샤크팀: 2023년 암호화폐 범죄 분석 보고서

출처: SharkTeam

2023년 웹3.0 업계는 2022년 대비 50% 이상 증가한 940건 이상의 크고 작은 보안 사고를 경험했으며 피해액은 17억 9천만 달러에 달했습니다. . 이 중 3분기에 가장 많은 보안 사고(360건)와 가장 큰 손실(7억 4천만 달러)이 발생했으며, 2022년 대비 47% 증가한 손실액을 기록했습니다. 특히 7월에는 187건의 보안 사고가 발생하여 3억 5,000만 달러의 손실이 발생했습니다.

그림: 웹 3 2023 분기별/월별 보안 사고

그림: Web 3 2023년 분기별/월별 보안 사고 손실액(백만 달러)

첫째, 해킹은 계속해서 막대한 손실을 초래하는 주요 원인입니다. 2023년 한 해 동안 해킹으로 인한 사고는 216건이 발생하여 10억 6천만 달러의 손실이 기록되었습니다. 계약 취약점, 개인 키 도난, 피싱 공격, 국가 해킹은 여전히 웹 3.0 생태계의 보안에 중대한 위협으로 남아 있습니다.

둘째, 러그풀 및 머니부커스 사기가 높은 추세로 2023년에 총 250건의 러그풀 및 스캠 사기 사건이 발생했으며, BNBChain에서 가장 높은 빈도로 발생했습니다. 사기 프로젝트는 겉으로 보기에 매력적인 암호화폐 프로젝트를 게시하여 투자자의 참여를 유도한 다음, 충분한 자금이 모이면 갑자기 모든 자금을 빼돌려 자산을 이전합니다. 이러한 유형의 사기는 투자자에게 심각한 금전적 손실을 초래할 수 있으며, 투자자가 올바른 프로젝트를 선택하기 어렵게 만듭니다.

또한 랜섬웨어가 몸값을 받기 위해 락빗, 콘티, 선크립트, 몬티와 같은 암호화폐를 사용하는 추세입니다. 암호화폐는 법정화폐보다 추적하기 어렵기 때문에 온체인 분석 도구를 사용하여 랜섬웨어 그룹의 신원을 파악하고 추적하는 것이 점점 더 중요해지고 있습니다.

마지막으로, 암호화폐 해킹과 사기성 몸값 요구와 같은 범죄 활동에서 범죄자들은 보통 암호화폐를 획득한 후 온체인 자금 이체와 장외거래를 통해 자금 세탁을 합니다. 자금 세탁은 일반적으로 탈중앙화 및 중앙화 방식이 혼합된 방식으로 이루어지며, 중앙화된 거래소가 자금 세탁이 가장 집중적으로 이루어지는 곳이고, 그다음으로 온체인 코인 믹싱 플랫폼이 그 뒤를 잇습니다.

2023년은 웹3.0 규제가 크게 발전하는 해로, FTX 2.0 재출시, 코인시큐리티에 대한 제재, 하마스 등의 주소 차단, 2024년 1월 SEC의 비트코인 현물 ETF 통과 등 웹3.0 개발에 대한 규제 당국의 관여가 심화되는 것을 보여주는 획기적인 사건들이 있습니다. .

이 보고서는 2023년 웹3 해킹, 러그풀 사기, 랜섬웨어, 암호화폐 자금세탁, 웹3 규제 등 주요 주제를 체계적으로 분석하여 암호화폐 산업 발전의 보안 역학 관계를 파악할 것입니다.

I. 계약 취약점

계약 취약점 공격은 주로 이더에서 발생했으며, 2023년 하반기에 이더에서 총 36건의 계약 취약점 공격이 발생해 2억 달러 이상의 손실이 발생했고, 그 다음으로 비즈니스 로직 취약점과 플래시 크레딧 공격을 통한 공격이 가장 빈번하게 발생했습니다.

그림: 2023년 웹 3.0의 분기별 해킹 사고 및 손실(백만 달러 단위)

그림: Web 3 2023H2의 월별 계약 취약점 익스플로잇 해킹 사고 건수 및 손실 금액

그림: Web 3 2023H2의 여러 체인에서 월별 계약 취약점 익스플로잇 건수 및 손실 금액

그림: 웹 3 2023 하반기 계약 취약점 익스플로잇 특정 공격 발생 건수 및 손실액

전형적 인시던트 분석: Vyper 취약점으로 인해 Curve, JPEG'd 및 기타 프로젝트에 대한 공격이 발생했습니다

공격을 받은 프로젝트의 예로 JPEG'd를 들자면:

공격자 주소: 0x6ec21d1868743a44318c3c259a6d4953f9978538

Attacker Contract: 0x9420F8821aB4609Ad9FA514f8D2F5344C3c0A6Ab

Attack Transaction:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1) 공격자(0x6ec21d18)가 라이트닝 대출을 통해 [밸런서: 금고]에서 80,000 WETH를 빌리기 위해 컨트랙트 0x466B85B4를 생성합니다.

(2) 공격자( 0x6ec21d18)는 40,000 WETH를 pETH-ETH-f(0x9848482d) 유동성 풀에 추가하여 32,431 pETH를 얻었습니다.

