Beosin: 최고의 해커들이 암호화폐를 훔치고 세탁하는 방법

저자: 버신

올해 3월에 발생한 2억 달러에 가까운 금액을 아직도 기억하고 계시는지 모르겠습니다.Euler Finance공격 이벤트.

Euler Labs와 공격자 간의 몇 차례의 협상 끝에 공격자는 프로토콜에서 훔친 모든 자금을 반환했습니다.

처음에 Euler Finance 공격자는 대중을 혼란시키기 위해 100 ETH를 국가 수준의 백그라운드 해커 조직(Ronin 보안 사건의 해커이기도 함)에 전송했습니다. 그 후 해커 그룹은 Euler의 공격자에게 온체인 알림을 보내 암호화된 메시지를 해독하도록 요청했습니다.

이 공지가 포함된 트랜잭션에서 국가 지원 해킹 그룹은 오일러 공격자에게 2 ETH를 보냈습니다.그러나 전문가들은 이 메시지가 Euler의 공격자의 지갑에 대한 개인 키를 훔치려는 피싱 사기라고 말합니다.

전형적인 "흑인을 먹는 흑인"입니까? 이해된다국가 지원 해킹 그룹은 오랫동안 암호화폐 비즈니스에 대한 사이버 공격을 수행해 왔으며 사이버 공격을 수행하고 도난당한 자금을 세탁하기 위해 여러 전문 팀을 구성했습니다.

오늘 우리는 결합Beosin KYT자금 세탁 방지 및 분석 플랫폼, 이 국가 수준의 해커는 어떻게 암호 화폐를 공격하고 청소합니까?

이미지 설명

이미지 출처 etda.or.th

최근 해외 정보기관이 암호화폐 공격을 포함한 국가 차원의 백그라운드 해커 조직(이하 해커 조직)의 공격 활동을 분석한 바 있다. 연구원에 따르면 해커 그룹은 피싱 기법을 사용하여 대상을 감염시킨 다음 대규모 암호 화폐 전송을 가로채고 받는 사람 주소를 변경하고 전송 금액을 최대 금액으로 푸시하여 단일 트랜잭션에서 계정 자금을 고갈시키려고 합니다.

당신의 암호화폐는 어떻게 해킹당했나요?

작살 이메일을 미끼로 사용

해커 그룹은 가짜 또는 기만적인 페르소나의 스피어 피싱 이메일을 사용하여 대상에 더 가까이 다가가며 가짜 로그인 페이지가 포함된 사이트에서 피해자를 속여 계정 자격 증명을 입력하도록 합니다.

이미지 설명

소스 카스퍼스키

악성 안드로이드 앱 훔치기

외국 정보 회사는 암호화폐 대출을 받으려는 중국 사용자를 대상으로 악의적인 Android 앱을 사용하는 해킹 그룹을 관찰했습니다. 이 앱과 관련 도메인은 잠재적으로 사용자 자격 증명을 수집합니다.

해커 그룹은 심지어 가짜 암호화폐 소프트웨어 개발 회사를 설립하여 피해자가 업데이트되면 백도어를 설치하는 합법적인 것처럼 보이는 앱을 설치하도록 속일 것입니다.

전문가들은 해커 그룹이 새로운 Visual Basic Script, 숨겨진 Windows 배치 파일 및 Windows 실행 파일과 같은 이전에 사용되지 않은 파일 형식으로 피해자를 감염시키는 등 새로운 악성 코드 전달 방법을 현재 적극적으로 테스트하고 있다고 생각합니다.

메타마스크 플러그인 교체

해커 조직이 사용자의 호스트에 액세스하면 몇 주 또는 몇 달 동안 사용자를 모니터링하여 키로거를 수집하고 사용자의 일상적인 작업을 모니터링합니다.

해커 그룹은 대상 사용자가 브라우저 확장 지갑(예: Metamask)을 사용하는 것을 발견하면 확장 소스를 웹 스토어에서 로컬 스토리지로 변경하고 핵심 확장 구성 요소(backgorund.js)를 변조된 버전으로 교체합니다.

이미지 설명

소스 카스퍼스키

이미지 설명

소스 카스퍼스키

이 경우 해커는 특정 발신자와 수신자 주소 간의 트랜잭션 모니터링을 설정합니다. 이는 대규모 이체가 감지되면 알림을 트리거하고 자금을 훔칩니다.

