일본 리퀴드서 탈취된 3000억원 상당 코인, 유니스왑에서 자금세탁
지난 19일 리퀴드 3000원 상당 코인 도난
해커, 탈취한 코인 유니스왑 등에서 자금세탁
신종 자금세탁 '토네이도캐시'도 활용
탈취된 일부 암호화폐, 거래소로 이동 정황 확인
이 기사를 공유합니다
박근모
박근모 2021년 8월30일 21:15
출처=픽사베이
출처=픽사베이

일본 최대 암호화폐 거래소 리퀴드에서 도난당한 69종, 총 2억4400만달러(약 2900억원)에 달하는 암호화폐가 유니스왑과 토네이도캐시(Tornado Cash)에서 자금세탁이 이뤄지고 있는 것으로 나타났다.

지난 19일 리퀴드는 해커로부터 사이버공격을 받아 핫월릿에 보관 중인 암호화폐를 전량 도난 당했다.

당시 리퀴드가 공개한 해커의 지갑을 살펴보면 비트코인 약 107.4개, 이더리움 약 9500개를 비롯해 트론, 리플 등 리퀴드가 취급한 거의 대부분의 코인이 외부로 빠져나갔다.

블록체인 보안 업체인 웁살라시큐리티의 조사 결과, 리퀴드 해커의 초기 지갑은 '0x5578840AAe68682a9779623Fa9e8714802B59946'과 '0xEFB33ccafC98d5fDB27A6F5Ff17350CA76BF3b53'였다.

이들 지갑을 통해서 비트코인을 제외한 68개의 이더리움 기반 코인은 해커의 2차 지갑 25개로 쪼개져 이동됐다.

리퀴드가 공개한 정보를 바탕으로 웁살라시큐리티가 해커의 지갑을 추적한 결과, 당초 알려진 것보다 많은 암호화폐가 탈취된 것으로 나타났다.

사고 발생 직후에는 비트코인, 이더리움, 리플, 트론 정도가 탈취됐으며, 그 규모는 9000만달러(약 1060억원)으로 알려졌다.

하지만 리퀴드의 핫월릿을 기준으로 해커의 지갑으로 들어간 총 암호화폐는 69종에 달했다. 규모는 2억4400만달러로, 리퀴드의 핫월릿에 보관된 암호화폐 대부분이었다.

웁살라시큐리티의 패트릭 김(김형우) 대표는 "리퀴드 핫월릿의 취약점을 노린 공격 가능성이 높다"며 "일반적으로 해커는 비트코인, 이더리움을 비롯해 수량이 많거나 환전이 쉬운 코인을 노리는데 이번에는 그렇지 않았다"고 설명했다.

패트릭 김 대표의 설명처럼 해커가 탈취한 코인 면면을 보면, LPT(904개), MKR(4.8개), UNI(3646개) 등 핫월릿에 있었던 소량의 코인도 모두 가져갔다.

여기서 눈에 띄는 점은 톤(TON), 바이프로스트(BFC), 엠블(MVL), 고머니2(GOM2), 바스아이디(BAAS) 등 일명 '케이코인(K-코인)'도 모두 가져간 부분이다.

이들 코인은 취급하는 거래소가 비트코인, 이더리움에 비해 상대적으로 적어 현금으로 환전하기가 어렵다. 해커는 손쉬운 환전과 자금세탁이라는 두 마리 토끼를 잡기 위해 '유니스왑'을 활용했다.

웁살라시큐리티의 암호화폐 모니터링 서비스(CAMS)로 탈취된 암호화폐가 유니스왑에서 자금세탁이 이뤄지는 모습. 출처=웁살라시큐리티
웁살라시큐리티의 암호화폐 모니터링 서비스(CAMS)로 탈취된 암호화폐가 유니스왑에서 자금세탁이 이뤄지는 모습. 출처=웁살라시큐리티

유니스왑, 1인치, 스시스왑이 자금세탁 창구로 활용

웁살라시큐리티의 암호화폐 모니터링 솔루션 CAMS(Crypto Asset Monitor Service)으로 살펴보니, 해커는 리퀴드에서 탈취한 암호화폐를 유니스왑, 1인치, 스시스왑 등을 통해서 1차 자금세탁을 진행하고 있음을 알 수 있었다.