(3) 이후 공격자(0x6ec21d18)는 pETH-ETH-f (0x9848482d) 유동성 풀에서 pETH-ETH-f (0x9848482d) 이동성을 제거하여 유동성을 제거합니다. 풀에서 반복적으로 유동성을 제거합니다.

(4) 결국 공격자(0x6ec21d18)는 플래시 크레딧을 반환한 후 86,106 WETH를 획득하고 6,106 WETH의 이익을 남기고 떠났습니다.

취약점 분석: 이 공격은 전형적인 재진입 공격입니다. 공격 대상 프로젝트 컨트랙트의 바이트코드를 디컴파일하기 위해 다음 그림에서 확인할 수 있습니다: 스토리지 슬롯의 값을 검증하는 add_liquidity와 remove_liquidity 두 함수는 검증할 스토리지 슬롯이 동일하지 않습니다. 다른 스토리지 슬롯을 사용하면 재진입 잠금에 실패할 수 있습니다. 이 시점에서 Vyper의 기본 설계 취약점이 의심됩니다.

커브의 공식 트윗과 함께. 결국 이 취약점의 원인은 바이퍼 버전 취약점입니다. 이 취약점은 0.2.15, 0.2.16, 0.3.0 버전에 존재하며, 재진입 잠금 설계에 결함이 있습니다. 0.2.15 이전 0.2.14와 0.3.0 이후 0.3.1을 비교한 결과 이 코드 부분은 지속적으로 업데이트되고 있으며, 이전 0.2.14와 최신 0.3.1 버전에는 이 문제가 없는 것으로 확인되었습니다.

storage_slot의 값은 Vyper의 재진입 잠금 관련 설정 파일인 data_positions.py에서 재정의됩니다. ret에서 처음 잠금을 획득할 때 슬롯은 0이고, 이후 잠금의 슬롯이 1 증가된 상태에서 함수가 다시 호출되며, 이 시점에서 재진입 잠금이 비활성화됩니다.

II. 피싱 공격

피싱 공격은 대상을 속이고 미끼를 던져 민감한 정보를 얻거나 악의적인 행동을 하도록 유도하는 사이버 공격의 한 유형입니다. 이러한 유형의 공격은 일반적으로 이메일, 소셜 미디어, SMS 또는 기타 커뮤니케이션 채널을 통해 수행되며, 공격자는 프로젝트 소유자, 기관, KOL 등과 같이 신뢰할 수 있는 기관으로 가장하여 피해자가 개인 키, 니모닉 또는 거래 승인을 제공하도록 유인합니다. 계약 취약점 공격과 마찬가지로 피싱 공격은 7월 58건을 포함해 총 107건의 피싱 공격이 발생하여 3분기에도 높은 발생률과 높은 손실을 보였습니다.

그림: 2023년 웹 3.0의 분기별 피싱 공격 건수 및 손실액($M)

그림: 2023년 웹 3.0의 월별 피싱 공격 발생 건수

일반적인 피싱 공격 체인에서 자산 전송 분석

2023년 9월 7일, 주소( 0x13e382)는 피싱 공격을 받아 2,400만 달러 이상의 손실을 입었습니다. 피싱 해커는 자금 도난, 자금 교환, 탈중앙화 자금 이체를 통해 자금을 이체했으며, 손실된 자금 중 3,800 ETH가 Tornado.Cash로 순차적으로 이체되었고, 10,000 ETH가 중간 주소(0x702350)로 이체되었으며, 현재까지 중간 주소(0x4F2F02)에 1,078,087 DAI가 보관되어 있습니다.

이것은 전형적인 피싱 공격이며, 공격자는 지갑 인증 또는 개인 키를 속여 사용자의 자산을 훔치고, 피싱 + 자금 세탁으로 검은 산업 체인을 형성했으며, 점점 더 많은 사기 조직과 국가 해커까지 피싱을 사용하여 웹3 분야에서 잘못된 일을하고 있으며, 모두의 관심이 매우 필요합니다. 모두가 주의를 기울이고 경계하는 것이 매우 중요합니다.

샤크팀의 온체인 빅데이터 분석 플랫폼인 체인아이지스(https://app.chainaegis.com/)의 추적 분석을 통해 전형적인 피싱 공격의 사기 과정과 자금 이체, 사기범들의 온체인 행태에 대해 분석해 보겠습니다. 관련 분석.

(1) 피싱 공격 프로세스

피해자 주소(0x13e382)는 사기꾼 주소(0x13e382)로 '허용 한도를 늘리세요. ' 메시지를 사기꾼 주소 1(0x4c10a4)로 전송하여 rETH와 stETH를 승인합니다.

사기꾼 주소 1(0x4c10a4)은 피해자 주소(0x13e382)의 계정에서 사기꾼 주소 2(0x693b72)로 약 9,579개의 stETH를 이체했습니다, 532만 달러입니다.

사기꾼 주소 1(0x4c10a4)은 피해자 주소(0x13e382)의 계정에서 사기꾼 주소 2(0x693b72)로 약 841만 달러에 해당하는 4,850 rETH를 이체했습니다.