이미지 설명

소스 카스퍼스키

만일을 대비하여 브라우저가 개발자 모드를 선택하는지 여부에주의하십시오 개발자 모드를 사용하는 경우 중요한 확장이 온라인 상점에서 제공되는지 확인하십시오.

사회 공학 공격

베오신 보안 연구팀은 또한 해킹 그룹이 거래 플랫폼 위조, 사기성 이메일 전송 등 사회공학적 방법을 사용하여 사용자를 속여 자신의 계정으로 암호화폐를 전송하도록 할 수 있음을 발견했습니다.

위조 거래 플랫폼: 잘 알려진 암호화폐 거래 플랫폼인 것처럼 가장하여 사용자가 가짜 웹사이트 또는 애플리케이션을 통해 계정 정보를 입력하도록 속여 사용자의 자산을 훔칩니다.

자금 사기: 허위 암호화폐 자금을 생성하고, 사용자에게 높은 수익을 약속하고, 사용자에게 투자를 유도한 다음 사용자의 자금을 다른 계정으로 이체하고 자금을 폐쇄합니다.

소셜 미디어 사기: Twitter, Telegram, Reddit 등과 같은 소셜 미디어 플랫폼을 사용하여 암호화폐 거래 전문가 또는 투자자인 것처럼 가장하고 허위 투자 조언 또는 가격 분석을 게시하고 사용자가 투자하도록 유인하여 자금을 사취합니다.

추가 정보:암호화 빅브이는 트로이 목마 바이러스를 만나 그의 지갑에서 많은 자산을 도난당했는데, 그것이 우리에게 주는 깨달음은 무엇일까요?

해커는 어떻게 암호화폐를 세탁합니까?

믹서로 청소

또한 해커 조직은 이더리움 블록체인에서 가장 인기 있는 혼합기인 Tornado Cash를 사용하여 자금을 이체합니다.

이미지 설명

이미지 설명

Beosin KYT Hacker 조직 주소 자금 흐름도

그래서, 토네이도 현금은 무엇입니까?

Tornado Cash는 사용자에게 완전히 익명의 암호 화폐 거래를 제공하도록 설계된 Ethereum의 개인 정보 보호 프로토콜입니다. zk-SNARK(Zero-Knowledge Proof) 기술을 기반으로 사용자가 개인 정보를 노출하지 않고 거래를 수행할 수 있도록 하여 개인 정보를 보호합니다.

Tornado Cash는 사용자의 토큰을 함께 혼합하여 추적할 수 없도록 만듭니다. 사용자는 먼저 스마트 계약에 토큰을 보낸 다음 해당 토큰을 다른 사용자의 토큰과 혼합합니다. 혼합이 완료된 후 사용자는 스마트 계약에서 동일한 양의 토큰을 인출할 수 있지만 이러한 토큰은 혼합되어 원래 전송된 토큰에 연결할 수 없습니다.

Tornado Cash는 Ethereum(ETH) 및 ERC-20 토큰을 지원하며 사용자는 거래를 위해 다른 "혼합 풀"을 선택할 수 있습니다. 또한 Tornado Cash는 완전히 익명의 토큰을 다른 사람에게 보내는 데 사용할 수 있으므로 개인 정보 보호를 위한 중요한 도구입니다.

Tornado Cash는 익명성이 아닌 개인 정보 보호만 제공한다는 점에 유의하는 것이 중요합니다. 사용자는 자신의 신원이 다른 수단에 의해 추적되지 않도록 적절한 조치를 취해야 합니다. 또한 Tornado Cash를 사용하려면 특정 거래 수수료를 지불해야 하며 이는 일반 거래 수수료보다 높을 수 있습니다.

또한 일반적인 코인 믹서에는 다음이 포함됩니다.

Blender.io: Blender는 비트코인 ​​블록체인에서 실행되는 2017년에 설립된 가상 통화 믹서이며 미국 재무부의 승인을 받은 최초의 믹서입니다.

CoinMixer: 2017년부터 존재했으며 현재 정부 제재 대상이 아닌 오래된 비트코인 ​​통화 혼합 프로토콜입니다.

ChipMixer: 베트남 운영자가 제공하는 다크웹 암호화폐 믹서로 2017년부터 30억 달러 이상의 암호화폐를 세탁했습니다. 웹사이트와 백엔드 서버는 2023년 3월 15일 연방 경찰에 의해 압수되었습니다.

