[스크랩] PlayDapp 플레이댑 해킹사건 사후조사

PlayDapp Post-Mortem on the Hacking Incident

Post image
Introduction
Regarding the recent hacking incident, the PlayDapp team will share the actions taken following the hack (within the permissible scope).

However, please understand that we cannot disclose specific details that may impact ongoing investigations by judicial authorities.

···
1. Incident Overview
On February 9th, 2024, at 10:39 PM (UTC+9), a hacking incident occurred where an unidentified group of hackers compromised the PlayDapp (PLA) token smart contract. The hacker illicitly obtained the private key, allowing them to change ownership and mint permissions of the contract to their account. They removed the existing administrator’s authorizations and invalidly minted 200 million PLA tokens to their account.

On the 12th at 10:09 PM, the hacker invalidly minted an additional 1.59 billion PLA tokens as a second attempt, but market circulation was halted as exchanges had already taken measures to freeze and hold incoming transactions, preventing them from being circulated.

On the 13th at 11:05 AM, the hacker eventually paused the compromised PLA smart contract.

···
2. Incident Timeline (UTC +9 time)
On January 16, 2024, at 11:13 AM, an email was received regarding a business request from a specific exchange whose domain was spoofed.

It was a domain-spoofed mail from the hacker. This e-mail was carefully crafted to resemble regular information request emails received from our major partner exchanges, with identical subject lines, sender email addresses (including username AND domain), and content.
Upon opening the attachment in the email, malicious code was executed, installing a tampered remote access multi-session tool.
Subsequently, the hacker gained remote control of the PC, leading to the theft of the administrator’s private key.
February 9, 2024, 10:39 PM — The hackers illicitly utilized the stolen private key to alter the entire permissions of the contract to their accounts, removing existing administrator’s authorizations, and invalidly minted 200 million PLA tokens to their accounts.

https://etherscan.io/address/0x6f53e6f92e85c084e10aaf35d4a44dee6a27892d

February 10, 2024, 02:00 AM — Upon recognizing the abnormal situation, the PlayDapp team urgently convened team members and notified major centralized exchanges of the situation, requesting the suspension of deposits, withdrawals, and trading activities.

2:22 AM: Upbit Exchange issued an advisory urging caution regarding PLA investments and temporarily halts deposits and withdrawals.
2:43 AM: Binance Exchange suspended PLA token deposits.
2:44 AM: Bithumb Exchange temporarily halted PLA deposits and withdrawals.
February 10, 2024, 4:17 AM — PlayDapp requested for removal of the PLA bridge on Polygon.

February 10, 2024, 4:30 AM — PlayDapp prepared a mitigation plan for the damage of the hacking incident.

February 10, 2024, 6:05 AM — PlayDapp announced the hacking incident on social media.

February 10, 2024, 2:28 PM — After removing the polygon bridge, PlayDapp announced the transfer of ALL PlayDapp-held PLA to a new, secure wallet in official community channels.

February 10, 2024, 2:50 PM — PlayDapp transferred its holdings of unlocked PLA tokens to a new address.

February 10, 2024, 3:10 PM — PlayDapp transferred locked-up PLA tokens to a new address.

February 10, 2024, 10:46 PM — The initial IDM was sent to the hacker, offering the White Hat reward, but the negotiation was unsuccessful.

https://etherscan.io/tx/0xcb660a82a33480b17527f8c6675e0f43dd875405aee3faffa520e702544f88f2

IDM: Hackers,

It will be difficult to move/exchange the stolen funds any further, we are currently in contact with law enforcement and blockchain intelligence companies.

If you return all access to the contract and the stolen funds by February 13, 2024, at 3:00 AM ET, we will pay a white hat reward of $1 million; otherwise, we will release the same amount as a bounty and work with law enforcement agencies in multiple jurisdictions to conduct a criminal investigation.

February 10, 2024, 11:31 PM — PlayDapp devised a mitigation action plan and posted an announcement regarding the strategy for responding to the hacker on social media.

February 12, 2024, 3:14 PM — PlayDapp shared PLA migration plans with three exchanges (Binance, Upbit, Bithumb).