(2) 자산 교환 및 이체

도난당한 stETH와 rETH를 ETH로 전환: 2023-09-07 새벽 시간부터 사기꾼 주소 2(0x693b72)는 UniswapV2, UniswapV3, Curve 플랫폼에서 여러 차례 전환 거래를 수행하여 각각 9, 579 stETH와 4,850 rETH를 모두 이더리움으로 전환하여 총 14,783.9413 이더리움으로 교환했습니다.

stETH 교환 :

rETH 상환:

이더리움의 일부가 다이로 변환되었습니다. 사기꾼 주소 2(0x693b72)는 유니스왑V3 플랫폼을 통해 1,000 ETH를 1,635,047.761675421713685327 DAI로 변환했습니다. 사기범은 탈중앙화된 자금 이체 수단을 통해 탈취한 자금을 여러 중개 지갑 주소로 이체하여 총 1,635,139 DAI와 13,785 ETH를 이체했으며, 이 중 1,. 785 ETH가 중간 주소(0x4F2F02)로, 2,000 ETH가 중간 주소(0x2ABdC2)로, 10,000 ETH가 중간 주소(0x702350)로 전송되었습니다. 또한, 중간 주소(0x4F2F02)는 다음 날 1,635,139 DAI를 받았습니다

중간 지갑 주소(0x4F2F02) 자금 이체:

이 주소는 한 번의 자금 이체 후 다음과 같이 보유하게 됩니다. 1,785 ETH 및 1,635,139 DAI. 분산형 자금 이체 DAI 및 ETH로의 소규모 전환

첫째, 사기범은 2023-09-07 새벽에 10건의 거래로 529,000 DAI를 차례로 이체하기 시작했으며, 이후 첫 7건의 거래는 총 452건입니다, 000 DAI가 중간 주소에서 0x4E5B2e(FixedFloat)로, 8번째는 중간 주소에서 0x6cC5F6(OKX)로, 마지막 2건은 총 77,000 DAI가 중간 주소에서 0xf1dA17(eXch)로 전송되었습니다.

두 번째로, 9월 10일에 28,052 DAI가 UniswapV2를 통해 17.3 ETH로 교환되었습니다.

9월 8일부터 9월 11일까지 18건의 거래가 이루어졌으며, 1 Cash로 이체되었습니다.

이체 후에도 해당 주소에는 여전히 1,078,087 DAI의 도난 자금이 남아있었습니다.

중간 주소(0x2ABdC2) 자금 이체:

이 주소는 한 번의 자금 이체 후 2,000 ETH를 보유했습니다. 먼저 이 주소는 9월 11일에 2,000 ETH를 중간 주소( 0x71C848).

이후 중간 주소(0x71C848)는 9월 11일과 10월 1일 두 번의 자금 이체를 통해 각각 100 ETH씩 총 20번의 거래를 통해 2,000 ETH를 Tornado.Cash로 이체했습니다.

중간 주소(0x702350) 자금 이체

이 주소에는 여러 차례의 자금 이체 후 10,000 ETH가 있으며, 2023년 10월 8일 현재 이 주소의 계좌에 10,000 ETH가 미이체 상태로 남아 있습니다.

주소 추적: 사기범 주소 1(0x4c10a4)과 사기범 주소 2(0x693b72)의 과거 거래 내역을 분석한 결과, EOA 주소(0x846317)에서 사기범 주소 2( 0x693b72)로 이체되었으며, 이 EOA 주소의 자금 출처는 중앙집중식 거래소인 KuCoin과 바이낸스의 핫월렛 주소와 관련이 있었습니다.

셋째, 러그풀과 사기

2023년 러그풀 사기 사건의 발생 빈도는 더 큰 상승세를 보이며 4분기에 73건에 달했고, 손실액은 미화 1,900만 달러에 이르렀습니다. 한 건의 평균 손실액은 약 2만 6,000달러였으며, 한 해 동안 러그풀 사기로 인한 손실 비율이 가장 높았던 분기는 2분기와 3분기였고, 두 분기 모두 30% 이상의 손실액을 기록했습니다.

2023년 하반기에는 총 139건의 러그풀 사고와 12건의 사기 사고가 발생하여 각각 7155만 달러와 3억 4000만 달러의 손실이 발생했습니다.

2023년 하반기에 발생한 러그풀 사건은 전체의 65% 이상인 91건, 손실액은 전체의 41%인 2,957만 달러에 달하는 등 주로 BNBChain에서 발생했습니다. 이더(44회)가 739만 달러의 손실로 2위를 차지했습니다. 이더와 BNBC체인 외에도 지난 8월에 발생한 베이스 체인의 발드 러그풀 이벤트는 2,560만 달러의 손실로 심각한 피해를 입혔습니다.

그림: 2023년 웹 3사의 분기별 러그풀 및 스캠 사고 건수 및 손실액($M)

그림: 웹 3.0 2023H2 월별 러그풀 및 스캠 사고 건수 및 손실 금액

그림: Web 3 2023H2 체인별 사기 사건 발생 현황 월별 러그풀 사고 발생 건수 및 손실액

러그풀 사기 공장 행동 분석

러그풀 사기 공장 패턴은 BNBChain에서 인기 있는 패턴입니다. 에서 러그풀 토큰을 대량으로 제조하고 사기를 저지르는 데 사용되는 패턴입니다. 가짜 SEI, X, TIP, 블루 토큰에 대한 러그풀 팩토리 사기 행위 패턴을 살펴보겠습니다.

