북한의 APT 해커그룹이 300ETH 규모의 암호화폐 탈취와 NFT 피싱 공격 등 범행을 저질렀다고 블록체인 보안업체 슬로우미스트가 밝혔다.
슬로미스트(SlowMist)는 12월 24일자 미디엄 글을 통해 지난 9월부터 해당 그룹에 대한 조사를 시작했다고 밝혔다. 이더리움과 솔라나(Solana) 프로젝트에 대한 복수의 피싱 공격 사건 용의자가 이들이라는 지난 9월 트위터 이용자 팬텀엑스섹(PhantomXSec)의 언급이 나온 시점이었다.
슬로우미스트 분석 결과, 이들의 주요 수법 중 하나는 악성 민팅이 일어나는 미끼성 NFT 사이트를 만드는 방식이었다. 이들이 동원한 도메인 이름은 500개에 이르렀고, 그중 일부는 7개월 전부터 등록된 상태다.
300 ETH 어치의 NFT 1055개를 훔치다
슬로우미스트는 관련 피싱 웹사이트 중 하나에 연계된 지갑이 총 1055건의 NFT를 수령했으며, 판매를 통해 약 300ETH의 수익을 올렸다고 밝혔다. 이 지갑은 처음엔 바이낸스를 거쳐 입금이 이뤄졌으며, 여러 위험성 주소와 교류한 것으로 나타났다고 슬로미스트는 덧붙였다.
일부 NFT 피싱 사이트는 동일한 호스트 IP를 쓴 것으로 나타났다. NFT 사이트 372곳이 동일한 IP였고, 또다른 NFT 사이트 320곳이 또다른 동일 IP를 썼다.
슬로우미스트는 피싱 사이트의 핵심 코드에 대한 조사를 통해, 해커들이 WETH, USDC, DAI, UNI 등 다양한 토큰을 공격에 동원한 것으로 파악했다. 또한 북한 해커들이 운영하는 DeFi 플랫폼도 발견됐다. 일부 북한 해커는 동유럽 해커들과 협력한 것으로 나타나기도 했다.
북한과 암호화폐 해킹
한국 정보기관인 국가정보원은 북한의 지원을 받는 해커들이 2017년 이후 10억 달러 이상의 암호화폐를 탈취한 것으로 알려졌다고 밝혔다. 2022년 한해에만 탈취 규모가 전체의 절반에 이른다. 여러 기관의 보고 및 언론 보도를 통해 라자루스(Lazarus)와 같은 북한 해커 그룹이 올해 업계 주요 해킹과 관련이 있다는 관측이 제기돼왔다. 라자루스는 1억 달러 규모인 하모니(Harmony) 브릿지 공격이나 6억 달러 규모인 액시인피니티의 로닌 브릿지 공격 배후로 지목된다.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.