저자: Lisa & 23pds

편집자: 셰리

배경

2025년 6월 18일, 온체인 탐정 ZachXBT는 이란 최대 암호화폐 거래 플랫폼인 Nobitex가 해킹을 당하여 여러 퍼블릭 체인에 걸쳐 대량의 자산이 비정상적으로 이체된 것으로 의심된다고 밝혔습니다.

 (https://t.me/investigations)

SlowMist는 이 사건으로 영향을 받은 자산에 TRON, EVM, BTC 네트워크가 포함되었으며, 초기 추정 손실액은 약 8,170만 달러라고 확인했습니다.

 (https://x.com/slowmist_team/status/1935246606095593578)

노비텍스는 일부 인프라와 핫 월렛이 실제로 무단 접근을 당했다는 사실을 확인하는 발표를 했지만, 사용자 자금은 안전하다고 강조했습니다.

 (https://x.com/nobitexmarket/status/1935244739575480472)

공격자는 단순히 자금을 이체했을 뿐만 아니라, 특별히 설계된 파기 주소로 상당한 양의 자산을 적극적으로 이체했다는 점에 주목할 필요가 있습니다. "소각"된 자산의 가치는 거의 1억 달러에 달했습니다.

 (https://x.com/GonjeshkeDarand/status/1935412212320891089)

타임라인

6월 18일

• ZachXBT는 이란 암호화폐 거래소 노비텍스(Nobitex)가 해킹당한 것으로 의심되며, 트론(TRON) 체인에서 다수의 의심스러운 출금 거래가 발생했다고 밝혔습니다. SlowMist는 공격에 여러 체인이 연루되었으며, 초기 추정 손실액은 약 8,170만 달러라고 추가로 확인했습니다.
• 노비텍스는 기술팀이 일부 인프라와 핫 월렛에 대한 불법적인 접근을 감지하고 즉시 외부 인터페이스를 차단하고 조사를 시작했다고 밝혔습니다. 콜드 월렛에 저장된 자산의 대부분은 영향을 받지 않았으며, 침입은 일일 유동성 관리에 사용되는 일부 핫 월렛에만 국한되었습니다.
• 해커 그룹인 프레데터리 스패로우(Gonjeshke Darande)는 이 공격에 대한 책임을 주장하고 24시간 내에 노비텍스 소스 코드와 내부 데이터를 공개하겠다고 발표했습니다.

 (https://x.com/GonjeshkeDarand/status/1935231018937536681)

6월 19일

• 노비텍스는 네 번째 성명을 발표하며 플랫폼이 서버에 대한 외부 접근을 완전히 차단했으며, 핫 월렛 이체는 "자금 보호를 위해 보안팀이 진행한 능동적인 마이그레이션"이라고 밝혔습니다. 동시에, 관계자는 도난당한 자산이 임의의 문자로 구성된 비표준 주소를 가진 일부 지갑으로 이체되었으며, 이를 통해 사용자 자산이 약 1억 달러 상당으로 파괴되었다고 확인했습니다.
• 해커 그룹인 프레데터리 스패로우(Gonjeshke Darande)는 약 9천만 달러 상당의 암호화폐 자산을 소각했다고 주장하며, 이를 "제재 회피 도구"라고 불렀습니다.
• 해커 그룹인 프레데터리 스패로우(곤제슈케 다란데)가 노비텍스 소스코드를 공개했습니다.

 (https://x.com/GonjeshkeDarand/status/1935593397156270534)

소스 코드 정보

공격자가 공개한 소스코드 정보에 따르면 폴더 정보는 다음과 같습니다.

구체적으로 다음과 같은 내용이 포함됩니다.

노비텍스의 핵심 시스템은 주로 파이썬으로 작성되었으며, K8s를 사용하여 배포 및 관리됩니다. 알려진 정보를 바탕으로, 공격자가 운영 및 유지 관리 경계를 넘어 인트라넷에 침입했을 가능성이 있다고 추정되며, 본 문서에서는 분석하지 않습니다.

MistTrack 분석

공격자는 합법적인 것처럼 보이지만 통제할 수 없는 여러 개의 "파기 주소"를 사용하여 자산을 수령했습니다. 이러한 주소 대부분은 온체인 주소 형식 검증 규칙을 준수하여 자산을 성공적으로 수령할 수 있지만, 자금이 이체되면 영구적으로 파기됩니다. 동시에, 이러한 주소에는 감정적이고 도발적인 단어가 포함되어 있어 불쾌감을 줍니다. 공격자가 사용한 "파기 주소" 중 일부는 다음과 같습니다.

• TKFuckiRGCTerroristsNoBiTEXy2r7mNX
• 0xffFFfFFffFFffFfFffFFfFfFfFFFFfFfFFFF죽음
• 1FuckiRGCTerroristsNoBiTEXXXaAovLX
• DFuckiRGCTerroristsNoBiTEXXWLW65t
• FuckiRGCTerroristsNoBiTEXXXXXXXXXXXXXXXXXXX
• UQABFuckIRGCTerroristsNOBITEX11111111111111111_jT
• 원19퍽터0퍽터0퍽터0rxn7kj7u
• rFuckiRGCTerroristsNoBiTEXypBrmUM

우리는 분석을 위해 온체인 자금세탁 방지 및 추적 도구인 MistTrack을 사용했으며, Nobitex의 손실에 대한 불완전한 통계는 다음과 같습니다.

MistTrack 분석에 따르면 공격자는 TRON에서 110,641건의 USDT 거래와 2,889건의 TRX 거래를 완료했습니다.

공격자가 탈취한 EVM 체인에는 주로 BSC, Ethereum, Arbitrum, Polygon, Avalanche가 포함됩니다. 각 생태계의 주요 암호화폐 외에도 UNI, LINK, SHIB 및 기타 토큰도 포함됩니다.

비트코인에서 공격자는 총 18.4716 BTC, 즉 약 2,086건의 거래를 훔쳤습니다.

공격자는 Dogechain에서 총 39,409,954.5439 DOGE, 약 34,081건의 거래를 훔쳤습니다.

Solana에서 공격자는 SOL, WIF, RENDER를 훔칩니다.

공격자는 TON, Harmony, Ripple에서 각각 3,374.4 TON, 35,098,851.74 ONE, 373,852.87 XRP를 훔쳤습니다.

MistTrack은 관련 주소를 악성 주소 데이터베이스에 추가했으며, 관련 체인 동향에 계속해서 주의를 기울일 것입니다.

결론

노비텍스 사건은 업계에 보안이 얼마나 중요한지를 다시 한번 일깨워줍니다. 플랫폼은 보안을 더욱 강화하고, 특히 일상 업무에 핫월렛을 사용하는 플랫폼의 경우 더욱 진보된 방어 메커니즘을 도입해야 합니다. SlowMist는 다음과 같이 권고합니다.

• 콜드 월렛과 핫 월렛의 권한과 접근 경로를 엄격하게 분리하고, 핫 월렛 호출 권한을 정기적으로 감사합니다.
• 온체인 실시간 모니터링 시스템(예: MistEye)을 사용하여 포괄적인 위협 정보와 동적 보안 모니터링을 시기적절하게 확보합니다.
• 비정상적인 자금 흐름을 신속하게 감지하기 위해 온체인 자금세탁 방지 시스템(예: MistTrack)과 협력합니다.
• 공격 발생 후 골든윈도우 내에서 효과적인 대응이 가능하도록 비상 대응 메커니즘을 강화합니다.
• 해당 사건은 아직 조사 중이며, SlowMist 보안팀은 적절한 시기에 후속 조치를 취하고 진행 상황을 업데이트할 예정입니다.