(1) SEI

우선, 가짜 SEI 토큰의 소유자인 0x0a8310eca430beb13a8d1b42a03b3521326e4a58은 1U를 다음과 같이 교환했습니다. 249개의 가짜 SEI로 교환되었습니다.

< p style="text-align: left;">그런 다음 0x6f9963448071b88FB23Fd9971d24A87e5244451A는 대량 매수 및 매도 작업을 수행했습니다. 매수 및 매도 작업으로 토큰의 유동성이 크게 증가하여 가격 상승이 발생했습니다.

피싱 등을 통해 많은 사용자를 유인하여 구매를 유도하고, 유동성이 증가함에 따라 토큰 가격을 두 배로 높입니다.

토큰의 가격이 일정 값에 도달하면 토큰 소유자는 러그풀에 대한 매도 작업에 들어갑니다. 아래 차트에서 볼 수 있듯이 엔트리 수확 시기와 가격이 다릅니다.

(2) 가짜 X, 가짜 TIP, 가짜 블루

먼저 X, TIP, 블루 토큰 소유자 0x44A028Dae3680697795A8d50960c8C155cBc0D74는 1U를 해당 토큰으로 교환했습니다. 해당 토큰으로 교환했습니다. 그런 다음 가짜 세이 토큰과 마찬가지로.

0x6f9963448071b88FB23Fd9971d24A87e5244451 대량 매수 및 매도 작업. 매수 및 매도 작업을 통해 유동성이 크게 증가하고 가격이 상승합니다.

그런 다음 피싱 및 기타 여러 경로를 통해 토큰을 광고하여 많은 사용자가 구매하도록 유도하고, 유동성이 증가하면 토큰 가격이 두 배로 상승합니다.

가짜 SEI와 마찬가지로 토큰 가격이 일정 값에 도달하면 토큰 소유자는 러그풀에 대한 매도 작업에 들어가게 되는데, 아래 차트에서 볼 수 있듯이 채굴에 들어가는 시기와 가격이 달라집니다.

가짜 SEI, 가짜 X, 가짜 TIP, 가짜 블루는 다음과 같은 변동성 그래프를 가진 몇 가지 토큰입니다:

자금 추적, 행동 패턴을 통해 알 수 있습니다 :

자금 추적의 내용에서 토큰 팩토리 제작자 토큰 팩토리 크리에이터는 여러 EOA 계정에서 자금을 조달합니다. 또한 자금은 서로 다른 계정 간에 이체되었는데, 일부는 피싱 주소를 통해 이체되었고, 일부는 이전에 수행한 토큰 러그풀 행위를 통해 획득했으며, 일부는 토네이도 캐시와 같은 코인 믹싱 플랫폼을 통해 획득했습니다. 여러 가지 자금 이체 방법은 복잡하고 복잡한 자금 네트워크를 만들도록 설계되었습니다. 또한 여러 개의 토큰 팩토리 계약이 서로 다른 주소에서 생성되어 토큰을 대량 생산했습니다.

러그풀 토큰의 동작을 분석하는 과정에서

0x6f9963448071b88FB23Fd9971d24A87e5244451A 주소가 다음 중 하나라는 것을 발견했습니다. 자금의 원천입니다. 벌크는 토큰 가격을 조작할 때도 사용됩니다. 주소 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3도 여러 토큰 보유자에게 적절한 자금을 제공하는 자금 공급자의 역할을 합니다.

분석을 통해 이러한 일련의 행위의 배후에는 명확한 분업 체계를 갖춘 웹3 사기 조직이 있으며, 이들은 주로 핫스팟 수집, 자동 코인 발행, 자동 거래, 허위 선전, 피싱 공격, 러그풀 채집 등을 포함하는 블랙 산업 체인을 구성하고 있으며, 대부분 BNBChain에서 발생한다는 사실을 확인할 수 있었습니다. 발행된 러그풀 가짜 토큰은 업계의 핫 이슈와 밀접한 관련이 있으며, 혼란을 조장하고 부추기는 경향이 강합니다. 사용자는 불필요한 손실을 피하기 위해 항상 경계하고 이성적으로 행동해야 합니다.

넷째, 랜섬웨어

2023년에도 랜섬웨어 공격의 위협은 조직과 기업을 지속적으로 위협할 것이며, 공격자들은 조직 시스템과 네트워크의 취약점을 악용하기 위해 다양한 기술을 사용하면서 랜섬웨어 공격은 점점 더 정교해지고 있습니다. 네트워크의 취약점. 랜섬웨어 공격의 확산은 전 세계의 비즈니스 조직, 개인, 중요 인프라에 계속해서 심각한 위협이 되고 있습니다. 공격자들은 불법적인 이득을 극대화하기 위해 유출된 소스 코드, 지능적인 공격 체계, 새로운 프로그래밍 언어를 활용하여 공격 전술을 지속적으로 조정하고 개선하고 있습니다.

