암호 화폐 소개
암호 화폐는 쉽게 접할 수 있고 우리 가까이에 있다. 근처 사람들도 암호 화폐인 비트코인, 이더리움, 도지코인 등에 투자하기도 하였었지만 무엇보다 암호 화폐는 범죄에 자주 사용이 된다. 대표적으로 북한의 김수키(Kimsuky) 그룹이라던지, 랜섬웨어를 이용해 계좌 주소를 배경에 노출시켜 피해자로부터 암호 화폐를 받는 등의 사건들을 알 수 있을 것이다.
그래서 이번 대회에서 암호 화폐 분석을 진행하게 되어 이 글을 쓴다.
암호 화폐의 정의와 특징
암호 화폐란?
암호 화폐는 Cryptocurrencies로 암호화라는 뜻을 가진 crypto 와 통화, 화폐란 뜻을 가진 currency의 합성어로 안전한 거래를 위해 암호화를 사용하고 블록체인이라는 분산 기술에서 작동하는 일종의 디지털 또는 가상 통화이다. https://crypto.com/university/ko/what-is-cryptocurrency
암호화폐란 무엇입니까?
소개 디지털 시대에 암호화폐는 혁신적인 통화 형태로 등장하여 전 세계 개인과 기관의 관심을 끌었습니다. 많은 사람들이 비트코인 , 이더리움 , 심지어 도지코인 에 대해 들어봤을 수도 있지
crypto.com
블록체인의 역할은 투명하고 분산된 원장으로 네트워크를 통해 트랜잭션을 기록하여 투명성과 보안을 보장하고 중개자의 필요성을 제거한다. 여기서 트랜잭션을 이용하여 우리는 지갑끼리 거래 내역을 확인할 수 있다.
*분산원장 : 복제, 공유 또는 동기화 된 디지털 데이터에 대한 합의 기술
*트랜잭션 : 블록체인의 참여자간에 전송, 수신을 통해 저장되는 거래 기록
암호 화폐의 특징
- 암호 화폐는 정부가 발행하지 않으며 블록체인에서 생성이된다.
- 암호 화폐는 가상의 화폐로 마찰 없이 국경을 넘나들 수 있다.
- P2P 거래가 가능하며 암호 화폐 트랜잭션을 위해 이름이나 주소와 같은 개인정보를 제시할 필요가 없다.
- 암호 화폐 트랜잭션을 되돌릴 수가 없다.
라는 특징을 가지고 있어 국경을 넘어다니며 가상의 화폐인 암호 화폐를 명목 화폐로도 변경이 가능해 범죄에 자주 사용된다. 하지만 투명하게 기록되는 트랜잭션을 이용하여 거래에 대한 기록을 추적하여 피해자가 범죄자에게 암호 화폐를 전송한 기록을 이용해 범죄자의 계좌 추적이 가능하다.
주요 암호 화폐의 종류
ETH = 이더리움
https://ethereum.org/ko/what-is-ethereum/
Home | ethereum.org
Ethereum is a global, decentralized platform for money and new kinds of applications. On Ethereum, you can write code that controls money, and build applications accessible anywhere in the world.
ethereum.org
BTC = 비트코인https://bitcoin.org/ko/
비트코인 - 오픈소스 P2P 화폐
Bitcoin.org is a community funded project, donations are appreciated and used to improve the website. Make a donation
bitcoin.org
도지코인
Do Only Good Everyday
Do Only Good Everyday
dogecoin.com
wBTC = Wrapped Bitcoin 으로 비트코인(BTC)의 토큰화 버전으로, 이더리움 환경에서 비트코인을 쓸 수 있도록 지원하는 암호화폐이다.
https://www.btcc.com/ko-KR/academy/crypto-basics/what-is-wrapped-bitcoin
랩트비트코인(WBTC)란 무엇입니까? 丨코인 소개 - BTCC
랩트비트코인 또는 WBTC란「Wrapped Bitcoin」의 약칭으로, 비트코인을 담보로 한 스테이블 코인의 일종입니다. 랩트비트코인은 비트코인과 1대1로 연동되는 ERC-20 토큰으로 빗고(BitGo), 카이버 네
www.btcc.com
암호 화폐 추적 개요
암호 화폐 추적이란?
사실상 암호 화폐 포렌식이라 말하긴 애매해 암호 화폐 프로그램 포렌식을 과정을 간단하게 설명한다.
만약 코인 관련 범죄를 일으킨 가해자의 PC를 압수수색하여 덤프에 성공하였을때, 사용자가 무슨 거래 프로그램을 사용했는지에 대해 포렌식을 통해 분석을 해야 한다.
 Ledger Live |
 MetaMask |
나는 암호화폐 프로그램으로 Metamask와 Ledger Live를 분석해보았었는데, Metamask의 경우 크롬 확장 프로그램으로 동작되는 환경에서 분석하면서 크롬 history, cache 쪽을 살펴보면서 BTC를 ETH로 스왑하거나 이동 등 데이터를 획득할 수 있었으며 이를 통해 계좌들을 얻을 수 있었다.
Ledger Live의 경우 덤프된 시스템에서 로그인 없이 계좌 정보를 볼 수 있었으며, 사용하기 위해선 Ledger Live의 하드웨어 지갑 USB가 필요하다. 그래서 따로 USB 연결 정보도 확인이 필요하다.
계좌 주소를 얻어냈으면 계좌 내역을 추적해 스왑, 전송 등 정보를 모두 획득해 어떠한 과정으로 진행이 되었는지 확실히 분석을 해야 한다.
암호 화폐 포렌식의 목적과 필요성
암호 화폐 포렌식의 목적은 당연 범죄 수사 및 증거 확보이다.
