웹3 보안업체, 레이디언트 캐피탈 해킹의 북한 연루 사실 확인

레이디언트 캐피탈이 5000만 달러 규모의 해킹 사건에 대한 새로운 사실을 공개하며, 이번 공격이 북한 연계 해커 그룹의 소행이라는 결론에 도달했다. 이 해킹 사건은 2024년 10월 16일에 발생했으며, 레이디언트 캐피탈은 Mandiant, zeroShadow, Hypernative 및 SEAL 911과 같은 사이버 보안 업체들과 협력하여 공격의 원인을 조사하고 피해를 완화하기 위한 노력을 기울였다.

해커들은 텔레그램을 통해 배포된 악성 소프트웨어를 이용해 액세스 권한을 획득했다. 레이디언트 개발자 중 한 명이 예전 계약자를 사칭한 인물로부터 보내진 메시지를 통해 악성 파일을 열어보면서 문제가 시작됐다. 이 메시지는 스마트 계약 감사와 관련된 신뢰할 수 있는 파일로 가장해, 피해를 최소화하는 느낌을 주었다.

해커가 보낸 파일, 제목은 Penpie_Hacking_Analysis_Report.zip,을 열자 macOS 백도어 악성코드인 INLETDRIFT가 설치되었고, 이 악성코드는 외부 서버와 통신을 시작했다. 이 과정에서 악성 코드는 실제 PDF 파일처럼 보이게끔 설계되어 개발자들의 경각심을 낮추었다. 레이디언트는 엄격한 보안 프로토콜을 준수하고 있는 상황에서도 프론트엔드 트랜잭션 데이터를 조작한 악성코드로 인해 속수무책이 되어버렸다. 개발자들은 악성 거래를 합법적인 것으로 착각하며 서명하게 되었고, 이에 따라 해커의 침입은 일상적인 점검에서 거의 탐지되지 않고 지나쳤다.

zeroShadow는 이 사건이 북한과 연관되어 있다는 레이디언트의 평가를 지지하며, 12월 9일 성명을 발표했다. 이들은 “오프체인 및 온체인에서 수집한 여러 지표를 바탕으로 10월 16일 레이디언트 캐피탈 사건이 북한의 소행임을 높은 확신을 가지고 평가한다”라고 밝혔다. 또한, 해킹 후 발생한 자금 흐름을 추적한 결과, 해킹 피해자들이 권한을 회수하지 않아 Hyperliquid로의 자금 이동이 발생한 것으로 나타났다.

레이디언트 캐피탈은 LayerZero 기술을 활용하여 크로스체인 기능을 통합하는 분산형 대출 및 차입 프로토콜이다. DefiLlama의 최신 수치에 따르면, 해당 플랫폼의 총 가치 고정(TVL)은 600만 달러에 불과하여, 올해 들어 97% 이상 감소한 수치를 기록했다. 이번 해킹 사건은 올해 레이디언트가 처음 당한 사건이 아니다. 1월에는 스마트 계약의 취약점을 악용당해 450만 달러의 손실을 보았으며, 당시 총 가치 고정(TVL)은 3억 달러를 넘는 수준이었다고 한다. 이러한 사실은 위기 속에서도 자산 잠금 규모가 급감하고 있다는 점을 시사한다.

레이디언트 캐피탈의 안전성은 아직도 많은 관심을 받고 있으며, 향후 이러한 사건이 재발하지 않도록 보안 강화에 대한 논의가 필요하다. 레이디언트는 DeFi 시장에서의 회복과 성장을 위해 더욱 철저한 보안 조치를 취해야 할 것이다.