LockBit, ALPHV/BlackCat, BlackBasta는 현재 가장 활발하게 활동하는 랜섬웨어 갈취 그룹입니다.

그림: 랜섬웨어 조직의 피해자 수

현재 점점 더 많은 랜섬웨어가 암호화폐를 통해 대가를 받는 방식을 취하고 있습니다. 예를 들어 최근 락빗이 공격한 기업은 올해 6월 말 TSMC, 10월 보잉, 11월 중국 공상은행의 미국 내 전액 출자 자회사 등이며, 대부분 비트코인을 사용하여 몸값을 징수하고, 락빗이 받은 몸값은 암호화폐 자금 세탁이 될 것이며, 다음은 락빗을 랜섬웨어 자금 세탁 모드 분석의 예로 들었습니다.

체인아이지스의 분석에 따르면 락빗 랜섬웨어는 주로 비트코인(BTC)을 이용해 몸값을 징수하고 있으며, 징수 주소와 징수 금액은 다음과 같이 집계되고 있으며, 0.07~5.8의 비트코인으로 1건의 몸값은 약 2,551달러에서 211,311달러까지 다양합니다. 2,551달러에서 211,311달러까지 다양합니다.

그림: 락빗의 일부 수집 주소와 금액

가장 많은 금액이 관련된 두 주소를 가지고 체인 주소 추적 및 역추적이 이루어집니다. 온체인 주소 추적 및 AML 분석을 위한 주소:

랜섬 수금 주소 1: 1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM;

랜섬 수금 주소 2: 1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH.

(1) 랜섬웨어 수거 주소 1: 1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM

아래 차트의 분석에 따르면 주소 1(1Ptfhw)은 2021년 3월 25일부터 2021년 5월 15일까지 총 17건의 온체인 거래를 받았으며, 자금을 받은 후 13개의 핵심 중간 주소로 자산을 빠르게 전송했습니다. 이러한 중간 주소는 펀딩 캐스케이드를 통해 6개의 두 번째 계층 중간 주소인 3FVzPX...cUvH, 1GVKmU...Bbs1, bc1qdse...ylky, 1GUcCi...vSGb로 전송되었습니다, bc1qan...0ac4, 13CPvF...Lpdp.

체인 위로 분석된 중간 주소 3FVzPX...cUvH는 궁극적으로 다크넷 주소로 이동하는 것으로 밝혀졌습니다. 361AkMKNNWYwZRsCE8pPNmoh5aQf4V7g4p.

중간 주소 13CPvF...Lpdp는 0.00022 BTC의 소량으로 코인페이먼츠에 전송되었으며, 500개의 유사한 거래가 존재합니다. 500개의 유사한 거래가 존재하며, 총 0.21 BTC가 코인페이먼트 주소인 bc1q3y...7y88로 모아져 자금세탁에 사용됩니다.

다른 중간 주소들은 결국 중앙화된 거래소인 코인페이먼트와 비트파이넥스로 흘러들어갔습니다.

그림: 주소 1 (1Ptfhw... hpeM) 자금 출처 및 유출 내역

그림: 주소 1 (1Ptfhw...hpeM) 자금 흐름 추적기

그림: 주소 1 (1Ptfhw...hpeM) 트랜잭션 매핑

(2) 랜섬웨어 수거 주소 2: 1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH

피해자들은 2021년 5월 24일부터 5월 28일 사이에 11번의 거래로 랜섬웨어 운영자 LockBit에게 4.16 BTC를 지불했으며, 이를 통해 주소 2 (1HPz7rn.... .VvPH)는 1.89 BTC의 몸값을 중간 주소 1: bc1qan...0ac4로, 1.84를 중간 주소 2: 112QJQj...Sdha로, 0.34를 중간 주소 3: 19Uxbt...9RdF로 빠르게 전송했습니다."라고 설명했습니다. p>

결국 중간 주소 2: 112QJQj...Sdha와 중간 주소 3: 19Uxbt...9RdF 모두 중간 주소 1: bc1qan...0ac4로 자금을 이체합니다. 그 직후에 중간 주소 1 bc1qan...0ac4는 자금 이체를 계속하여 자금의 일부를 코인안 거래소로 직접 이체하고, 나머지 자금은 중간 주소를 통해 계층별로 이체하여 궁극적으로 자금 세탁을 위해 코인안 및 기타 플랫폼으로 이체하며, 거래의 구체적인 내용과 주소 레이블은 다음과 같습니다.

그림: 주소 2 (1HPz7rn.... .VvPH) 자금 출처 및 유출 내역

그림: 주소 2 (1HPz7rn..... .VvPH) 자금 흐름 추적기

그림: 주소 2 (1HPz7rn.... .VvPH)와 관련된 중간 주소 및 자금 흐름 세부 정보

락빗은 몸값을 받은 후 암호화폐 자금 세탁을 진행하며, 이러한 자금 세탁 방식은 블록체인에서 일반적으로 발생하는 전통적인 자금 세탁 방식과 달리 긴 주기, 자금 분산, 고도의 자동화 및 높은 복잡성의 특성을 가지고 있습니다. 암호화폐 규제와 자금 추적을 수행하기 위해서는 한편으로는 체인 내부와 체인 외부에 분석 및 포렌식 역량을 구축해야 하고, 다른 한편으로는 네트워크 보안 수준에서 APT 수준의 보안 공격과 방어를 수행해야 하며, 전체적으로 공격과 방어 능력을 갖춰야 합니다.

