슬로우 포그: 바이비트의 15억 달러에 가까운 도난 사건 뒤에 숨겨진 해킹 방법과 의문점들

사고 발생 후 Slow Mist 보안팀은 즉시 보안 알림을 발행하고 도난 자산에 대한 추적 분석을 시작했습니다.

슬로우 포그 보안팀의 분석에 따르면 도난당한 자산은 주로 다음과 같습니다.

• 401,347 ETH(약 10억 6,800만원 상당)

• 8,000 mETH(약 2,600만원 상당)

• 90,375.5479 stETH (약 2억 6천만 원 상당)

• 15,000 cmETH (약 4억 3천만 원 상당)

  < p>

최초 해커 주소에 온체인 추적 및 자금세탁 방지 도구인 MistTrack을 사용했습니다. 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2를 분석하여 다음 정보를 얻었습니다.

ETH가 분산되었으며, 초기 해커 주소는 매 10,000 'ETH의 형식으로 400,000 'ETH를 초기 해커 주소로 분산시켰습니다. ETH당 10,000 ETH의 형식으로 40개의 주소로 분산되었으며, 전송은 계속되고 있습니다.

그 중 205 ETH가 다음을 통해 BTC로 교환되었습니다. 체인을 가로질러 BTC로 체인플립하여 주소 bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq.

cmETH 흐름: 15,000cmETH가 주소로 전송되었습니다. 0x1542368a03ad1f03d96D51B414f4738961Cf4443. 바이비트 보안 사고에 대응하여 팀이 무단 인출을 막기 위해 적시에 cmETH 출금을 중단했으며, 해커 주소에서 15,000 cmETH를 성공적으로 복구했다고 mETH 프로토콜이 X에 게시한 것은 주목할 만합니다.

mETH와 stETH 프로토콜이 해커의 주소에서 15,000cmETH를 복구하는 데 성공했습니다. strong>mETH 및 stETH 전송: 8,000 mETH와 90,375.5479 stETH가 0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e 주소로 전송된 다음 Uniswap과 ParaSwap을 통해 98, 048 ETH로 교환되었습니다. 048 ETH로 교환된 후 0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92로 전송되었으며, 0xdd9 주소는 아직 전송되지 않은 9개의 주소에 10,000 ETH당 10,000 ETH의 형식으로 ETH를 분산시킵니다.

또한, 공격 기법 분석 하위 섹션을 시작한 해커는 다음과 같습니다. 초기 공격이 시작된 0x0fa09C3A328792253f8dee7116848723b72a6d2e 주소를 추적한 결과, 이 주소의 초기 자금이 바이낸스에서 나온 것으로 밝혀졌습니다.

현재 초기 해커 주소 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2의 잔액은 1,346 ETH이며 관련 모니터링은 계속될 예정입니다. 주소.

사고 발생 후, Slow Mist는 공격자의 공격을 가장 먼저 통과했습니다. 사건 발생 후 슬로우미스트는 먼저 공격자가 세이프의 다중 서명을 획득하고 코인 세탁을 하는 방식을 통해 공격자가 북한 해커라고 추측했습니다.

악용 가능한 소셜 엔지니어링 공격:

미스트트랙을 사용한 분석 결과, 이 사건의 해커 주소가 빙엑스 해커와 페멕스 해커 주소와 연관된 것으로 밝혀졌습니다:

ZachXBT는 이번 공격이 초국가적 사이버 공격과 암호화폐 탈취를 주요 활동으로 하는 것으로 알려진 북한 해킹 조직 라자루스 그룹과 연관되어 있다는 사실도 확인했습니다. 테스트 거래, 관련 지갑, 포렌식 차트 및 시간 분석 등 ZachXBT가 제공한 증거는 모두 공격자들이 여러 작업에서 라자루스 그룹의 일반적인 기술적 수단을 사용했음을 보여주는 것으로 이해됩니다. 한편, 아캄은 모든 관련 데이터를 바이비트와 공유하여 플랫폼의 조사를 돕고 있다고 밝혔습니다. strong>

사건 당일 밤 23시 44분, 바이비트 CEO 벤 저우는 공격의 기술적 세부 사항을 설명하는 성명을 발표했습니다.

체인의 서명을 분석해 몇 가지 흔적을 발견했습니다.

1. 공격자가 악성 컨트랙트를 배포합니다: 2025-02-19 07:15:23 UTC, 배포합니다. 악의적인 컨트랙트 구현 0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516.

2. 안전한 컨트랙트 로직 변조: UTC 2025-02-21 21:00 14:13:35, 세 명의 소유자를 통해 트랜잭션 서명, 안전 컨트랙트를 악성 버전으로 교체: 0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882. 해커에 대한 초기 공격이 시작된 주소가 시작됩니다 . 0x0fa09C3A328792253f8dee7116848723b72a6d2e.

3. 악성 로직 삽입: DELEGATECALL을 통해 악성 로직 컨트랙트를 작성합니다; 저장소 0 저장소: 0x96221423681A6d52E184D440a8eFCEbB105C7242.

4. 백도어 함수를 호출하여 자금 이체: 공격자는 컨트랙트의 sweepETH 및 sweepERC20 함수를 사용하여 콜드월렛에서 알 수 없는 주소로 40만 ETH와 stETH(총 가치 약 15억 원)를 모두 이체했습니다.