지갑 프로그램은 암호화 기능을 제공하여 피압수자가 암호 화폐 프로그램을 사용하면 협조 없이 암호 화폐 몰수가 어렵기에 압수된 해당 시스템에서 암호 화폐 추적을 위한 지갑 주소, 트랜잭션 ID 를 얻어내 증거를 얻어낼 수 있다. 이를 이용하여 디지털 증거로 사용할 수 있다. 또한 자금 유출 및 돈세탁에 자주 사용되는 만큼 불법적 사용을 찾는데 사용할 수 있다.
암호 화폐 거래 분석
블록체인과 트랜잭션의 구조 이해
블록체인이란?
간단하게 네트워크 내에서 정보를 투명하게 공유할 수 있도록 하는 고급 데이터베이스 메커니즘으로, 연쇄적으로 연결된 블록에 데이터를 저장한다. 여기서 네트워크의 합의 없이 체인을 삭제하거나 수정할 수 없어 데이터는 시간 순서대로 일광성이 존재하고, 이를 이용하여 탈중앙화 변조 방지 시스템이 구성이 된다.
트랜잭션이란?
간단하게 제품을 샀다면 그걸 증명해주는 영수증이 존재하는 것처럼, 블록 체인 네트워크에서의 영수증과 같다.
블록체인의 데이터를 변환시키는 하나의 논리적 단위를 수행하기 위한 작업을 뜻한다. 즉 암호화폐를 이동시킬 때 그 움직임을 기록한 거래 기록으로 전송, 수신, 교환할 때 암호 화폐의 이동이 생겨 트랜잭션이 생성된다.
거래 내역 추적 및 분석 방법
암호 화폐 거래 내역 추적 방법은 간단하다. 트랜잭션 또는 지갑 주소를 알고 있으면 암호 화폐 탐색기를 이용하여 전송/수신/교환 정보들을 얻을 수 있다. 이를 기반으로 거래 내역들을 추적하여 분석을 진행할 수 있다.
비트코인의 경우
https://blockchain.com/explorer
Bitcoin Explorer - Blockstream.info
blockstream.info
이더리움 및 ERC20 토큰의 경우
Ethereum (ETH) Blockchain Explorer
Etherscan allows you to explore and search the Ethereum blockchain for transactions, addresses, tokens, prices and other activities taking place on Ethereum (ETH)
etherscan.io
Ethplorer — 이더리움 토큰 탐색기 및 데이터 뷰어. 상위 토큰, 차트, 시가총액, 분석
ethplorer.io
Swingby token
https://app.swingby.network/explorer
Swingby Skybridge
Swingby Skybridge
app.swingby.network
에서 트랜잭션을 검색하거나 지갑의 주소를 찾을 수 있다.
해당 암호 화폐 관련 블럭 탐색기를 이용하여 트랜잭션을 이용해 해당 지갑에서 어느 지갑로 이동하였는지 추적하고, 도착 지갑 주소가 어떤 역할을 하는지 분석해 어떤 암호 화폐로 스왑 또는 스테이킹이 되었는지 분석해 추적할 수 있다. 스왑은 union chain 과 같은 곳에서 진행하기 때문에 아래와 같은 주소로 이동하는 것을 확인할 수 있다.
또한 스왑 여부에 대해 분석하기 위해 트랜잭션 분석과 해당 시간대 거래 그래프를 이용하여 교환 금액대가 맞는지 분석한다.
*스왑 : 두 다른 암호 화폐가 존재할 때, 하나의 암호 화폐를 다른 암호화폐로 교환하는 것
*스테이킹 : 블록체인 네트워크에서 해당 블록체인의 가상자산(코인)을 예치(Staking)하고 해당 코인을 받아 수익을 얻는 것
암호 화폐 추적 솔루션
암호 화폐 추적 솔루션 개요
직접 etherscan 과 blockstream 등 내역 추적을 하기엔 생각보다 데이터가 많아 중간에 과정을 놓치거나 가독성이 떨어지는 경우가 많다. 그래서 빠르게 거래 내역을 보거나 자금세탁 등 분석에 어려움을 겪을 수 있는데 이때 암호 화폐 추적 솔루션을 이용하여 분석에 편리하게 할 수 있다.
사용 가능한 도구
유료 도구 :
Cryptocurrency Investigation Tool - QLUE
QLUE is the professional cryptocurrency investigation tool, designed by investigators for crypto tracking, analysis, and visualization.
qlue.io
무료 도구 :
OXT
OXT IS A TOOL DESIGNED FOR DESKTOP COMPUTERS WITH A MINIMUM DISPLAY RESOLUTION OF 1280*520 PIXELS
oxt.me
그 외에도 많은 툴들이 존재한다.
마무리 하며..
암호화폐를 이동시킬 때 그 움직임을 기록한 거래 기록으로 전송, 수신, 교환을 하면 무조건 트랜잭션이 발생한다. 여기서 이 트랜잭션을 꼭 마지막까지 살펴보자. 어느 위치로 이동했고 그 금액이 어디로 이동하는지, 어떠한 과정을 통해 스왑 또는 스테이킹했는지 추적해 분석하자.
'기술보안 > 기타' 카테고리의 다른 글
| SRUDB(SRUM) 분석 (0) | 2023.12.31 |
|---|---|
| [Active Directory] 3장. AD 기본 계정과 권한 (0) | 2023.11.30 |
| 레드팀 인프라 구축(3) (그레이 공간 생성과 클라우드 설정) (0) | 2023.09.30 |
| [Active Directory] 2장. AD 설치 및 AD Join (0) | 2023.07.31 |
| [Active Directory] 1장. AD의 개념과 특징 (0) | 2023.07.25 |