V. 자금세탁

자금세탁은 불법 수익금의 일종의 합법화이며, 주로 범죄 수익금과 그 수익금 중 불법 수익금을 말하며, 다양한 수단을 통해 그 출처와 성격을 위장, 은폐하여 "돈세탁"의 형태를 띠고 있습니다. 출처와 성격, 합법화의 형태로 만듭니다. 그 행위에는 자금 계좌 제공, 재산 형태 전환 지원, 자금 이체 지원 또는 해외 송금 등이 포함되나 이에 국한되지 않습니다. 암호화폐, 특히 스테이블코인은 낮은 송금 비용, 탈지리적 특성, 특정 검열 방지 특성으로 인해 초기 단계부터 자금 세탁 활동에 악용되어 왔으며, 이는 암호화폐에 대한 비판의 주된 이유 중 하나입니다.

전통적인 자금 세탁 활동은 종종 법정화폐에서 암호화폐로, 또는 암호화폐에서 법정화폐로 환전하는 암호화폐 장외 시장을 이용하는데, 자금 세탁 시나리오는 다양하고 다양하지만, 이러한 행위의 본질은 법 집행관이 금융 체인을 조사하는 것을 차단하기 위한 것입니다. 금융 기관 계정 또는 암호화폐 기관 계정.

새로운 암호화폐 자금세탁 활동은 전통적인 자금세탁 활동과 달리 암호화폐 자체를 세탁하고, 지갑, 크로스체인 브리지, 탈중앙화 거래 플랫폼 등 암호화폐 산업 인프라를 불법적으로 악용하는 방식입니다.

그림: 최근 몇 년간 자금 세탁 금액

2016년부터 2023년까지 암호화폐로 세탁된 자금의 총액은 1,477억 달러에 달합니다. 2020년부터는 매년 67%씩 증가하여 2022년에는 238억 달러, 2023년에는 800억 달러에 달할 것으로 예상되는 등 자금세탁 금액이 놀라울 정도로 증가하고 있어 암호화폐 자금세탁 방지가 필수적입니다.

체인아이지스 플랫폼 통계에 따르면, 체인 혼합 코인 플랫폼인 토네이도 캐시의 자금 규모는 2020년 1월부터 빠른 속도로 증가하고 있으며, 현재 이 자금 풀에는 약 362만 개의 ETH가 예치되어 있으며, 총 78억 달러가 예치되어 있다고 토네이도는 밝혔습니다. 현금은 이더리움에서 가장 큰 자금 세탁 센터로 변모했습니다. 그러나 2022년 8월 미국 법 집행 기관이 토네이도 캐시에 대한 제재를 발표하면서 토네이도 캐시의 주간 입출금 건수는 기하급수적으로 감소했지만, 탈중앙화된 토네이도 캐시의 특성상 이를 원천적으로 차단할 수 없어 여전히 코인 믹싱을 위한 자금이 지속적으로 유입되고 있는 상황입니다.

라자루스 그룹(북한의 APT 조직)의 자금세탁 모델 분석

국가 차원의 APT(지능형 지속 위협) 조직은 국가의 지원을 받고 있습니다. ) 조직은 국가적 지원을 받는 최고의 해커 그룹으로, 특정 표적에 대한 장기적이고 지속적인 사이버 공격을 전문으로 합니다. 북한 APT 조직인 라자루스 그룹은 매우 활발하게 활동하는 APT 그룹으로, 주로 전 세계 금융 기관에 가장 큰 위협이 되는 자금 탈취를 목표로 공격하고 있으며, 최근에는 암호화폐 분야에서도 다수의 공격 및 자금 탈취를 자행하고 있습니다.

확실하게 집계된 암호화폐 분야 라자루스 공격으로 인한 보안 사고와 피해액은 다음과 같습니다."

라자루스는 사이버 공격으로 30억 달러 이상을 탈취했으며, 라자루스 해킹 조직은 북한의 지원을 받고 있는 것으로 알려졌습니다. 라자루스 해킹 조직의 배후에는 북한의 핵폭탄과 탄도 미사일 프로그램에 자금을 지원하는 북한의 전략적 이해관계가 있는 것으로 알려졌습니다. 이러한 이유로 미국은 라자루스 해킹 조직에 대한 제재를 위해 500만 달러의 현상금을 걸었다고 발표했습니다. 또한 미국 재무부는 문제의 주소들을 OFAC의 특별지정대상(SDN) 목록에 추가하여 이 단체를 제재했으며, 이는 미국 개인, 단체 및 문제의 주소들이 서로 거래하는 것을 금지하여 국가가 후원하는 단체가 자금을 현금화할 수 없도록 하는 조치입니다. 이더리움 개발자 버질 그리피스는 북한이 가상화폐를 이용해 제재를 회피하도록 도운 혐의로 5년 3개월의 징역형을 선고받았습니다.2023년 OFAC는 또한 라자루스 그룹과 관련된 개인 3명을 제재했는데, 이 중 청흥만과 우후휘는 라자루스를 위해 가상화폐 거래를 촉진한 장외거래(OTC) 거래자였습니다. 제재 대상자 중 청훙만과 우후이후이는 라자루스를 위해 암호화폐 거래를 촉진한 장외거래(OTC) 거래자였으며, 나머지 한 명인 심현섭은 기타 재정적 지원을 제공했습니다.