  • 해커 1: 0xFF0f573bdf4c23E41EA3ECD82efa66828706B711
  • 해커 2: 0xEC06A00Df7fe291c9F872449385BD593E38d8133
  • 해커 3: 0x262feb0550F3b6927ee5CBaa2fff77c1D270dbe
  • 해커 4: 0xD66D9EC7f0D89E0E6698953a7f44158552fbaf8f
  • 해커 5: 0xaf9bdc92c920415CBCB8572a2dCb8aaDE778312b
  • 해커 6: 0xC4Af9d67850eD5523b876B2276656170689162cE
  • 해커 7: 0x11cf04ee89C9EF56D9EF6126e914286770B8571f

웁살라시큐리티에 따르면 해커가 이를 위해서 사용한 지갑은 총 7개로, 비트코인과 이더리움을 제외한 나머지 암호화폐 대부분을 이더리움으로 전환했다.

해킹 사고 당일 리퀴드가 공개한 바에 따르면, 탈취된 이더리움은 총 9536개였으나, 이틀날인 20일 해커의 지갑에 보관 중인 이더리움은 1만4957개로 크게 늘었다.

패트릭 김 대표는 "해커가 유니스왑 등을 통해서 탈취한 암호화폐를 환전이 쉬운 이더리움으로 발 빠르게 교환하고 있었다"며 "최근 암호화폐 해킹 사고 사례를 보면, 유니스왑 등에서 훔친 코인을 다른 코인으로 손쉽게 바꾸는 1차 자금세탁이 늘고 있다"고 말했다.

 

1차 자금세탁에 추가 자금세탁까지

해커는 꼼꼼했다.

유니스왑 등을 통한 1차 자금세탁에 이어, 토네이도캐시라는 최근 등장한 자금세탁용 믹서 서비스도 활용했다.

토네이도캐시는 영지식 증명 알고리듬(zk-SNARKs)을 활용해, 입금자와 출금자의 연결고리를 익명화시킨다. 프라이버시코인, 다크코인으로 알려져 국내에서 퇴출된 지캐시(Zcash)에서 사용하는 방식인데, 최근에는 해당 알고리듬 부분만 따와 자금세탁에 이용되고 있다.

리퀴드 해커가 토네이도캐시에서 자금세탁하는 과정을 추적한 모습. 출처=웁살라시큐리티
리퀴드 해커가 토네이도캐시에서 자금세탁하는 과정을 추적한 모습. 출처=웁살라시큐리티

웁살라시큐리티에 따르면, 리퀴드 해커는 토네이도캐시를 통해 이더리움 약 9000개를 자금세탁했다.

이론상 토네이도캐시로 자금세탁을 하면, 더 이상 추적이 불가능하다. 웁살라시큐리티는 토네이도캐시로 자금세탁한 코인을 추적하기 위해 프로파일링과 통계 분석 기술을 활용했다.

예컨대 해커가 탈취한 암호화폐가 토네이도캐시에 들어간 시간, 수량 등을 기준으로 토네이도캐시에서 빠져나오는 암호화폐 정보를 모두 수집해 입금 전후의 코인이 동일 코인인지 분석하는 방식이다.

  • 토네이도캐시 1: 0x24D97E138AFb957eD2D752b93e48A6E00b4a6723
  • 토네이도캐시 2: 0xAb24a1990B94A4A01314f774bC55c747e6167805

이번 리퀴드 해킹에서도 웁살라시큐리티는 이 방법을 통해 해커가 토네이도캐시를 이용해 자금세탁한 암호화폐 지갑 2개에서 이더리움 9000여개를 추적할 수 있었다.

패트릭 김 대표는 "블록체인, 암호화폐에서 완벽한 자금세탁이라는 것은 없다"며 "거래소 등 가상자산사업자 간의 공조를 통해 투자자 보호에 앞장서야 한다"고 강조했다.