February 12, 2024, 3:35 PM — Negotiations with the hacker broke down.

February 12, 2024, 10:09 PM — Following the dissolution of negotiations, the hacker invalidly minted an additional 1.59 billion PLA tokens using the stolen minting authority. However, preemptive measures were taken, and most of the associated transactions, including deposits and withdrawals, have already been halted and frozen by the respective exchanges.

https://etherscan.io/tx/0xc41687511e31f5612b73647c4b39e500e45dbfb2ae66789b7b8705d2336002f8

February 13, 2024, 00:29 AM — Announced to PlayDapp Community through official channels to: “Suspend all PLA Trading on DEXs” and “Withdraw all PLA Tokens from Swap Pool LPs.”

February 13, 2024, 11:05 AM — The PLA smart contract was paused by the hacker.

https://etherscan.io/tx/0x108528c6c6b9e63e2fd4d3a97c22a50b9f1e7843b51a6c1a1ae4c61fedaef27a

February 13, 2024, 7:46 PM — The PlayDapp team announced the PLA Migration Plan to the community.

February 13, 2024, 07:54 PM — The PlayDapp team announced the pause of the PLA smart contract on social media.

February 20, 2024, 5:41 PM — The PlayDapp team released a comprehensive guide on migrating PLA to PDA, titled “PLA to PDA Token Migration — Tutorial and FAQ.”

February 23, 2024, 6:30 PM — PlayDapp shared progress updates on the migration portal launch via social media.

March 11, 2024, 6:45 PM — PlayDapp posted the migration portal launch announcement.

March 13, 2024, 9:00 AM — PlayDapp launched the Migration Portal for self-custody PLA holders.

···
3. Root Cause Analysis
This analysis was conducted based on a digital forensic examination of the compromised PC by the WEB3 cybersecurity firm, “CYBERONE,” to analyze the root cause of the incident as follows:

On Jan. 16th, our team received a domain-spoofed mail from the hacker. This e-mail was carefully crafted, so it had the same title, the same sender e-mail address (username AND domain), and the same content that we regularly received from one of our main partner exchanges. This kind of domain spoofing could have been easily prevented by the domain owner, in this case, the exchange, by setting up a simple security measure called DMARC.

The analysis indicates that upon executing the malicious code contained in the attachment of the email, a compromised PC installed a tampered remote access multi-session tool. It was then remotely controlled by the hacker, resulting in the theft of the administrator’s private key.

···
4. Impact Assessment
In response to the incident, PlayDapp engaged the WEB3 cybersecurity firm, CYBERONE, to conduct a thorough forensic analysis of the administrator’s PC, aimed at identifying the root cause of the hacking incident. Additionally, to track the movement path of the invalidly minted PLA tokens totaling 1.79 billion, PlayDapp initiated collaboration with Uppsala Security, an official partner of Interpol.

Given the substantial inflow of stolen PLA tokens into some exchanges, the PlayDapp team promptly requested suspension of deposits and withdrawals through the hotlines of each exchange, while also requesting immediate freezing of the 34 suspected wallet addresses.

As a result, it was determined that a quantity of 163 million tokens was attempted to be deposited to exchanges, a significant portion of which has been identified as pending or frozen due to actions taken by the exchanges.

Furthermore, we have promptly prepared documentation detailing the aforementioned facts and have filed a report with the appropriate judicial authorities.

···
5. Response and Mitigation
The loss of ownership rights over the PLA token smart contract signifies that the project team can no longer proceed with the project using that contract. Moreover, as time passes, there is a risk of further malicious harm occurring.

PlayDapp has made the final decision to proceed with migration for the following reasons:

To ensure the continuity and stability of the project
To identify and prevent the circulation of the hacker’s tokens in the market
To identify and differentiate legitimate PLA token holders
The new smart contract will feature enhanced security measures, including the implementation of multi-signature functionality to fortify the signing process. Moreover, it will revoke minting permissions and segregate Snapshot, Pause, and Burn permissions for more effective management, significantly mitigating the risk of recurrence. Alongside these measures, the introduction of a DAO voting system aims to enhance user communication and transparency.

