- 라이언트 캐피탈(Radiant Capital)은 북한 UNC4736 그룹으로 알려진 해커들에게 5천만 달러 손실을 입었다.
- 해커들은 정교한 악성코드와 사회 공학을 사용하여 보안 프로토콜을 우회했다.
- 이번 사건은 디파이(DeFi) 보안의 심각한 취약점을 드러내며, 산업 전반에 걸친 하드웨어 수준의 거래 검증을 도입할 것을 강조한다.
라이언트 캐피탈(Radiant Capital)은 2024년 10월 16일 발생한 5천만 달러 규모의 사이버 공격과 관련된 새로운 사실을 확인했다. 사이버 보안 회사 맨디언트(Mandiant)의 조사에 따르면, 이번 공격은 북한 정찰총국(RGB)과 연결된 UNC4736 그룹에 의해 이루어진 것으로 밝혀졌다.
이번 사건은 탈중앙화 금융(DeFi)을 대상으로 하는 사이버 공격의 정교함이 증가하고 있음을 보여주며, 업계의 강력한 보안 대책 필요성을 보여준다.
공격 전개 과정
공격은 2024년 9월 11일, 라디언트 캐피탈의 개발자가 전직원을 사칭한 인물로부터 정상적인 텔레그램 메시지를 받으면서 시작되었다. 이 메시지에는 스마트 컨트랙트 감사를 보여주는 ZIP 파일이 첨부되어 있었지만, 이는 INLETDRIFT라는 정교한 악성코드를 포함하고 있었다.
이 악성코드는 합법적인 PDF 파일로 위장해 피해자의 macOS에 백도어를 설치하고 공격자가 제어하는 외부 도메인에 연결했다. 이후 몇 주 동안 UNC4736은 아비트럼(Arbitrum, 바이낸스 스마트 체인(Binance Smart Chain), 베이스(Base), 이더리움(Ethereum)에 악의적인 스마트 컨트랙트를 배포하며 치밀하게 범행을 준비했다.
라디언트 캐피탈은 텐더리(Tenderly)를 통한 거래 시뮬레이션과 페이로드 검증 등 표준 보안 프로토콜을 따랐지만, 공격자들은 프론트엔드 인터페이스의 취약점을 이용해 거래 데이터를 조작했다. 도난이 발생할 때까지 해커들은 자신들의 행동을 잘 숨겨 탐지를 거의 불가능하게 만들었다.
공격 배후와 전술
UNC4736, 또는 애플제우스(AppleJeus)와 시트린 슬릿(Citrine Sleet)으로 알려진 이 그룹은 북한의 템프.허밋(TEMP.Hermit)과 연결된 위협 그룹이다. 이들은 주로 고도로 발전된 사회 공학 기술을 사용하여 금융 시스템을 침투하는 것으로 알려져 있다. 맨디언트는 이 공격이 국가 수준의 전술을 사용한 UNC4736의 소행이라고 높은 신뢰도로 결론지었다.
도난된 자금은 사건 발생 몇 분 만에 이동되었으며, 사용된 악성코드와 브라우저 확장 프로그램의 흔적은 모두 제거되었다.
DeFi 보안을 위한 경각심
이번 사건은 블라인드 서명과 프론트엔드 거래 검증에 의존하는 현재 DeFi 보안 관행의 취약점을 부각시켰습니다. 라이던트 캐피탈은 향후 유사한 사건을 방지하기 위해 업계 전반에서 하드웨어 수준의 거래 검증으로의 전환을 촉구했다.
라디언트 DAO (Radiant DAO)는 맨디언트(Mandiant), 제로셰도우(zeroShadow), 하이퍼네이티브(Hypernative), 그리고 미국 법 집행 기관과 협력하여 도난된 자금의 추적 및 회수를 진행 중이다. 조직은 발견된 내용을 공유하여 암호화폐 생태계 전반의 보안 기준을 개선할 계획이다.
면책 조항: 이 가격 분석에서 공유된 모든 정보뿐만 아니라 견해와 의견은 선의로 게시됩니다. 독자는 스스로 조사하고 실사를 수행해야 합니다. 독자가 취한 모든 조치는 전적으로 본인의 책임이며 코인에디션 및 계열사는 직간접적인 피해나 손실에 대해 책임을 지지 않습니다.
이 지능적인 디파이(DeFi) 사이버 공격으로 5천만 달러를 잃었다. 북한의 UNC4736 그룹이 배후로 밝혀졌다.){kind=link}