364189f6095d13f05b3f4
• 0x43b69c2927e53f8cccdcb2bbb73bf637215405c7
• 0x1cab134c69a361d880a33eb98237b5557ad4cd26
• 0x6bbd2c904161f0d09f27a5abe42ce47997e0e2fe
• 0x5af89ddde021869679530dc77ceb5cdb72f7d5e0
• 0xff74e337fd08960843d94e08771cc1d2cda2ecb1
• 0xee278bea06d3be84f69ae2dd15a77fbdcb27bd86
• 0x8db0620362b5a83ff77734831ded9f2d25f949f3
• 0xd1917932a7db6af687b523d5db5d7f5c2734763f
• 0xeefe879ca85b53ae6f48ba5f0bf4a74a841d83d1
• 0xcc1966c28d2bd35a99aa6b674937c33af2608fdc

감사합니다.

이외에도 암호화폐 거래 분석이 필요하시면 언제든 편하게 연락 주세요. (contact@sooho.io)