한편 웁살라시큐리티의 조사에 따르면 해커가 탈취한 암호화폐 중 일부는 이미 후오비, 빌락시, 바이낸스 등으로 이동됐으며, 이 사실을 확인한 거래소는 해당 지갑에서 암호화폐가 이동하지 못하게 잠겨둔 상태다.

*리퀴드에서 탈취 당한 암호화폐 (정리: 코인데스크 코리아)

종류 수량 시세(8월30일 기준 총액
1WO 422,234.47 0.0898 37916.65541
AAVE 226.12 354.65 80193.458
ALBT 1,864,427.82 0.929 1732053.445
AMLT 2,626,879.51 0.03 78806.3853
AMN 5,604,056.42 0.003 16812.16926
ANCT 10,096,863.10 0.786 7936134.397
BAAS 10,023,709.46 0.0036 36085.35406
BAT 4,465.33 0.8 3572.264
BFC 1,063,271.82 0.42 446574.1644
BIFI 142,993.29 1038.74 148532850.1
BTC 107.4 48021 5157455.4
CEL 804,775.54 5.62 4522838.535
COT 43,179,685.23 0.000074 3195.296707
CRPT 416,030.51 0.186 77381.67486
DAI 156,458.44 1 156458.44
DENT 7,827,882.54 0.006 46967.29524
DREAM 41,189.77 0.013 535.46701
ENJ 54,750.41 2.18 119355.8938
ETH 9,536.13 3169 30219995.97
EWT 483,158.00 10.4 5024843.2
FLIXX 3,951,233.43 0.044 173854.2709
FLP 1,981,736.75 0.013 25762.57775
FSN 90,579.41 0.52 47101.2932
FTX 1,219,995.16 0.011 13419.94676
GET 190,806.41 3.71 707891.7811
GOM2 1,635,175.00 0.0099 16188.2325
GYEN 61,261,530.21 0.009 551353.7719
GZE 760,511.43 0.035 26617.90005
IDRT 1,604,850,918.37 0.00007 112339.5643
ILK 100,191,837.81 0.016 1603069.405
IND 818,199.76 0.021 17182.19496
KRL 2,127,152.44 0.283 601984.1405
LCX 44,147,506.05 0.039 1721752.736
LINK 12,978.05 24.9 323153.445
LND 3,216,461.32 0.0072 23158.5215
LPT 904.4 19.4 17545.36
LTX 217,757.60 1.76 383253.376
MCO 1,373.10 9.7 13319.07
MITX 2,103,607.28 0.043 90455.11304
MKR 4.88 3377 16479.76
MTN 1,269,920.54 0.01 12699.2054
MVL 4,392,174.87 0.016 70274.79792
NII 40,561,885.60 0.006 243371.3136
ONG 452,195.30 1.1 497414.83
PPP 1,398,803.82 0.019 26577.27258
QASH 1,829,927.49 0.072 131754.7793
QBZ 5,158,115.56 0.0058 29917.07025
REN 22,788.62 0.659 15017.70058
RFOX 44,379,216.85 0.072 3195303.613
ROOBEE 6,148,058.40 0.005 30740.292
RSR 5,642,243.30 0.048 270827.6784
RSV 81,470.73 1 81470.73
SAND 1,773,946.06 1 1773946.06
SNX 44,568.25 11.28 502729.86
SPDR 3,009,229.82 0.0095 28587.68329
TON 19,125.99 8.5 162570.915
TRX 2,600,933.17 0.086 223680.2526
UBT 288,435.82 2.96 853770.0272
UNI 3,646.15 26 94799.9
USDC 2,408,963.25 1 2408963.25
USDT 5,258,223.01 1 5258223.01
VI 256,230.48 0.025 6405.762
VIDY 25,496,397.94 0.002 50992.79588
WABI 149,216.96 0.25 37304.24
WOM 182,020.00 0.157 28577.14
XNO 49,192,867.48 0.095 4673322.411
XRP 10,912,233.00 1.13 12330823.29
XSGD 639,843.46 0.746 477323.2212
ZUSD 299,805.48 0.73 218858.0004
    합계 244452155.1

 

제보, 보도자료는 contact@coindeskkorea.com



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.