한 통의 가짜 오퍼가 어떻게 Axie Infinity의 5.4억 달러를 훔쳤는가?

출처：The Block

원문 저자：Ryan Weeks

번역：Katie 구, Odaily 행성日报

올해 초, 해커는 Axie Infinity의 한 고위 엔지니어를 속여 가상의 회사에 지원하게 했고, 결국 Axie Infinity는 5억 4천만 달러의 암호화폐 손실을 입게 되었다. 다음은 The Block이 보도한 Axie Infinity 해킹의 세부 사항이다.

Axie Infinity 고위 엔지니어의 구직 경험보다 더 자극적인 것은 드물다. 그가 가상의 회사에 합류하려는 관심은 결국 암호화 산업에서 가장 큰 해킹 공격 중 하나를 촉발했다.

작년 11월, Axie Infinity 게임 내 NFT의 일일 활성 사용자 수는 한때 270만 명에 달했으며, 주 거래액은 2억 1천4백만 달러에 이르렀다(이 두 숫자는 이후 크게 감소했다).

올해 3월, P2E 체인 게임의 선두주자인 Axie Infinity의 이더리움 사이드체인 Ronin은 5억 4천만 달러의 암호화폐를 잃었다. 미국 정부는 나중에 이 사건을 북한 해커 조직 Lazarus와 연관 지었지만, 이 공격이 어떻게 이루어졌는지에 대한 모든 세부 사항은 공개되지 않았다. 사실 Ronin을 파괴한 것은 단지 하나의 가짜 채용 광고였다. 이 사건을 아는 두 사람은 Axie Infinity의 한 고위 엔지니어가 실제로 존재하지 않는 회사의 직위에 속아 지원했다고 밝혔다. 사건의 민감성 때문에 이 두 사람은 익명을 요구했다.

정보에 정통한 소식통에 따르면, 올해 초, 이 가짜 회사를 자칭하는 사람이 LinkedIn과 WhatsApp을 통해 Axie Infinity 개발사 Sky Mavis의 직원과 접촉하여 새로운 직업 기회를 이용해 그를 유인했다. 보도에 따르면, 여러 차례의 면접을 거친 후 Sky Mavis의 한 엔지니어는 매우 높은 보수를 제안받았다.

이 가짜 오퍼는 PDF 파일 형식으로 전송되었고, 엔지니어는 이 파일을 다운로드했다—이로 인해 트로이 목마가 Ronin의 시스템에 침투하게 되었다. 그때부터 해커는 Ronin 네트워크의 9개 검증기 중 4개를 공격하고 장악할 수 있었으며, 완전히 제어하기 위해서는 1개의 검증기가 더 필요했다.

Sky Mavis는 4월 27일에 발표한 블로그 글에서 이번 해킹 공격을 분석하며, "직원들은 다양한 소셜 채널에서 고급 피싱 네트워크 공격을 지속적으로 받았으며, 그 중 한 명의 직원이 공격을 받았다. 이 직원은 더 이상 Sky Mavis에서 근무하지 않는다. 공격자는 해당 접근 권한을 이용해 Sky Mavis의 IT 인프라에 침투하고 검증기 노드에 대한 접근 권한을 얻었다"고 밝혔다.

검증기는 블록체인에서 거래 블록 생성 및 데이터 오라클 업데이트 등 다양한 기능을 수행할 수 있다. Ronin은 '권한 증명'(proof of authority) 시스템을 사용하여 거래를 서명하며, 9명의 신뢰할 수 있는 검증자에게 권한을 집중시킨다.

블록체인 분석 회사 Elliptic은 올해 4월 블로그 글에서 "9명의 검증자 중 5명이 승인하면 자금이 이동할 수 있다. 공격자는 5개의 검증기의 개인 암호 키를 확보하는 데 성공했으며, 이는 암호 자산을 탈취하기에 충분하다"고 설명했다.

그러나 가짜 채용 광고를 통해 Ronin의 시스템에 성공적으로 침투한 후, 해커는 9개의 검증기 중 4개만 제어했다—이는 해커가 Ronin 시스템을 제어하기 위해서는 또 다른 검증기가 필요하다는 것을 의미한다.

사후 분석에서 Sky Mavis는 해커가 Axie DAO(게임 생태계를 지원하는 조직)를 사용하여 탈취를 완료했다고 밝혔다. Sky Mavis는 2021년 11월 Axie DAO에 거래 부하 문제를 처리하는 데 도움을 요청한 바 있다.

"Axie DAO는 Sky Mavis가 그들을 대신해 다양한 거래를 서명할 수 있도록 허용한다. 2021년 12월에 중단되었지만, 접근 목록은 철회되지 않았다,"고 Sky Mavis는 블로그 글에서 말했다. "공격자가 Sky Mavis 시스템에 침투하면 Axie DAO 검증기에서 서명을 받을 수 있다."

해킹이 발생한 지 한 달 후, Sky Mavis는 검증기 노드의 수를 11개로 늘렸으며, 블로그 글에서 장기 목표는 100개 이상이라고 밝혔다.

기자가 Sky Mavis에 연락했을 때, 회사는 이번 해킹 공격이 어떻게 이루어졌는지에 대한 언급을 거부했다. LinkedIn도 여러 차례 언급을 거부했다.

오늘 초, ESET 연구 회사는 북한 해커 조직 Lazarus가 LinkedIn과 WhatsApp을 통해 채용 사칭을 하여 항공 우주 및 방산 계약자를 목표로 삼았다는 조사 결과를 발표했다. 그러나 이 보고서는 이 기술을 Sky Mavis 해킹과 연결짓지 않았다.

올해 4월 초, Sky Mavis는 바이낸스가 주도한 투자 라운드에서 1억 5천만 달러를 모금했다. 이 자금은 회사의 예비 자금과 함께 이 취약점의 영향을 받은 사용자에게 보상하는 데 사용될 예정이다. Axie Infinity는 최근 6월 28일부터 사용자에게 자금을 반환할 것이라고 밝혔다. 해킹 공격으로 갑자기 중단된 Ronin의 이더리움 브리지는 지난주에 다시 시작되었다.

The Block Research의 데이터에 따르면, 올해 DeFi 해킹 사건이 빈발하여 손실된 자금 총액은 200억 달러를 초과했다. 1월 1일, 이 숫자는 76억 달러에 불과했다.