PlayDapp’s ongoing services will also undergo meticulous transitions to the new contract, ensuring continuity and security.

···
6. Implementations made
Following the hacking incident, the PlayDapp team implemented measures to decentralize private key management. Additionally, actions such as blocking tampered ports, preventing abnormal operations through Application Control, restricting remote port usage, and upgrading intrusion prevention system ratings have been taken to prevent any potential recurrence.

Besides, the team reinforced email account security for all members and implemented malware-blocking antivirus software.

Moving forward, PlayDapp has adopted the multi-signature in smart contracts to facilitate decentralized management of private keys. Each multi-signature is distributed across multiple cold wallets, ensuring that unauthorized access is virtually impossible.

···
7. Lessons Learned
1) Centralized and closed management can leave systems vulnerable to threats. This incident underscored the importance of decentralized and transparent management to enhance stability.

2) The necessity of transparent and continuous communication with the community became evident.

3) This incident highlighted the rapid advancement of malicious hacking techniques alongside the evolution of blockchain technology. It serves as a stark reminder of the critical importance of security measures.

We are committed to sharing these insights with relevant stakeholders in the industry to collaborate proactively in preventing similar incidents and mitigating potential risks. As part of our ongoing commitment to transparency and security, we will keep you updated with regular updates and share any relevant event reports with our community.

···
PlayDapp Community: Twitter｜Medium｜BinanceSquare｜CoinMarketCap｜Facebook｜Discord

Customer Service: https://playdapp.atlassian.net/servicedesk/customer/portals

PlayDapp 해킹사건 사후조사

포스트 이미지
소개
최근 발생한 해킹 사건과 관련하여 PlayDapp 팀은 해킹에 따른 조치(허용 범위 내)를 공유할 예정입니다.

다만 현재 진행 중인 사법당국의 수사에 영향을 미칠 수 있는 구체적인 내용은 공개할 수 없는 점 양해 부탁드립니다.

···
1. 인시던트 개요
2024년 2월 9일 오후 10시 39분(UTC+9), 정체불명의 해커 집단이 PLA(PlayDapp) 토큰 스마트 계약을 훼손하는 해킹 사건이 발생했습니다. 해커는 개인 키를 불법으로 취득하여 계약의 소유권과 권한을 자신의 계정으로 변경할 수 있도록 했습니다. 기존 관리자의 권한을 제거하고 계정으로 2억 개의 PLA 토큰을 무효로 발행했습니다.

해커는 지난 12일 오후 10시 9분 PLA 토큰 15억 9천만 개를 두 번째 시도로 무효로 추가 발행했지만, 이미 거래소들이 들어오는 거래를 동결하고 보류하는 조치를 취해 유통이 차단되면서 시장 유통이 중단됐습니다.

13일 오전 11시 5분, 해커는 결국 타협한 PLA 스마트 계약을 일시 중지했습니다.

···
2. 인시던트 타임라인(UTC +9회)
2024년 1월 16일 오전 11시 13분에 도메인이 스푸핑된 특정 거래소의 비즈니스 요청에 관한 이메일이 수신되었습니다.

그것은 해커가 보낸 도메인 스푸핑 메일이었습니다. 이 이메일은 동일한 제목, 보낸 사람 이메일 주소(사용자 이름 AND 도메인 포함) 및 내용으로 주요 파트너 거래소에서 받은 일반 정보 요청 이메일과 유사하도록 신중하게 제작되었습니다.
이메일의 첨부 파일을 열자 악성 코드가 실행되어 변조된 원격 액세스 멀티 세션 도구가 설치되었습니다.
그 후 해커는 PC를 원격으로 제어하여 관리자의 개인 키를 도난 당했습니다.
2024년 2월 9일 오후 10:39 — 해커들은 도난당한 개인 키를 불법적으로 사용하여 계약의 전체 권한을 자신의 계정으로 변경하여 기존 관리자의 권한을 제거하고 계정으로 2억 개의 PLA 토큰을 잘못 발행했습니다.

https://etherscan.io/address/0x6f53e6f92e85c084e10aaf35d4a44dee6a27892d

2024년 02월 10일 02:00 - PlayDapp팀은 이상 상황을 인지하고 팀원들을 긴급 소집하여 주요 중앙 집중 거래소에 입출금 및 거래 활동 중단을 요청하는 등의 상황을 통보하였습니다.

