비트베리 특집(2): 비트베리의 KLAY를 가져간 해커의 흔적을 따라가보자

[연재]
- 비트베리 특집(1) - 비트베리 운영 잘 되고 있나? 수상하다.
- 비트베리 특집(2): 비트베리의 KLAY를 가져간 해커의 흔적을 따라가보자

 

사전 학습 :

코인데스크코리아 : [단독]해킹된 비트베리, 10~12억원어치 도둑맞았다

[단독]해킹된 비트베리, 10~12억원어치 도둑맞았다 - 코인데스크코리아

 

비트베리가 서비스 하는 코인은 BTC, ETH (및 ERC20), KLAY (및 KCT)를 지원하는 것으로 알고있다. 코인데스크코리아쪽 기사를 보면 비트베리의 이더월렛 정보(https://etherscan.io/txs?a=0x6b59210ade46b62b25e82e95ab390a7ccadd4c3a&p=1) 가 있다. BTC의 경우나 KLAY의 경우는?... 중앙DB화 되어 있을 것이라면 당연히 이들도 해킹 당했을 것이다. 그러니 피해 규모는 더 클 것이라는 이야기.

 

마침 이전에 클립 리뷰를 쓰다가 비트베리를 썼었다. 그래서 KLAY 트랜잭션이 있고, 비트베리의 핫 월렛을 찾을 수 있었다. 그래서 클레이튼은 얼마나 피해를 봤는지 조사해보기로 했다.

 

모든 증거는 현장에 있다. 일단 도난이 발생한 [비트베리의 KLAY 및 KCT 핫월렛] 으로 가보자.

 

 

움직이지마! 범인은 이 안에 있어!

 

현재 비트베리 KLAY 지갑 상태

트랜잭션을 보면 2020-07-07에 1,040,666 KLAY, 그리고 다음날인 2020-07-08에 635,102 KLAY가 빠져나가서 해킹이 의심된다.

(딱 보면 빼박이지만 만일을 대비해 의심체를 쓰겠다.)

 

또 2020-07-14에는 짜잘한 KLAY 잔액(약 3,000 KLAY정도)과 KCT들이 옮겨졌다.

처음엔 해커들이 KCT들을 빠뜨려서 추가로 가져갔나? 생각했다가 시점 (2020-07-08 이후 6일이 지난 이후)상 다시 가져갈 일도 없고... 그냥 비트베리에서 부랴부랴(6일정도 지났지만) 나머지 자산이라도 [새 지갑]으로 자산을 이동시킨것으로 파악된다.

 

 

여기까지가 지갑 상태 끝. 크게 봤을때 총 160만 KLAY정도가 해킹이 의심되며, 1 KLAY=180 KRW로 계산하면 약 2.8억 정도의 규모로 보인다.

 

주소와 트랜잭션을 따라가 보자.

분석 도구가 딱히 없다. 간단하면 엑셀을 쓸 수 있겠지만, 그리 간단해보이진 않는다. 그래서 네트워크 형태의 도표를 그려보기로 했다.

인터넷에서 쓸만한 도구가 없을까 조금 뒤져보다가 https://sketchboard.me/ 정도가 쓰기 적당해보였다.

 

그래서 최종적으로 만든 결과물은 다음과 같다. 정말 똥빠질뻔

https://sketchboard.me/TCfaAwgmYBEs#/

(public) follow Bitberry's KLAY | Sketchboard

 

쨔잔! 화장실도 안가며 몇시간 끙끙거린 결과물!

 

 

자체적으로 만든 표기방법에 대해 미리 설명해보겠다.

 

• 각각 노드처럼 보이는 색깔있는 도형들은 전부 KLAY 지갑이다.
• 파란색은 비트베리 소유, 초록색은 거래소를 나타낸다
• 빨간색은 해커의 지갑, 보라색은 해커로 아주 강하게 의심되는 지갑, 파란색은 해커로 의심되지 않는 지갑이다.
• 동그란 지갑의 경우 거래소 소유의 지갑이다. 거래소의 경우 회원별로 지갑을 생성하여 거래소에서 관리한다. 그래서 회원별 지갑에 입금이 되면 거래소는 어떤 회원에게 입금되었는지를 구분할 수 있다. 그리고 입금된 자산은 핫월렛으로 옮긴다. 대부분 거래소의 대부분 코인에 대해 이 방식이 사용되며, 비트베리의 경우도 이런 식으로 운영되어 왔다.
• 실선의 경우 KLAY의 이동을 의미한다. 위의 경우 100, 200, 300이 거래소소유지갑1로 이동되었고, 400, 500의 경우 거래소소유지갑2로 이동이 되었다. 거래소소유의 지갑에서 핫월렛으로의 이동은 별도 표기하지 않았다.
• 가능하면 왼쪽에서 오른쪽으로, 윗쪽에서 아랫쪽으로 스크롤 되게 구성하였다. 따라서 위의 경우 100,200,300 → 400,500 식으로 트랜잭션이 발생하였다.
• 주소별로 클레이튼 스코프 해당 주소로 링크를 해놨으므로, 실제 트랜잭션을 확인할 수 있다. 간혹 중요한 부분은 선에도 링크를 해놓았다.

