라자루스 그룹, 또다시 공격: 솔라나에서 320만 달러 도난, 이더리움과 토네이도 캐시를 통해 자금 세탁

북한과 연계된 라자루스 그룹, 솔라나 강도 사건 후 암호화폐로 195만 달러 세탁

해커들이 320만 달러 상당의 디지털 자산을 빼돌려 암호화폐에서 가장 논란이 많은 프라이버시 도구 중 하나인 토네이도 캐시를 통해 자금을 이동시킨 후, 북한의 라자루스 그룹으로 추정되는 은밀한 암호화폐 도난 사건이 솔라나와 이더리움 생태계를 뒤흔들고 있습니다.

조직적인 공격으로 솔라나에서 이더리움으로 이동한 자금

2025년 5월 16일, 솔라나 네트워크의 지갑이 표적 침해로 인해 탈취당했습니다.

블록체인 분석가들은 "C4WY...e525"로 식별된 솔라나 주소에서 최초 유출이 발생했다고 밝혔습니다.

공격자들은 몇 시간 만에 훔친 자산을 유동성이 풍부하고 자산 스왑을 위한 다양한 툴셋으로 유명한 네트워크인 이더리움에 연결했습니다.

온체인 조사자 ZachXBT에 따르면, 이번 공격은 이전의 라자루스 관련 공격과 놀라울 정도로 유사하다고 합니다.

출처:ZachXBT의 조사

훔친 자금은 크로스 체인 브리지를 통해 신속하게 교환 및 이체되어 출처를 알 수 없는 흔적을 지워버렸습니다.

195만 달러의 흔적을 감추기 위해 사용된 토네이도 현금

공격자들은 이더리움에 접속한 후 익숙한 자금 세탁 프로세스를 시작했습니다.

6월 25일과 27일에 두 차례에 걸쳐 총 160만 달러에 달하는 400 ETH가 토네이도 캐시로 입금되었습니다.

이러한 거래는 라자루스의 전형적인 방식과 일치합니다. 큰 금액을 덩어리로 쪼개 프라이버시 믹서를 통해 이동시킨 후 탈중앙화 거래소에 흩어버리는 방식입니다.

오랫동안 높은 수준의 암호화폐 익스플로잇을 추적해 온 ZachXBT는 이 패턴을 일찍 발견했습니다.

그는 라자루스 그룹이 과거에 여러 차례 사용한 방법인 토네이도 캐시를 통해 자금을 연결하고, 더 작은 금액으로 나누고, 자금을 유입한 방법을 예로 들며 거래 패턴과 이전 해킹의 명백한 유사점을 지적했습니다.

2022년 이후 토네이도 캐시에 대한 제재에도 불구하고, 스마트 콘트랙트는 이더리움에서 계속 운영되고 있습니다.

2025년 1월 미국 항소법원이 언론의 자유 보호를 이유로 제재를 취소하는 판결을 내리면서 법 집행이 더욱 불투명해졌습니다.

이더리움에 여전히 보관 중인 미이동 자금

도난당한 약 125만 달러의 자금이 "0xa5...d528"이라고 표시된 이더리움 지갑에 사용되지 않은 채 남아 있습니다.

잔액은 이더리움과 다이로 보유되어 분석가들의 추측을 불러일으켰습니다.

일부에서는 이 돈이 탐지를 피하기 위해 의도적으로 휴면 상태로 두었다고 생각하지만, 다른 사람들은 새로운 세탁 단계를 통해 다시 활성화될 수 있다고 주장합니다.

당국과 블록체인 모니터링 도구는 이 주소를 계속 주시할 것으로 보이지만, 토네이도 캐시의 거래 내역 삭제 기능으로 인해 향후 대응이 복잡해질 수 있습니다.

암호화폐 최대 규모의 강도 사건의 상습 범죄자

라자루스 그룹은 오랫동안 고위험 사이버 범죄와 연관되어 왔습니다.

2022년 1억 달러 규모의 호라이즌 브리지 익스플로잇부터 올해 초 15억 달러 규모의 바이비트 유출 사건까지, 암호화폐 업계에서 가장 주목받는 도난 사건에서 이들의 지문이 발견되었습니다.

피싱이나 익스플로잇을 통해 지갑이나 스마트 컨트랙트를 침해하고, 빠르게 현금화하고, 블록체인을 통해 자금을 이동한 다음, 믹서나 비 KYC 거래소를 통해 자금을 정리하는 등 이들의 전술은 크게 변하지 않았습니다.

연구원들은 라자루스 그룹이 규정 준수 팀이 의심스러운 지갑을 동결할 수 있는 중앙 집중식 거래소를 피하는 경향이 있다고 지적합니다.

대신 탈중앙화 플랫폼과 크로스체인 브리지를 선호하며, 이를 통해 신원 확인 없이 자금을 자유롭게 이동할 수 있어 수사를 훨씬 더 어렵게 만듭니다.

암호화 인프라는 국가 지원 위협에 대비하고 있나요?

크로스체인 도구, 자동화된 브리지, 규제되지 않은 프라이버시 프로토콜에 대한 의존도가 높아지면서 자금력이 풍부한 해킹 그룹에게 효과적인 탈출구가 되고 있습니다.

제재, 감사, 업그레이드된 방어 체계에도 불구하고 동일한 취약점이 반복해서 악용될 때, 현재의 암호화 시스템이 전체 정권의 지원을 받는 위협을 처리할 만큼 충분히 탄력적인가라는 근본적인 질문이 제기됩니다.

믹서가 여전히 온라인 상태이고 크로스 체인 스왑이 대부분 보호되지 않은 상태에서 라자루스는 인프라의 허점을 노출하는 데 그치지 않고 국가 규모의 사이버 전쟁을 위해 구축된 적이 없는 시스템을 악용하고 있습니다.