한 건의 위조 오퍼가 어떻게 Axie Infinity의 5.4억 달러를 훔쳤는가?
원문 작성자: Ryan Weeks
번역: Katie Gu
올해 초, 해커들은 Axie Infinity의 고급 엔지니어가 존재하지도 않는 회사에 취업을 신청하도록 유인했고, 그 결과 Axie Infinity는 암호화폐 5.4억 달러를 잃게 되었다. 다음은 The Block이 보도한 Axie Infinity 해킹 사건의 세부 내용이다.
구직 활동 중 겪을 수 있는 경험 중에서 Axie Infinity의 고급 엔지니어 사례보다 더 극적인 것은 드물다. 그가 가상의 회사에 입사하려는 관심을 보인 것이 결국 암호화 산업 역사상 가장 큰 해킹 사건 중 하나를 촉발한 것이다.
지난해 11월, Axie Infinity 게임 내 NFT의 일일 활성 사용자는 최대 270만 명에 달했으며 주간 거래액은 2억 1400만 달러에 이르렀다(두 지표 모두 이후 크게 감소했다).
그리고 올해 3월, P2E 블록체인 게임 선두주자인 Axie Infinity의 이더리움 사이드체인 Ronin은 암호화폐 5.4억 달러를 손실했다. 미국 정부는 이후 이 사건을 북한 해커 그룹 라자루스(Lazarus)와 연결 지었지만, 이번 공격이 어떻게 실행되었는지에 대한 전체 세부 정보는 아직 공개되지 않았다. 사실 Ronin을 무너뜨린 것은 단지 가짜 채용 광고 하나였다. 이번 사건을 알고 있는 두 관계자는 Axie Infinity의 고급 엔지니어가 실제로 존재하지 않는 회사의 직무에 지원하도록 기만당했다고 전했다. 사건의 민감성을 이유로 두 관계자는 익명을 요청했다.
관계자들에 따르면, 올해 초, 자신을 위조된 회사의 대표라고 주장하는 인물이 LinkedIn과 WhatsApp을 통해 Axie Infinity 개발사 Sky Mavis의 직원에게 접근해 새로운 일자리를 제안하며 유혹했다. 여러 차례 면접을 거친 후 Sky Mavis의 한 엔지니어는 급여 조건이 매우 좋은 일자리를 제안받았다는 소식도 있다.
이 가짜 오퍼는 PDF 파일 형태로 전송되었고, 해당 엔지니어는 그 파일을 다운로드했다. 이로 인해 트로이 목마가 Ronin 시스템에 침투할 수 있었다. 이 순간부터 해커들은 Ronin 네트워크의 9개 검증기 중 4개를 공격하고 장악할 수 있었으며, 완전한 통제를 위해 단 1개만 더 필요하게 되었다.
Sky Mavis는 4월 27일 발표한 블로그 포스트에서 이번 해킹에 대해 분석하며 "직원들은 다양한 소셜 채널을 통해 지속적으로 고도화된 피싱 공격을 받고 있으며, 한 직원이 실제로 공격을 당했다. 해당 직원은 현재 Sky Mavis에서 퇴사한 상태다. 공격자는 이 접근 권한을 성공적으로 이용해 Sky Mavis의 IT 인프라에 침투했고 검증기 노드에 대한 접근 권한을 확보했다"고 밝혔다.
검증기는 블록체인에서 거래 블록 생성 및 데이터 오라클 업데이트 등 다양한 기능을 수행한다. Ronin은所谓 '권한 증명(proof of authority)' 시스템을 사용하여 거래에 서명하며, 권한을 9개의 신뢰할 수 있는 검증자에게 집중시킨다.
블록체인 분석 기업 엘립틱(Elliptic)은 올해 4월 발표한 블로그 글에서 "아홉 개 검증자 중 다섯 명이 승인하면 자금 이체가 가능하다. 공격자는 5개 검증기의 개인 암호화 키를 확보하는 데 성공했고, 이를 통해 암호화 자산을 훔칠 수 있었다"고 설명했다.
그러나 가짜 채용 공고를 통해 Ronin 시스템에 침투한 후에도 해커들은 9개 검증기 중 4개만을 장악했을 뿐이었다. 즉, Ronin 시스템을 완전히 장악하기 위해선 하나 더 필요했다.
사후 분석에서 Sky Mavis는 해커들이 게임 생태계를 지원하는 조직인 Axie DAO를 이용해 도난을 완료했다고 밝혔다. Sky Mavis는 2021년 11월 Axie DAO에 거래 부하 문제 해결을 위해 도움을 요청한 바 있다.
"Axie DAO는 Sky Mavis가 자신들을 대신해 다양한 거래에 서명하도록 허용했다. 이 권한은 2021년 12월 일시 중단되었지만, 접근 허용 목록은 해제되지 않았다"고 Sky Mavis는 블로그에서 말했다. "공격자가 일단 Sky Mavis 시스템에 침입하면, Axie DAO 검증기로부터 서명을 얻을 수 있었다."
해킹 발생 한 달 후, Sky Mavis는 검증기 노드 수를 11개로 늘렸으며, 장기적으로 100개 이상으로 확장하는 것을 목표로 하고 있다고 밝혔다.
기자가 Sky Mavis에 연락해 이번 해킹의 구체적인 방식에 대해 논평을 요청했으나, 회사는 답변을 거부했다. LinkedIn 또한 반복적으로 논평 요청을 거절했다.
오늘 초, ESET 연구소는 조사 결과를 발표하며 북한 해커 그룹 라자루스가 LinkedIn과 WhatsApp을 이용해 항공우주 및 국방 계약업체 종사자를 대상으로 채용 담당자 행세를 하고 있다고 밝혔다. 그러나 해당 보고서는 이 기술을 Sky Mavis 해킹 사건과 직접 연결 짓지는 않았다.
올해 4월 초, Sky Mavis는 바이낸스(Binance)가 주도하는 펀딩 라운드에서 1.5억 달러를 조달했다. 이 자금은 회사의 비상 자금과 함께 이번 취약점으로 피해를 본 사용자들에게 보상을 제공하는 데 사용될 예정이다. Axie Infinity는 최근 사용자 자금 환불을 6월 28일부터 시작한다고 밝혔다. 해킹 당시 갑작스럽게 중단되었던 Ronin의 이더리움 브릿지 또한 지난주 재가동되었다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