 

 

KLAY의 해킹과 KCT의 피신

비트베리 핫월렛은 크게 두 개의 강한 트랜잭션을 맞는다. 1,040,666 KLAY가 어떤 곳으로 빠져나가고, 하루 지난 후 635,102 KLAY가 빠져나가게 된다.

[트랜잭션] 635,102 이동

[트랜잭션] 1,040,666 이동

 

 

 

첫번째, 100만 KLAY의 이동

그런데 해킹이 맞는것 같은데... 좀 급했나보다. 개인 지갑이 아닌 [거래소의 개인 계정 지갑]으로 이동했다. (뭔 깡으로?) 그래서 1백만 KLAY는 즉시 거래소로 옮겨진다.

 

여기서 한참을 분석해 본 결과, (전국 각지에 있는 정보원들의 첩보로) 해당 거래소는 Hoo.com임을 알 수 있었다. 참고로, 코인마켓캡을 보면 그래도 상위권에 있지만... 허수거래가 많고, 실 거래는 그리 많지 않다.

 

Hoo.com의 핫월렛을 살펴보면 이유를 알 수 있다. 해킹이 일어난 지난 10일간 핫월렛에서 출금된 건수는 고작 20건 채 되지 않는다. 그것도 해킹일 (10 days ago ~ 9 days ago)에 집중해서 나타났다. 맨 아래 빨간색이 100만 KLAY가 입금되고, 그 이후로 출금된 건들이 파란색이다.

 

 

확인해보니 Hoo.com의 경우 KYC가 필요 없는 거래소이다. 해커는 미리 알고 있었겠지만... 그래서 이론상으론 거래소에 들어가서, 다른 코인으로 (예를들어 비트코인이나 이더리움) 바꿔서 출금을 하면,... 그 이후부터는 거래소의 협조 없이는 추가 진행이 어렵다. (왜냐하면 내부 거래 장부를 알아야 하니까...) 하지만, 해커는 뭐가 급했는지 분할해서 KLAY를 인출하고 있다.

 

해커는 KLAY를 팔고 다른 누군가 KLAY를 사서 인출할 수 있지 않을까?라는 합리적인 의심을 해볼 수도 있다. 하지만 위의 경우 그러기 어려운 조건이 있는데, 가장 큰 이유는 해당 거래소의 KLAY 거래량 부족이다.

 

흔히 접할 수 있는 [지구는 돈다] 자전 거래

이것이 Hoo.com의 거래화면이다. 파란색 박스를 보면, 규칙적인 거래량, 일정한 시간 간격, 대동소이한 KLAY 갯수가 빼박 자전 돌리고 있음을 보여준다. 저게 빼박 자전이 아니라 실 거래라고 하더라도, 01:42:04~02:00:00 약 20분간 거래된 양은 정말 많아야 1만 KLAY 채 안된다.

 

 

다시 트랜잭션을 보면 빨간색은 2020-07-07 17:54이고, 첫 30만 KLAY가 나온게 2020-07-07 19:14로 2시간이 채 안된다. 그러니까 2시간 동안 손바뀜이 일어나려면 미친듯이 30만 KLAY를 팔아야 하는데?

 

 

너무나 일상적인 차트

차트는 안꺼내려 했지만... 해당 거래 시간대 보면 거래량 너무 평온하다... 결론적으로 들어간 KLAY 주인과 나간 KLAY 주인은 동일할 수 밖에 없겠네... (땅땅땅.)

 

태세전환! 팝콘을 준비하자!

 

 

그리하여 Hoo.com에서 나간 애들을 조사해보면 (기껏해야 20개도 안되니까) 거의 

 

Hoo.com에서 출금해서 처음 입금한 곳이 마침 또 거래소의 지갑이다ㅠㅠ(안습). 그 거래소는 어디냐 하면... 두둥... 코인원 되시겠다. 여기에 30만, 그리고 1만 KLAY가 입금된다.

코인원은 자랑스런 대한민국 4대 거래소로 KYC, AML은 철통처럼 지키는 것으로 알고있다. 4대 거래소 무시하지 마라. 그냥 4대가 아니라는 것.

