DeFi“세기의 대도난 사건”이 마무리되었고, Ronin 자금 이동 과정 회고
해커는 자금을 분할, 이동, 세탁하는 과정을 한 달 이상 지속했으며, 원래 공격 주소의 거래 건수는 400건을 초과했습니다.작성자: iambabywhale.eth
편집: ForesightNews
오늘, Ronin Network 해커는 베이징 시간 15:32:25에 12595.3개의 이더리움을 새로운 주소(0x08723392ed15743cc38513c4925f5e6be5c17243)로 전송했습니다. 이로써 Ronin Network에서 도난당한 17.36만 개의 이더리움이 거의 모두 전송되었으며, 원래 공격 지갑에는 약 1.8개의 이더리움만 남아 있습니다.
3월 말에 발생한 Ronin Network에 대한 공격 사건에서, 프로토콜의 도난 금액은 6.1억 달러에 달하며, 이는 지난해 Poly Network의 6억 달러를 초과하여 DeFi 역사상 최대 해킹 사건이 되었습니다. 공격자는 도난당한 자금을 이동하고 세탁하는 작업을 한 달 이상 진행했습니다. 아래에서 이 "세기의 대도둑질"의 자금 이동 및 사건 진행 상황을 되짚어 보겠습니다.
3월 29일, Axie Infinity 전용 이더리움 사이드체인 Ronin Network는 트위터에서 이날 이른 시간에 Sky Mavis의 Ronin 검증자 노드와 Axie DAO 검증자 노드가 3월 23일에 공격을 받아 총 17.36만 개의 이더리움과 2550만 개의 USDC를 도난당했다고 밝혔습니다.
3월 30일, SlowMist는 이번 해킹 공격의 자금이 바이낸스에서 인출된 것이라며, 2550만 개의 USDC를 6250개의 이더리움으로 거래하고 분산 전송을 진행했으며, 그 중 1221 ETH가 FTX와 Crypto.com으로 전송되었다고 발표했습니다.
당일 저녁, 해커는 다시 Huobi로 3750개의 이더리움을 전송했습니다.
4월 4일, 해커는 공격 주소(0x098B716B8Aaf21512996dC57EB0615e2383E2f96)에서 1000개의 이더리움을 다른 주소(0xbc25d57412a04956CDD95AF07825C5C1F34d29eb)로 전송한 후, 그 중 200개의 이더리움을 Tornado Cash로 전송했습니다.
4월 5일, 해커는 공격 주소에서 새로운 주소(0xdf225c84a0eaeaaac20e6c1d369e94ee13b9df2a)로 1526개의 이더리움을 전송하고, 여러 차례에 걸쳐 Tornado Cash로 전송했습니다.
4월 6일, SlowMist는 UTC 시간 3월 31일 17:49:06부터 4월 6일 6:05:58 사이에 해커가 다시 Huobi로 1233.9811개의 이더리움을 전송하고, 총 4400개의 이더리움을 Tornado Cash로 전송했다고 발표했습니다.
4월 7일, SlowMist는 UTC 시간 4월 6일 6:19:03부터 4월 7일 7:08:59 사이에 Ronin Network 공격자가 2800개의 이더리움을 Tornado Cash로 전송했다고 발표했습니다.
4월 8일, 해커는 중간 주소(0x5b0431365ce1ab3693bea6f33ae67653dd30d8bd)를 통해 4800개의 이더리움을 Tornado Cash로 전송했습니다.
4월 9일, 해커는 두 개의 주소(0x1361c1e18930483F4Aaf91f3a263937e4Fcc1f39, 0xBCD78C2D608e7cEB3d25Bea30faE8a9D57033868)로 각각 3002.985개 및 3102.6215개의 이더리움을 전송한 후, 모두 Tornado Cash로 전송했습니다.
4월 10일, 해커는 0x1361c1e18930483F4Aaf91f3a263937e4Fcc1f39로 3002개의 이더리움을 전송한 후, 모두 Tornado Cash로 전송했습니다.
4월 12일, 해커는 새로운 주소(0xb2369D20e7f0C46270b9F79ab26Fc62fadA356c7)로 2941개의 이더리움을 전송한 후, Tornado Cash로 전송했습니다. 현재 해당 주소에는 약 40개의 이더리움이 남아 있습니다.
4월 13일, 해커는 새로운 주소(0x77532dd2eb6e8eaf416f39c65f48cd2369782828)로 3202개의 이더리움을 전송한 후, Tornado Cash로 전송했습니다.
4월 14일, 해커는 새로운 주소(0x1Bf53ce80FF2ed5711b8A2DB8f7EA5b38DA118d6)로 3302.6개의 이더리움을 전송한 후, Tornado Cash로 전송했습니다.
