휴머니티 "토큰 해킹, 북한 해커 소행으로 확인"

휴머니티 프로토콜이 최근 발생한 대규모 보안 침해 사고의 배후로 북한 연계 해킹 조직을 지목했다. 공격자는 정교한 피싱 공격으로 핵심 권한을 탈취해 막대한 물량의 토큰을 시장에 던지며 가격 폭락을 야기했다.

13일(현지시간) 휴머니티 프로토콜 측은 공식 X를 통해 "지난 8일 발생한 H 토큰 침해 사고와 관련해 블록체인 보안업체 퀀트스탬프의 독립적인 조사 결과, 공격자가 북한 해커의 특징적인 도구와 수법을 사용한 것으로 확인됐다"고 발표했다.

먼저 해커는 국내 가상자산 거래소 빗썸을 사칭한 피싱 이메일을 휴머니티 프로토콜 소속 임원에게 발송했다. 임원이 악성 첨부파일을 실행하자 서명된 1단계 로더가 원격 제어 악성코드를 설치했고, 해커는 엔드포인트 보안망을 뚫고 기기의 전체 원격 데스크톱 제어 권한을 획득했다.

보안 감사를 진행한 퀀트스탬프 측은 "한컴 서명이 포함된 악성 로더, 특정 원격 데스크톱 래퍼 사용, 마이크로소프트 디펜더의 네트워크 검사 서비스로 위장한 바이너리, 숨겨진 게스트 사용자 프로필 등은 모두 북한 해킹 그룹의 전형적인 침해 패턴"이라고 설명했다.

해커는 탈취한 기기 내 지갑 데이터와 프라이빗 키를 활용해 곧바로 온체인 공격을 감행했다. 이더리움 네트워크에서 스마트 컨트랙트를 업그레이드해 약 1억4118만 개의 H 토큰을 빼돌렸다. 바이낸스스마트체인(BSC)에서는 컨트랙트 권한을 탈취해 새로운 토큰을 무단으로 찍어냈다. 탈취 및 무단 발행된 물량은 약 8시간에 걸쳐 유니스왑과 팬케이크스왑 등 탈중앙화거래소(DEX)에 매도돼 심각한 유동성 고갈과 가격 폭락을 불러왔다.

휴머니티 프로토콜 측은 "현재 이더리움 상의 H 토큰 컨트랙트는 해커가 통제하지 못하는 다중서명 지갑을 통해 안전하게 동결했다"면서도 "BSC 네트워크의 경우 여전히 해커가 관리자 권한을 유지하며 추가 발행이 가능한 상태"라고 밝혔다. 이어 "가상자산 거래소들과 협력해 사태를 수습 중"이라며 "조만간 커뮤니티를 위한 피해 복구 계획을 공식 채널을 통해 발표할 예정"이라고 덧붙였다.

한편 이번 해킹 사태 직후 고점 대비 80% 이상 폭락하며 0.05달러 선까지 주저앉았던 H 토큰은 최근 강한 저점 매수세가 유입되며 50% 넘게 반등해 0.3달러 선을 회복했다.