암호화폐 수사관들이 2025년 5월 16일 여러 솔라나 지갑에서 320만 달러가 유출된 사건이 북한과 연계된 라자루스 그룹(Lazarus Group)의 특징을 보인다며 경고를 발령했으며, 도난당한 자산은 신속하게 온체인에서 매각되어 이더리움으로 브리지된 후 일부가 토네이도 캐시(Tornado Cash)를 통해 세탁되었다.
29일(현지시간) 크립토폴리탄에 따르면, 암호화폐 수사관들이 2025년 5월 16일 여러 솔라나 지갑에서 320만 달러가 유출된 사건에 대해 북한과 연계된 라자루스 그룹(Lazarus Group)의 특징을 보인다며 경고했으며, 도난당한 자산은 신속하게 온체인에서 매각되어 이더리움으로 브리지된 후 일부가 토네이도 캐시(Tornado Cash)를 통해 세탁되었다고 밝혔다.
5월 16일 피해자의 솔라나 주소에서 토큰들이 비워졌으며, 자산들은 브리지를 통해 이더리움으로 변환된 후 일부가 토네이도 캐시에 입금되었다.
블록체인 연구원 잭엑스비티(ZachXBT)가 공개적으로 이번 해킹을 지적하며 이전 라자루스 활동과 유사점을 제시했다.
블록체인 수사관들은 솔라나에서 "C4WY…e525" 주소로부터 대규모 전송을 관찰한 후 처음 경보를 발령했다.
악명 높은 라자루스 그룹과 연결된 이러한 거래는 도난당한 토큰을 브리지를 통해 이동시키고 이더리움으로 변환하는 과정을 포함했다. 잭엑스비티는 브리지 활동을 모니터링하고 궁극적으로 이더리움의 지갑 네트워크에 도달한 자금을 추적하여 공격을 지적했다.
6월 25일과 27일에 400 이더가 두 번의 별도 입금으로 토네이도 캐시에 전송되었다. 약 160만 달러에 해당하는 이러한 800 이더 거래는 라자루스 그룹의 잘 문서화된 세탁 전술과 일치한다.
2025년 2월 15억 달러가 도난당한 바이비트(Bybit)와 2022년 하모니의 호라이즌 브리지(Harmony's Horizon bridge)에서 1억 달러를 포함한 기타 주목할 만한 해킹 등 주요 해킹 사건 이후, 라자루스는 거래 흔적을 난독화하여 자금을 세탁하기 위해 탈중앙화 거래소와 크로스체인 브리지와 함께 토네이도 캐시를 반복적으로 사용해왔다.
약 125만 달러가 이더리움의 "0xa5…d528"로 식별된 지갑 주소에 DAI와 이더의 조합으로 보관되어 있다. 분석가들은 이러한 자금이 향후 세탁을 위해 보관되어 있거나 탐지 위험을 완화하기 위해 의도적으로 휴면 상태로 유지되고 있을 수 있다고 추측한다.
라자루스 그룹은 가장 활발한 국가 연계 사이버 범죄 조직으로 명성을 얻었으며, 북한 제재에서 평양의 엘리트 군사 정보 부대와 연결된 지능형 지속 위협(Advanced Persistent Threat)으로 지정되었다. 수년에 걸쳐 2017년 이후 수십억 달러의 암호화폐를 훔쳤다.
이들의 수법은 종종 핵심 인력에 대한 피싱이나 멀웨어 기반 침투로 시작하여 스마트 계약 결함이나 지갑 취약점을 악용한다. 자금이 확보되면 신속하게 유동 자산으로 변환되고 여러 지갑으로 분할되며 토네이도 캐시 같은 믹서와 고객확인제도(KYC) 요구 사항 없이 즉시 스왑을 제공하는 서비스를 사용하여 체인 간에 세탁된다.
토네이도 캐시는 라자루스의 세탁 전략의 핵심으로 남아 있다. 2022년 미국 제재가 가해졌지만, 탈중앙화 호스팅과 불변성으로 인해 서비스가 영구 차단을 회피할 수 있었다. 2025년 1월 미국 항소법원은 라자루스가 믹서를 지속적으로 사용한다는 증거가 증가하고 있음에도 불구하고 표현의 자유 고려사항을 인용하여 해당 제재를 뒤집었다.
규제 당국과 거래소는 이제 지적된 주소를 의심스러운 것으로 표시하는 조치를 취할 수 있다. 하지만 라자루스의 세탁 파이프라인의 속도와 복잡성으로 인해 믹싱 서비스는 도난당한 자금의 이동을 은폐하는 데 충분히 효과적인 것으로 계속 입증되고 있다.