4월 15일, 《월스트리트 저널》에 따르면, 미국 재무부는 북한 정부와 관련된 범죄 집단 Lazarus Group이 이번 Ronin Network 공격에서 암호화폐 주소의 소유자라고 밝혔습니다. 재무부 대변인은 제재 대상 지갑과 거래하는 사람은 미국 제재의 위험에 처할 것이라고 경고했습니다.
같은 날, PeckShield는 트위터에서 현재 해커가 공격 주소에서 약 2.8만 개의 이더리움을 Tornado Cash로 전송했으며, 이는 총량의 16%에 해당한다고 밝혔습니다. 지갑에는 여전히 약 147753개의 이더리움이 남아 있습니다.
당일 저녁, 해커는 다시 새로운 주소(0xBc5639887283eaF1B8E966e0b2fa6998D2ec6404)로 2900개의 이더리움을 전송한 후, Tornado Cash로 전송했습니다.
4월 18일, 해커는 새로운 주소(0x3cffd56b47b7b41c56258d9c7731abadc360e073)로 10129.9개의 이더리움을 전송했습니다.
4월 19일, 해커는 0x1Bf53ce80FF2ed5711b8A2DB8f7EA5b38DA118d6로 18256.8개의 이더리움을 전송했습니다.
4월 21일, 해커는 0x53b6936513e738f44fb50d2b9476730c0ab3bfc1로 21629개의 이더리움을 전송했습니다.
4월 22일, 해커는 중간 주소(0x3cffd56b47b7b41c56258d9c7731abadc360e073)를 통해 새로운 주소(0x8fa7b50fc8306ab3de028254df72bf08216742b6)로 1528.2개의 이더리움을 전송했습니다.
4월 24일, 해커는 새로운 주소(0x35fb6f6db4fb05e6a4ce86f2c93691425626d4b1)로 33568개의 이더리움을 전송했습니다.
4월 26일, PeckShield는 발표를 통해 4월 26일 기준으로 Ronin Network 공격자의 지갑에서 65%의 도난 자금이 전송되었으며, 그 중 22% (약 39,700개의 이더리움)가 Tornado Cash를 통해 세탁되었고, 약 41%는 3개의 새로운 지갑으로 이동되었다고 밝혔습니다.
4월 27일, 해커는 새로운 주소(0x5967524CE3Bc2BC422e584e33bD50921A22e3c0a)로 18256.8개의 이더리움을 전송했습니다.
당일 저녁, 해커는 다시 새로운 주소(0xf7b31119c2682c88d88d455dbb9d5932c65cf1be)로 25127.5192개의 이더리움을 전송했습니다.
4월 28일, 이더리움 사이드체인 Ronin Network는 해커가 Sky Mavis에 대한 피싱 공격을 통해 Sky Mavis IT 인프라에 침투하고 검증 노드에 대한 접근 권한을 얻었으며, 무가스 RPC 노드를 통해 백도어를 발견하고 Axie DAO 검증 노드의 서명을 획득하여 5/9의 검증 노드를 제어했다고 발표했습니다.
Ronin Network는 Sky Mavis가 현재 취하고 있는 보안 조치로는 보안 회사와 협력하여 방어 시스템을 구축하고, 검증 노드 수를 늘리며, 더 엄격한 내부 통제 절차를 시행하고, 감사 및 신뢰할 필요 없는 조직을 구축하고, 버그 바운티를 시작하며, ISO27001 및 기타 보안 관련 인증을 진행하고 있다고 밝혔습니다. 또한 Ronin Network는 4월 말 이전에 업그레이드를 배포할 예정이며, 5월 중순에 공식 개방할 계획이며, 모든 도난 자금은 최근의 Sky Mavis 자금 조달, Axie Infinity 및 Sky Mavis 자산, 그리고 핵심 팀의 개인 자금으로 보장될 것이라고 전했습니다.
4월 29일, 해커는 새로운 주소(0xDD6458eB5090832eB88BFfc7AdF39B0F3CdD6683)로 5000개의 이더리움을 전송한 후, Tornado Cash로 전송했습니다.
5월 3일, 해커는 베이징 시간 16:23:28에 새로운 주소(0x3e37627deaa754090fbfbb8bd226c1ce66d255e9)로 23528.8개의 이더리움을 전송했습니다.
5월 4일, 즉 오늘, 해커는 마지막으로 12595.3개의 이더리움을 전송하며 모든 도난 자금을 거의 전부 이동하였고, 원래 공격 지갑에는 약 1.8개의 이더리움만 남아 있습니다.