공격 방법론의 관점에서 볼 때, WazirX 해킹과 Radiant Capital 해킹은 이번 공격과 유사하며 세 사건 모두 Safe 다중 서명 지갑을 공격 대상으로 삼았습니다. 와지르엑스 해킹의 경우 공격자는 악성 구현 컨트랙트를 사전에 배포하고, 3명의 오너를 통해 트랜잭션을 체결했으며, 악성 논리 컨트랙트를 DELEGATECALL을 통해 스토리지 0 스토리지에 작성하여 세이프 컨트랙트를 악성 구현 컨트랙트로 대체했습니다.

(https://etherscan.io/tx/ 0x48164d3adbab78c2cb9876f6e17f88e321097fcd14cadd57556866e4ef3e185d)

공식 발표에 따르면, 래디언트 캐피탈 해킹의 공격자들은 다음과 같은 정교한 방법을 사용했습니다. 는 서명 검증자가 프런트엔드에서 합법적인 거래로 보이는 것을 확인할 수 있는 정교한 방법론을 사용했으며, 이는 벤 저우의 트윗에서 공개된 것과 유사합니다.

(https://medium. com/@RadiantCapital/radiant-post-mortem-fecd6cd38081)

그리고 세 사건 모두 동일한 방식으로 권한을 확인하는 악성 계약과 관련이 있으며, 계약에 소유자의 주소를 하드코딩하여 다음과 같은 목적을 달성했습니다. 계약의 발신자를 확인합니다. 바이비트 해킹과 와지르엑스 해킹은 비슷한 오류 메시지를 던졌습니다.

이 경우 세이프 컨트랙트는 문제가 없었습니다. 문제는 비계약 부분에서 프런트엔드를 변조 및 위조하여 기만 효과를 얻었습니다. 이것은 고립된 사례가 아닙니다. 북한 해커들은 작년에 세이프 다중 서명으로 2억 3천만 달러를 잃은 와지르엑스, 세이프 다중 서명으로 5천만 달러를 잃은 래디언트 캐피탈, 곤코 다중 서명으로 3억 5천만 달러를 잃은 DMM 비트코인 등 여러 플랫폼을 이런 방식으로 공격한 바 있습니다. 이는 잘 설계된 공격으로 더 많은 주의가 필요합니다.

바이비트 공식 발표에 따르면:

(https://announcements.bybit.com/zh-MY/article/incident-update---eth-cold-wallet-incident- blt292C0454d26e9140)

벤 저우의 트윗과 결합 :

다음과 같은 의문점이 발생합니다:

1. 일상적인 ETH 이체

• 공격자가 ETH 다중 서명 콜드월렛 이체 시점에 대한 바이비트 내부 재무팀의 운영 정보에 미리 접근했을 수 있습니까?

• 서명자가 세이프의 시스템을 통해 위조된 인터페이스에서 악성 거래에 서명하도록 유도되었나요? 세이프의 프론트엔드 시스템이 침해되어 장악되었나요?

2. 세이프 컨트랙트 UI가 변조되었습니다

• 서명자는 Safe 인터페이스에서 올바른 주소와 URL을 볼 수 있지만 실제 서명된 거래 데이터가 변조된 경우?

• 핵심 질문은 누가 처음에 서명 요청을 시작했나요? 그들의 디바이스는 얼마나 안전한가요?

이러한 질문을 염두에 두고 최대한 빠른 시일 내에 공식적인 조사 결과가 나오기를 기대하고 있습니다.

시장 영향

바이비트는 사고 발생 후 신속하게 발표를 통해 모든 고객 자산을 1:1 백업하고 있으며 플랫폼이 손실을 감당할 수 있다고 약속했습니다. 플랫폼은 손실을 감당할 수 있습니다.

2025년 2월 22일 10시 51분, 바이비트 CEO 벤 저우는 출금 및 인출이 정상화되었다는 X를 보냈습니다:

끝에 쓴 글

이번 도난 사건은 암호화폐가 직면한 심각한 보안 문제를 다시 한번 강조했습니다. 업계는 심각한 보안 문제에 직면해 있습니다. 암호화폐 산업의 급속한 성장과 함께 해커 그룹, 특히 라자루스 그룹과 같은 국가적 해커들은 계속해서 공격을 확대하고 있습니다. 이번 사건은 암호화폐 거래소가 사용자의 자산을 보호하기 위해 다중 인증, 암호화된 지갑 관리, 자산 모니터링 및 위험 평가와 같은 고급 방어 메커니즘을 도입하고 보안을 더욱 강화해야 한다는 경각심을 일깨우는 계기가 되었습니다. 개인 사용자의 경우 보안 인식을 높이는 것도 중요하며, 거래소에 많은 금액을 장기간 보관하지 않도록 하드웨어 지갑과 같은 안전한 보관 방법을 우선적으로 고려하는 것이 좋습니다. 진화하는 이 분야에서 디지털 자산의 안전을 보장하고 업계의 건전한 발전을 도모하는 유일한 방법은 지속적으로 기술적 방어를 업그레이드하는 것입니다.