그럼에도 불구하고 라자루스는 10억 달러 이상의 자산 이체 및 자금 세탁을 수행했으며, 이들의 자금 세탁 모델은 다음과 같이 분석됩니다. 아토믹 월렛 사건을 예로 들어 해커가 설정한 기술적 교란 요소(대량의 가짜 토큰 전송 거래 + 다중 주소 분할)를 제거하면 해커의 자금 이체 패턴을 파악할 수 있습니다.

그림: 아토믹 월렛 피해자 1 자금 이체 보기

피해자 1 주소 0xb02d..... .c6072에서 해커 주소 0x3916.... 중간 주소 0x0159....를 통해 304.36 ETH를 전송하는 .6340 0x69ca 주소로 풀링되기 전 8번의 분할을 위한 .7b70.... .5324, 그 후 풀링된 자금이 0x514c.... 주소로 이체됨 .58f67 주소로 이체되었으며, 이 주소의 이더리움 잔액은 692.74 이더리움(127만 달러 상당)입니다.

그림: 아토믹 월렛 피해자 2 자금 이체 보기

피해자 2 주소 0x0b45..... .d662를 해커 주소 0xf0f7로 전송.... .79b3으로 1,266,000 USDT를 이체, 해커는 이를 3개로 나누어 그중 2개는 유니스왑으로 이체하여 총 1,266,000 USDT를 이체했고, 나머지 하나는 0x49ce 주소로 이체했습니다..... .80fb 주소로 672.71 ETH를 전송했습니다. 피해자 2는 해커의 0x0d5a.... 주소로 2,000 USDT를 전송했습니다. .08c2로 22,000 USDT를 이체했으며, 해커는 중간 주소 0xec13.... .02d6 등을 통해 여러 번 분할하여 직간접적으로 0x3c2e.... 주소로 자금을 이체했습니다. .94a8.

이 자금 세탁 모델은 이전의 로닌 네트워크 및 하모니 공격과 매우 일치하며, 모두 다음 세 단계로 구성됩니다.

(1) 탈취한 자금 조직화 교환: 공격을 시작한 후 탈취한 원래의 토큰을 분류하고, 여러 개의 토큰을 탈중앙화 거래소 등을 통해 이더리움으로 교환합니다. 이는 자금 동결을 피하기 위한 일반적인 방법입니다.

(2) 도난 자금 집계: 도난당한 이더리움을 여러 개의 일회용 지갑 주소로 집계합니다. 해커들은 로닌 사건에서 9개, 하모니 사건에서 14개, 아토믹 월렛 사건에서 약 30개의 주소를 사용했습니다.

(3) 탈취된 자금 이체: 자금은 풀링된 주소를 사용하여 Tornado.Cash를 통해 세탁됩니다. 이것으로 전체 자금 이체 프로세스가 완료됩니다.

자금 세탁 단계가 동일할 뿐만 아니라 자금 세탁의 세부 사항에서도 높은 수준의 일관성이 있습니다.

(1) 공격자들은 매우 인내심을 가지고 최대 1주일 동안 자금 세탁 작업을 수행했습니다. 후속 자금 세탁 작업을 시작했습니다.

(2) 자금 세탁 프로세스는 자동화된 거래를 사용했고, 대부분의 자금 풀링 작업 거래는 거래 횟수가 적고 시간 간격이 짧으며 패턴이 균일합니다.

분석 결과, 라자루스의 자금 세탁 패턴은 일반적으로 다음과 같습니다.

(1) 다중 계정 분할, 여러 번에 걸쳐 소액의 자산을 이체하여 추적의 어려움을 가중시킵니다.

(2) 위조 화폐 거래가 대량으로 발생하기 시작하여 추적을 더욱 어렵게 만듭니다. 아토믹 월렛 사건을 예로 들면, 27개의 중간 주소 중 23개의 계정이 가짜 송금 주소입니다. 최근 스테이크닷컴 사건 분석에서도 유사한 기술이 사용된 것으로 밝혀졌지만, 이전의 로닌 네트워크와 하모니 사건에는 이런 재밍 기술이 없었다는 점에서 라자루스의 자금 세탁 기술도 업그레이드되고 있다는 것을 알 수 있습니다.

(3) 코인 믹싱에 온체인 방식(예: 토나도 캐시)이 더 많이 사용됩니다. 초기 사건에서는 라자루스가 창업 자금을 조달하거나 후속 OTC를 진행할 때 중앙화된 거래소를 이용하는 경우가 많았지만, 최근에는 중앙화된 거래소를 이용하는 빈도가 점점 줄어들고 있으며 가급적 피하는 것으로 볼 수도 있습니다. 중앙화된 거래소의 사용은 최근 몇 가지 제재 사건과 관련이 있을 것입니다.

