Ars Technica • 43일 전

미국 제재 가상화폐 거래소, 서방 해킹에 1500만 달러 도난

IMP

7/10

핵심 요약

미국의 제재를 받은 키르기스스탄 기반 가상화폐 거래소 그리넥스(Grinex)가 서방 특수부서 소속 해커들의 공격으로 약 1,500만 달러 상당의 자산을 도난당하고 운영을 전면 중단했습니다. 이 거래소는 과거 제재를 받은 러시아 거래소의 실질적인 명의 변경(리브랜딩) entity로, 이번 해킹은 러시아의 금융 주권을 타격하기 위한 것이라는 주장이 나오고 있습니다. 블록체인 분석 업체들은 이번 사건이 내부자의 자금 유출(출금 사기)이 아닌 외부 사이버 공격일 가능성이 높다고 분석했습니다.

번역된 본문

텍스트 설정 스토리 텍스트 크기: 작게, 표준, 크게 너비: 표준, 넓게 링크: 표준, 주황색 구독자 전용 자세히 보기 탐색 모음으로 최소화

미국의 제재를 받은 키르기스스탄 등록 가상화폐 거래소 그리넥스(Grinex)는 '서방 특수부서' 해커들에 의해 1,300만 달러 상당의 자산이 탈취된 이후 운영을 중단한다고 밝혔다.

도난 사실을 확인한 블록체인 분석 업체 TRM의 연구원들은 그리넥스가 보고한 것보다 약 16개 더 많은 약 70개의 주소에서 자산이 빠져나간 것을 발견하고, 도난된 자산의 가치를 1,500만 달러로 추산했다. TRM과 또 다른 블록체인 연구 기관인 엘립틱(Elliptic) 모두 공격자들이 어떻게 그리넥스의 방어망을 뚫었는지에 대해서는 언급하지 않았다.

그리넥스는 법인 설립 후 16개월 동안 거의 지속적인 공격 시도를 받아왔다고 밝혔다. 이번 최신 공격은 해당 거래소의 러시아 사용자들을 표적으로 삼았다고 덧붙였다.

"러시아의 금융 주권에 직접적 타격"

그리넥스는 "이번 공격의 디지털 흔적과 성격은 우호적이지 않은 국가(비우호국)의 기관에서만 사용 가능한 전례 없는 수준의 자원과 기술을 보여준다"고 말했다. 이어 "예비 데이터에 따르면, 이번 공격은 러시아의 금융 주권에 직접적인 타격을 입히기 위해 조직적으로 조율된 것"이라고 덧붙였다.

그리넥스는 "이번 공격으로 인해 그리넥스 거래소는 부득이하게 운영을 중단하게 되었다"며 "확보된 모든 정보는 법 집행 기관에 전달되었으며, 형사 사건을 입건하기 위해 인프라 위치에 관련 신청서가 제출되었다"고 전했다.

TRM에 따르면, 키르기스스탄에 기반을 둔 두 번째 거래소인 토큰스팟(TokenSpot) 역시 해킹을 당했다. 이 거래소의 주소 중 두 개에서 피해를 입은 그리넥스 관련 지갑이 사용한 것과 동일한 자금 통합 주소로 자금이 전송되었다. 게다가 두 거래소 모두 수요일에 작동이 중단되어 동일한 공격자에 의해 공격받았을 가능성을 시사한다.

TRM은 토큰스팟이 작년 미국 재무부의 제재를 받은 그리넥스의 전면(프론트) 회사라고 밝혔다. 재무부 외국자산통제국(OFAC)은 그리넥스가 2022년 제재했던 거래소인 가란텍스(Garantex)의 리브랜딩된 버전이라고 밝혔다. 당시 재무부는 가란텍스가 "2019년 이후 불법 활동과 관련된 1억 달러 이상의 거래를 처리하면서 악명 높은 랜섬웨어 범죄자 및 기타 사이버 범죄자들을 직접적으로 지원했다"고 밝혔다.

작년 그리넥스에 대한 제재는 TRM이 해당 거래소가 가란텍스의 전면 회사일 가능성이 높다고 밝힌 지 몇 달 만에 이루어졌다. TRM은 목요일에 서방 특수부서가 이번 대규모 도난 사건의 배후라는 그리넥스의 주장을 확인할 수 없다고 밝혔다. 또한 TRM은 이번 도난 사건이 거래소를 폐업하기 전 자산을 현금화하려는 내부자에 의해 저질러진 것으로 보이지 않는다고 덧붙였다.

TRM은 "탈취된 총 가치가 상대적으로 낮고, 기술적 문제를 겪은 후 운영을 재개한 토큰스팟을 포함한 여러 플랫폼에서 대규모 및 소규모 지갑을 가리지 않고 무차별적으로 공격한 점을 고려할 때, 이번 사건은 이른바 '출금 사기(exit scam)'보다는 외부 사이버 작전일 가능성이 더 높다고 평가한다"고 설명했다.

