래디언트: 전직 계약자로 위장한 북한의 5천만 달러 규모 해킹 사건

Stephen Katte, 코인텔레그래프 제공, Tao Zhu, Golden Finance 정리

래디언트 캐피털은 10월에 자사의 탈중앙화 금융(DeFi) 플랫폼인 이 이 5천만 달러 규모의 해킹을 당했으며, 해커들은 북한과 연계된 해커가 전직 계약자로 위장한 악성코드를 텔레그램을 통해 전송했다고 밝혔습니다.

래디언트는 12월 6일 조사 업데이트에서 자사와 계약한 사이버 보안 업체 맨디언트가 "북한과 연계된 위협 행위자가 공격을 수행했다는 높은 수준의 확신"을 평가했다고 밝혔습니다.

이 플랫폼은 9월 11일 래디언트의 개발자 중 한 명이 "신뢰할 수 있는 전 계약자"로부터 계획 중인 새 프로젝트에 대한 피드백을 요청하는 zip 파일이 포함된 텔레그램 메시지를 받았다고 밝혔습니다.

"검토 결과, 이 메시지는 전 계약자로 위장한 북한과 연계된 위협 행위자가 보낸 것으로 의심되었습니다."라고 말했습니다. "이 ZIP 파일을 다른 개발자들이 피드백을 위해 공유하면서 결국 멀웨어가 확산되었고, 이후 침입을 가능하게 했습니다."

10월 16일, 해커가 여러 서명자의 개인 키와 스마트 컨트랙트를 장악하여 디파이 플랫폼이 대출 마켓플레이스를 중단하는 사태가 발생했습니다. 북한 해커 그룹은 오랫동안 암호화폐 플랫폼을 표적으로 삼아 2017년부터 2023년까지 30억 달러 상당의 암호화폐를 탈취해 왔습니다.

출처:Radiant Capital

레이디언트는 "전문적인 환경에서 PDF 요청을 검토하는 것은 일상적인 일"이고 개발자들이 "종종 이 형식의 문서를 공유하기 때문에" 이 문서가 다른 의혹을 제기하지 않는다고 말했습니다.

이 ZIP 파일과 연결된 도메인은 또한 계약업체의 합법적인 사이트를 스푸핑했습니다.

공격이 진행되는 동안 여러 대의 Radiant 개발자 디바이스가 손상되었으며, 프런트엔드 인터페이스는 정상 거래에 대한 데이터를 표시하는 반면 악성 거래는 백그라운드에서 서명되었습니다.

"기존의 검사 및 시뮬레이션에서는 큰 차이가 나타나지 않아 정상적인 검토 단계에서는 위협이 거의 보이지 않았습니다."라고 덧붙였습니다.

"이러한 속임수는 매우 완벽하게 수행되기 때문에 Tenderly에서 거래를 에뮬레이션하고 페이로드 데이터를 검증하며 모든 단계에서 업계 표준 SOP를 따르는 등 Radiant의 표준 모범 사례를 사용하더라도 공격자는 여전히 여러 개발자 디바이스를 손상시킬 수 있습니다."라고 설명합니다. Radiant는 이렇게 썼습니다.

악의적인 해커 그룹이 사용할 수 있는 피싱 PDF의 예입니다. 출처: Radiant Capital

Radiant Capital은 이 사건을 일으킨 위협 행위자가 "UNC4736", 일명 "Citrine Sleet"으로 알려진 것으로 추정하고 있습니다. "UNC4736", 일명 "시트린 슬릿"으로 알려진 이 사건의 배후에 있는 위협 행위자는 북한의 주요 정보 기관인 정찰총국(RGB)과 연계되어 있으며 해킹 조직인 라자루스 그룹의 분파 조직으로 추정되고 있습니다.

해커들은 10월 24일 약 5,200만 달러의 훔친 자금을 이체했습니다.

"이 사건은 엄격한 SOP, 하드웨어 지갑, Tenderly와 같은 시뮬레이션 도구, 신중한 인적 검토조차도 매우 정교한 위협 행위자에 의해 우회될 수 있음을 보여줍니다."라고 Radiant Capital은 업데이트에서 썼습니다.

"잠재적으로 스푸핑될 수 있는 블라인드 서명과 프론트엔드 검증에 의존하려면 거래 페이로드를 디코딩하고 검증하는 보다 강력한 하드웨어 수준의 솔루션 개발이 필요합니다."라고 덧붙였습니다.

레이디언트가 올해 공격을 받은 것은 이번이 처음이 아닙니다. 이 플랫폼은 1월에 450만 달러 규모의 플래시 대출 유출로 인해 대출 마켓플레이스를 중단한 바 있습니다.

디피라마에 따르면 올해 두 차례의 취약점 공격 이후 래디언트의 총 고정 가치는 작년 말 3억 달러 이상에서 12월 9일 약 581만 달러로 크게 감소했습니다.