테크레시피

7천억 해킹, 링크드인 가짜 구인 이용했다

플레이하는 것만으로 돈을 벌 수 있는 P2E(Play to Earn) 게임으로 인기를 얻는 엑시 인피니티(Axie Infinity)에서 이용되는 사이드체인으로부터 7,500억 원이 넘는 금액을 도난당한 수법으로 비즈니스 SNS인 링크드인을 이용한 가짜 구인이 이용됐다고 한다.

이 사건은 북한 사이버 범죄 그룹 관여가 밝혀졌지만 어떻게 수행된 것인지 자세한 내용은 알려지지 않았었다. 보도에 따르면 엑시 인피니티를 개발하는 스카이마비스 스태프 모집을 위해 2022년 초 링크드인을 통한 오퍼가 있었다. 그런데 실제로는 이 오퍼를 실시한 회사는 존재하지 않고 오퍼로 도착한 PDF 파일에는 스파이웨어가 담겨 있어 공격자가 네트워크에 침입, 사이드체인 로닌 네트워크 9개 검증자 중 4개가 탈취됐다.

완전히 제어하려면 5개를 탈취할 필요가 있었기 때문에 이 시점에는 공격은 불충분했다고 할 수 있지만 해커는 게임 생태계를 지원하기 위해 만들어진 엑시 DAO에서도 액세스하는 것으로 탈취 행위를 완수했다는 것.

해킹으로 인해 스카이 마비스는 유효성 검사기 노드 수를 11개로 늘리고 장기적으론 100개를 목표로 한다고 표명했다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사