엘립틱은 그리넥스가 "러시아와 강력한 유대 관계를 맺고 있으며, 러시아 루블을 암호화폐 자산으로 교환하는 가장 큰 거래소 중 하나"라고 말했다. 이 거래소는 현재까지 60억 달러 이상의 거래를 처리한 것으로 나타났다.

엘립틱은 "그리넥스는 가란텍스와 공통된 소유권 및 경영진을 가지고 있을 가능성이 높으며, 가란텍스에 부과된 제재에 대응하기 위해 설립된 것으로 보인다"며 "가란텍스가 폐쇄된 후 상당수의 유동성과 고객이 그리넥스로 이전했다"고 덧붙였다.

자산이 빠져나간 그리넥스 계정들은 이더리움 기반 스테이블코인인 USDT(테더)로 약 1,500만 달러에 달하는 송금 이체를 기록했다고 엘립틱은 전했다. 이 자금들은 이후 TRON 또는 이더리움 블록체인의 다른 계정으로 전송되었다. 이후 USDT는 TRX 또는 ETH로 변환되었다. 이러한 변환 과정을 통해 공격자들은 USDT 스테이블코인을 발행하는 테더(Tether) 사에 의해 도난 자산이 동결될 위험을 피할 수 있었다.

댄 구딘 (Dan Goodin) 수석 보안 에디터 댄 구딘은 멀웨어, 컴퓨터 보안 등의 보도를 총괄하는 Ars Technica의 수석 보안 에디터이다.

원문 보기

원문 보기 (영어)

Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav Grinex, a US-sanctioned cryptocurrency exchange registered in Kyrgyzstan, said it’s halting operations after experiencing a $13 million heist carried out by “western special services” hackers. Researchers from TRM, which has confirmed the theft, put the value of stolen assets at $15 million after discovering roughly 70 drained addresses, about 16 more than Grinex reported. Neither TRM nor fellow blockchain research firm Elliptic has said how the attackers slipped past Grinex’s defenses. Grinex said it has been under almost constant attack attempts since incorporating 16 months ago. The latest attacks, it said, targeted Russian users of the exchange. Damaging “Russia’s financial sovereignty” “The digital footprints and nature of the attack indicate an unprecedented level of resources and technology available exclusively to the structures of unfriendly states,” Grinex said . “According to preliminary data, the attack was coordinated with the aim of causing direct damage to Russia’s financial sovereignty.” “Due to the attack, the Grinex exchange is forced to suspend operations,” Grinex continued. “All available information has been transferred to law enforcement agencies. An application has been submitted to the location of the infrastructure to initiate a criminal case.” TRM said that TokenSpot, a second Kyrgyzstan-based exchange, was also breached. Two of the exchange’s addresses sent funds to the same consolidation address used by the affected Grinex-linked wallets. What’s more, both exchanges became inoperable on Wednesday, suggesting they were hit by the same attacker. TRM said TokenSpot was a front for Grinex, which the US Treasury Department sanctioned last year. The department’s Office of Foreign Assets Control said that Grinex, in turn, was a rebrand of Garantex, an exchange it had sanctioned in 2022 . The department said then that Ganantex had “directly facilitated notorious ransomware actors and other cybercriminals by processing over $100 million in transactions linked to illicit activities since 2019.” Last year’s sanctions against Grinex came a few months after TRM said that the exchange was likely a front for Ganantex. TRM said Thursday that it couldn’t confirm Grinex’s claim that Western special services were behind the heist. TRM also said that the theft didn’t appear to be performed by insiders in an attempt to liquidate assets before abandoning the exchange. “Based on the relatively low total value drained, the indiscriminate targeting of both large and small wallets across multiple platforms including TokenSpot—which has since resumed operations after claiming a technical issue—TRM assesses this incident was more likely an external cyber operation rather than an exit scam.” Elliptic said that Grinex has “strong ties to Russia and is one of the largest exchanges for exchanging Russian rubles for cryptoassets.” To date, it has processed transactions totaling more than $6 billion. “It is likely that Grinex has common ownership and management with Garantex and was established as a response to the sanctions imposed on Garantex,” Elliptic said. “Following the shutdown of Garantex, much of its liquidity and clients migrated to Grinex.” The drained Grinex accounts, Elliptic said, had outgoing transactions totaling about $15 million in USDT, an ethereum-based stablecoin its backers say is pegged to the value of the US dollar. The funds were then sent to further accounts on the TRON or ethereum blockchains. The USDT was then converted to either the TRX or ETH currencies. That conversation allowed the attackers to avoid the risk of the stolen assets being frozen by Tether, the company that issues the USDT stablecoin. Dan Goodin Senior Security Editor Dan Goodin Senior Security Editor Dan Goodin is Senior Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, hardware hacking, encryption, and passwords. In his spare time, he enjoys gardening, cooking, and following the independent music scene. Dan is based in San Francisco. Follow him at here on Mastodon and here on Bluesky. Contact him on Signal at DanArs.82. 6 Comments

가상화폐 사이버 보안 국제 제재 블록체인 러시아