VI. 제재 및 규제

미 재무부 해외자산통제국(OFAC)과 같은 기관과 다른 국가의 유사한 기관은 국가 안보 및 외교 정책에 위협이 된다고 간주되는 국가를 대상으로 외환 거래에 중앙화된 거래소를 사용하는 것을 방지할 수 있었습니다, 국가 안보 및 외교 정책에 위협을 가하는 것으로 인식되는 정권, 개인, 단체를 표적으로 삼아 중앙 집중식 거래소의 외환 거래 사용을 방지할 수 있었습니다. 전통적으로 제재 집행은 주류 금융 기관의 협력에 의존해 왔지만, 일부 악의적 행위자들은 이러한 제3자 중개자를 우회하기 위해 암호화폐로 전환하면서 정책 입안자와 제재 기관에 새로운 과제를 안겨주었습니다. 그러나 암호화폐의 고유한 투명성과 암호화폐 서비스, 특히 암호화폐와 법정화폐의 연결고리 역할을 하는 많은 중앙화된 거래소의 준수 의지는 암호화폐 세계에서 제재를 집행하는 것이 가능하다는 것을 보여주었습니다.

2023년에 미국에서 제재를 받은 암호화폐 관련 개인 또는 단체와 OFAC의 제재 사유를 살펴봅니다.

세계 최대 스테이블코인인 테더는 2023년 12월 9일 미국 해외자산통제국(OFAC) 제재 대상자 명단에 오른 개인들의 지갑에 있는 토큰을 "동결"하겠다고 발표했습니다.테더는 발표에서 이를 토큰을 "동결"하기 위한 "자발적 조치"라고 설명했습니다. 테더는 발표에서 이번 조치가 "테더 토큰의 잠재적 오용을 사전에 방지하고 보안 조치를 강화하기 위한 자발적 조치"라고 설명했습니다.

이것은 또한 암호화폐 범죄의 적발과 제재가 실질적인 영역에 들어왔으며, 핵심 기업과 법 집행 기관 간의 협력을 통해 암호화폐 범죄를 규제하고 처벌하는 데 효과적인 제재를 가할 수 있다는 신호이기도 합니다.

홍콩도 2023년 웹3.0 규제에 큰 진전을 이루며 웹3.0과 암호화폐 시장의 '규정 준수 개발'을 촉구하고 있습니다. 싱가포르 통화청이 2022년부터 개인 고객이 암호화폐 거래에 레버리지나 신용을 사용하는 것을 제한하는 가운데, 홍콩특별행정구 정부는 '홍콩 가상자산 발전에 관한 정책 선언'을 발표하고 일부 웹3.0 인재와 기업이 새로운 약속의 땅으로 향하고 있습니다.

2023년 6월 1일, 홍콩은 가상자산 거래 플랫폼 운영자에게 적용되는 가이드라인을 발표하여 선언을 이행했으며, 가상자산 거래 플랫폼 라이선스 제도가 공식적으로 시행되어 클래스 1(증권 거래) 및 클래스 7(자동 거래 서비스 제공) 라이선스가 이미 발급되었습니다.

현재 OKX, BGE, HKbitEX, HKVAX, VDX, 미엑스, 팬서트레이드, VAEX, 어큐뮬러스, DFX 랩스가 가상자산 거래 플랫폼 라이선스(VASP)를 적극적으로 신청하고 있습니다.

에릭 리카추 홍콩 행정장관, 폴 찬 모포 재무장관 등 홍콩 정부 대표들은 웹3.0의 홍콩 상륙을 지지하는 발언을 자주 하며 전 세계 암호화폐 기업과 인재들이 웹3.0을 구축하기 위해 홍콩에 모여들고 있습니다. 정책적 지원 측면에서 홍콩은 가상자산 서비스 제공업체에 대한 라이선스 제도를 도입해 개인 투자자의 암호화폐 거래를 허용하고, 1000만 달러 규모의 웹3.0 허브 에코 펀드를 출범했으며, 디지털 경제의 발전을 가속화하고 가상자산 산업의 발전을 촉진하기 위해 7억 달러 이상을 투자할 계획이며, 웹3.0 개발 태스크포스도 구성했다.

그러나 상승세를 타는 동안 위험한 사건도 발생했습니다. 10억 홍콩 달러가 넘는 돈을 가로챈 무허가 암호화폐 거래소 JPEX, 1억 위안이 넘는 돈을 가로챈 HOUNAX 사기 사건, 홍콩다오와 비트컵드 가상자산 사기 혐의 ...... 이러한 악재들로 인해 홍콩 증권선물위원회(SFC), 경찰 등이 높은 관심을 보이고 있습니다. 홍콩 증권선물위원회는 경찰과 협력하여 가상자산 사건에 대한 위험 평가 지침을 개발하고 매주 정보를 교환할 것이라고 밝혔습니다.

더 나은 규제 및 보안 시스템이 가까운 미래에 홍콩에 도움이 될 것으로 믿어지며, 동서양의 중요한 금융 허브인 홍콩은 Web3에 두 팔을 벌리고 있습니다.