메뉴 검색
Top
메뉴 닫기

주소를 선택 후 복사하여 사용하세요.

뒤로가기 새로고침 홈으로가기 링크복사 앞으로가기
[마켓+](분석) 업비트 해킹ㅡ탈취된 이더리움은 어떤 거래소로 흘러 들어 갔나? -웁살라시큐리티 도노반 탄(Donovan Tan) 사이버 보안 연구원 2019-12-13
블록타임스TV닷컴 허창우 기자 press88only@daum.net [작성자]


▲ 사진=웁살라시큐리티



[마켓+](분석) 업비트 해킹ㅡ탈취된 이더리움은 어떤 거래소로 흘러 들어 갔나? -웁살라시큐리티 도노반 탄(Donovan Tan) 사이버 보안 연구원  


업비트의 핫 월렛(0x5e032243d507c743b061ef021e2ec7fcc6d3ab89)에서 정체불명의 수상한 지갑(0xa09871aeadf4994ca12f5c0b6056bbd1d343c029)으로 34만 2000 ETH가 이동되었다. 업비트는 공식 홈페이에서 이 거래가 비정상적이고 허가되지 않은 거래임을 인정함으로써, 이는 절도 행위로 분류되었다.


해킹 사건 이후, 우리 웁살라 시큐리티 팀은 해당 혐의사건을 조사, 탈취 자금이 송금된 암호화폐 거래소의 지갑을 확인하였다. 이러한 사건을 접하게 되면 웁살라 시큐리티팀은 신속히 거래소 지갑을 식별하고, 영향을 받은 거래소를 확인한 후, 사법당국과 거래소의 공조를 통해 적시에 개입 하여 도난당한 자금에 대한 통제력을 회복할 수 있도록 지원을 한다.


처음에는 해커가 거래를 많이 하지 않았기 때문에 식별 과정이 간단했다. 해커는 해킹 직후 바이낸스(Binance) 와 후오비(Huobi) 같은 거래소에 소량의 탈취 ETH를 보냈는데, 아마도 현금화하기 위해 테스트 송금을 했을 수 있다. 그러나, 며칠 새 상황은 크게 바뀌었다. 마치 해커가 수사관들의 추적을 떨쳐내려는 듯 탈취된 자금은 순식간에 많은 지갑으로 퍼져 나갔다.


다행이도, 웁살라시큐리티의 암호화폐 추적 보안 툴인 Crypto Analysis Transaction Visualization(CATV) 덕분에 우리는 도난당한 자금의 복잡한 거래 흐름을 쉽게 파악할 수 있었고, 신속하게 조사를 수행할 수 있게 되었다. 거래 흐름에 관여하는 지갑이 상당히 많음에도 불구하고, 우리는 자사의 위협 평판 데이터베이스 (Threat Reputation Database, TRDB)에 저장된 광범위한 위협 데이터들을 기반으로, 컬러 코딩된 노드를 사용해 수사망를 좁힐 수 있었다.


예컨데, 데이터 베이스(TRDB)상에 ‘거래소’로 주석이 달려 저장된 지갑주소는 핑크(보라색에 가깝다)노드로 색상이 코드화 되어 있다. 반면, 과거 사기 및 범죄 사건 등에 연루된 것으로 확인돼 TRDB에 블랙리스트로 등록된 지갑들은 빨간색으로 보인다.


첫번째 조사: 러시아 거래소 60cek, Huobi, 그리고 Binance 지갑들


CATV의 도움으로 우리는 해커가 러시아 거래소인 60cek를 사용하고 있다는 것을 발견했다. 위의 스크린샷에서 보듯, 업비트 해커 7.3(0xe5fe63-가장 좌측 지갑)로부터 자금을 받은 업비트 해커 8.3(0xAD00F)은 여러 다른 주소로 송금을 했다. 이들 중 5개의(동그라미로 표시된) 주소들은 차례로 60cek의 지갑(0x69ffe5)에 자금을 보냈고, 해당 자금은 이후 두 개의 Binance 사용자 지갑(0xd8ce1 및 0xaf486)에 보내졌다. 탈취된 자금은 60cek 거래소를 거쳐 Binance 사용자의 지갑 2개에 송금되었고, 나머지 Binance 지갑(0x742e92)은, 업비트 해커 8.3에서 미확인 지갑 2개을 거쳐 자금을 받게 된다. 이 3개의 Binance 사용자 지갑에서 나온 자금은 이후 Binance 핫 월렛(0x3f5ce5)으로 모여 흘러 들어간다.


또한 Upbit Hacker 8.3에서 흘러 나간 탈취자금은, 60cek와 Binance 외에, 미확인 지갑 2개를 통과한 후 Huobi 사용자 지갑(0xad5177)에 들어갔다.


두번째 조사: 7개의 바이낸스 사용자 지갑으로 들어간 더 많은 탈취 자금들


CATV 자금 흐름도에서 보듯, 확인된 해커의 지갑 0x82F4d(이더스캔 상에 업비트 해커 7.5로 표기됨)에서 총 7개 주소에 자금을 보냈는데, 이후 모두 Binance의 사용자 지갑으로 확인되었다. 이 7개의 사용자 지갑은 입금된 ETH를 Binance의 핫 월렛으로(0x3f5CE)으로 송금을 진행했고 각각의 거래 금액은 약 20 ETH 정도 (한화 약 350만원)로 확인된다.

Block& Trend

Block& Interview

Block& Information

Popular articles