움브라(Umbra): 움브라는 사용자가 이더리움에서 비공개로 돈을 이체할 수 있게 해주는 프로토콜로 송금인과 지불인만이 누가 송금을 받았는지 알 수 있다는 특징이 있다.

CoinJoin: CoinJoin은 비트코인(BTC) 및 비트코인 ​​캐시(BCH)용으로 개발된 가장 오래된 믹서 중 하나입니다.

전문 통화 혼합기 외에도 FixedFloat, sideshift 및 ChangeNow와 같은 분산형 거래소를 사용하여 가상 통화를 교환하는 것도 자금 세탁의 목적을 달성할 수 있습니다.

해시 전력 임대 또는 클라우드 마이닝 서비스를 통한 청소

해킹 그룹은 암호화폐 서비스를 사용하여 도메인 주소 구매 및 서비스 비용 지불을 포함하여 훔친 자금을 세탁했을 뿐만 아니라 해시 파워 임대 및 클라우드 마이닝 서비스를 사용하여 도난당한 암호화폐를 깨끗한 암호화폐로 세탁했습니다.

해커는 훔친 비트코인을 사용하여 Namecheap 서비스 비용을 지불합니다(출처: Mandiant).

이미지 설명

해커 조직은 해시 파워 렌탈 서비스를 통해 돈을 세탁합니다(출처 Mandiant).

다크넷 시장을 통한 청소

다크넷 시장의 암호화폐 거래소는 해킹 그룹이 자금 세탁을 위해 사용할 수 있습니다. 이러한 시장은 해커가 더러운 돈을 일회용 자금으로 바꾸기 위해 거래할 수 있는 익명의 거래를 허용합니다.

해커가 다크넷 시장을 이용해 암호화폐를 세탁하는 과정은 크게 다음과 같은 단계로 나눌 수 있습니다.

1. 다크넷 시장에서 구매자 찾기: 해커는 다크넷 시장에서 암호화폐를 구매하려는 구매자를 찾습니다. 이러한 시장에는 익명 거래를 위한 많은 도구와 서비스가 있어 해커가 발각될 위험을 줄이면서 거래를 더 쉽게 수행할 수 있습니다.

2. 세탁 가능한 암호화폐: 해커는 거래 추적 위험을 줄이면서 거래 시점에 신속하게 자금을 이동할 준비가 된 불법 활동에서 얻은 암호화폐를 가지고 있어야 합니다.

3. 거래 완료: 해커는 다크웹 시장의 익명 거래 도구 및 서비스를 통해 거래를 완료하고 암호화폐를 구매자 주소로 전송합니다. 이러한 거래에는 여러 암호화폐 및 지불 방법이 포함될 수 있습니다.

4. 세탁된 수익금을 합법적인 채널로 이전: 해커는 다크넷 시장에서 얻은 암호화폐를 합법적인 채널로 이전하여 일상 생활과 비즈니스 활동에 사용할 수 있도록 해야 합니다. 여기에는 암호화폐를 명목 화폐로 전환하거나 다른 법적 자산에 투자하는 것이 포함될 수 있습니다.

프록시 계정으로 청소

해커 그룹은 추적을 피하기 위해 프록시 계정을 사용할 수 있습니다. 이러한 대행사 계정은 해외 동료 또는 해외 학생이 보유할 수 있습니다.

다음은 가능한 프록시 계정 자금 세탁 기술입니다.

다른 사람의 계좌 통제를 통한 자금 세탁: 정부 또는 그 대리인은 자금 세탁을 위해 다른 사람의 은행 계좌를 통제할 수 있습니다. 이러한 제어 계정은 해외 동포 또는 밀접하게 관련된 개인 계정일 수 있습니다.

기성 프록시 계정 구매: 또 다른 가능성은 기존 프록시 계정을 구매하는 것입니다. 이러한 계정은 해외 제휴사 또는 해외 대리인이 만들고 보유할 수 있습니다.

가짜 회사 및 계정 생성: 가짜 회사 및 계정은 돈세탁을 위한 프록시 계정으로 만들어지고 사용될 수 있습니다. 이러한 전술에는 일반적으로 감독과 조사를 피하기 위해 허위 신원, 주소 및 연락처 정보가 포함됩니다.