 

 

그럼 나머지 트랜잭션이 간 주소들은?... 

 

• 1번 주소 : 31만 KLAY가 들어감 = 빼박 해커
• 2번 주소 : 2020-07-06에 첫 입금. 약 10만 KLAY가 입금되었다. 역시 규모로 봐서 빼박 해커. 아마 나름 코인원에 추가 계정 만들어 활용했을 것 같다. (뭐 KYC, AML 밑습니다...)
• 3번 주소 : 개인지갑이며, 1,877 KLAY로 금액도 적고 기존 거래내역에도 의심스러운 부분은 없어 보임
• 4번 주소 : 2020-07-08에 첫 입금. 46,298 KLAY. 빼박해커
• 5번 주소 : 2020-06-24에 첫 입금. 이건 거래소 계정은 아닌 일반 클레이튼 계정이다. 근데 입금 금액이 4번과 동일. 빼박해커
• 6번,7번,8번주소 : 정황상 빼박 해커인데, 5~8번의 경우 나도 모르는 제3의 해커야를 주장할 수도 있겠다. 뭐 여튼.

 

 

가장 큰 실수

그러니까 [코인원의 개인 KLAY 주소쪽]의 과거 거래 내역까지 살펴보면 그 과거가 나오는데.

빨간색이 해킹한 31만 KLAY의 이동이고, 그 이전 트랜잭션은 바로...

비트베리에서 [2,999,000 TEMCO]와 [4,999,950 SPIN]을 코인원으로 옮긴 것. 그게 무슨말이야??? 무슨말이냐면 2개월 전부터 비트베리의 사용자였다는 것이지. [오옹]...  참고로 비트베리에 가입을 하려면 전화번호부터 수집한다.. 더 이상의 자세한 설명은 생략하자.

(그 전의 8개월, 5개월 전의 SPIN 입금은 비트베리가 아닌 다른 곳에서 입금한 것이다. = 관심 없는 사항)

 

그러니까 가장 큰 실수는 코인원의 개인 계정으로, 그것도 이전에 비트베리를 사용하던 이력이 있는 계정으로 입금한 부분이 되겠다.

 

이 부분에서... 이전까지는 해외 사용자의 해킹 가능성도 꽤 있다고 봤는데, 이 트랜잭션으로 국내 사용자 ⇒ 비트베리 사용자 (⇒ ...혹시 내부자 또는 과거 내부자?)로 충분히 좁혀진다고 생각할 수 있다.

 

 

두번째, 63만 KLAY의 경우

처음과 다르게 [개인 지갑](사각형모양의 첫번째)로 입금한 이후, C거래소로 4개의 계정을 만들어 분할 입금시켰다. 뭐... [C거래소 핫월렛]는 정확하게 파악이 안됐는데... 잔고가 10,000 KLAY 정도라 큰 거래소는 아니다.

 

명확한 부분은 자산도 적고, 입출금 수도 적으니 Hoo.com보다 규모가 작다고 볼 수 있다. 당연히 KYC가 필수가 아닌 거래소일 것이고. 현재로는 Bilaxy정도로 예상은 되지만, 정확하지는 않다. 뭐... 100만 KLAY 이동에서 큰것들이 나와서... 이후는 별로 중요하지 않다.

 

두번째 63만 KLAY의 경우, 4개 지갑에서 이체된 이후 거래소에서 출금된 KLAY의 경우 큰 수량의 KLAY는 있으나, 첫번째 경우만큼 특이점을 못 찾겠다. 그러니까 그 짧은 순간에 해커도 진화한 것으로 분석된다. 한 4~5개의 주소를 분석하다 그만 뒀다. 실제 거래소에서 KLAY를 많이 팔아 손바꿈이 일어난 것으로 보인다.

 

마치며

코인판 이쪽이 아사리판이고 스캠과 사기꾼이 판치긴 하지만... 그래도 투명성이 높게 나온게 블록체인이다. 최근 일련의 사건 (예를들어 유통량을 지맘대로 만든 코오줌 코인이었나?)을 보면, 사기꾼들은 응징받아야 맞으나 (선량하다고 하지는 않을께요) 일부 홀더들이 더 큰 피해를 보고 있다. 비트베리의 경우도 피인수되면서 이제는 믿을 수 없는 중앙화 지갑이 되어 버렸지만, 이번 해킹의 피해 대부분은 사용자가 부담하게 되는 점이 매우 씁쓸했다.

 

비트베리 사건은 어서 조속히 해결되었으면 좋겠다.

 

 

<< 다음에 다시 만나요 >>

 

공지채널 : https://t.me/sohwak

소확코인 : 휴식중;;

 

잡담 -> 개나리반(포탈) or 밋업방에 거주중