오전 2시 22분: 업비트 거래소는 PLA 투자에 대한 주의를 촉구하는 자문을 발표하고 입출금을 일시 중단했습니다.
오전 2시 43분: 바이낸스 거래소, PLA 토큰 예치 중단.
오전 2시 44분: 빗썸 거래소에서 PLA 입출금 일시 중지.
2024년 2월 10일 오전 4:17 - PlayDapp에서 Polygon에서 PLA 브리지 제거 요청.

2024년 2월 10일 오전 4시 30분 — PlayDapp은 해킹 사건 피해에 대한 경감 방안을 마련하였습니다.

2024년 2월 10일 오전 6시 5분 — PlayDapp은 소셜 미디어에 해킹 사건을 발표했습니다.

2024년 2월 10일 오후 2시 28분 — 다각형 다리를 제거한 후 플레이댑은 공식 커뮤니티 채널에서 ALL 플레이댑 보유 PLA를 새롭고 안전한 지갑으로 이전한다고 발표했습니다.

2024년 2월 10일 오후 2시 50분 - PlayDapp은 보유하고 있던 잠금 해제된 PLA 토큰을 새로운 주소로 이전했습니다.

2024년 2월 10일 오후 3시 10분 — PlayDapp은 잠금 상태의 PLA 토큰을 새 주소로 전송했습니다.

2024년 2월 10일 오후 10:46 — 초기 IDM이 해커에게 전송되어 화이트햇 보상을 제공했지만 협상에 실패했습니다.

https://etherscan.io/tx/0xcb660a82a33480b17527f8c6675e0f43dd875405aee3faffa520e702544f88f2

IDM: 해커들,

도난당한 자금은 더 이상 이동/교환이 어려울 것입니다, 현재 법 집행 기관 및 블록체인 인텔리전스 회사와 접촉하고 있습니다.

2024년 2월 13일 오전 3시까지 계약 및 도난당한 자금에 대한 모든 접근권을 반환해주시면 100만 달러의 화이트햇 포상금을 지급하고, 그렇지 않으면 현상금과 동일한 금액을 석방하여 복수의 관할권에 있는 법 집행 기관과 협력하여 범죄 수사를 진행할 것입니다.

2024년 2월 10일 11:31 PM — PlayDapp은 완화 조치 계획을 수립하고 소셜 미디어에 해커 대응 전략에 대한 공지를 게시했습니다.

2024년 2월 12일 오후 3시 14분 플레이앱은 3개 거래소(바이낸스, 업비트, 빗썸)와 PLA 마이그레이션 계획을 공유하였습니다.

2024년 2월 12일 오후 3시 35분 — 해커와의 협상이 결렬되었습니다.

2024년 2월 12일 오후 10:09 — 협상이 결렬된 이후 해커는 도난당한 조폐국을 이용하여 15억 9천만 개의 PLA 토큰을 무효로 발행하였습니다. 그러나 선제적인 조치가 취해졌고, 이미 해당 거래소들은 입출금을 포함한 대부분의 관련 거래를 중단하고 동결하였습니다.

https://etherscan.io/tx/0xc41687511e31f5612b73647c4b39e500e45dbfb2ae66789b7b8705d2336002f8


2024년 2월 13일 오전 00:29 - 공식 채널을 통해 플레이댑 커뮤니티에 "DEX에서 모든 PLA 거래 중단" 및 "스왑 풀 LP에서 모든 PLA 토큰 철회" 공지

2024년 2월 13일 오전 11:05 — 해커에 의해 PLA 스마트 계약이 일시 중지되었습니다.

https://etherscan.io/tx/0x108528c6c6b9e63e2fd4d3a97c22a50b9f1e7843b51a6c1a1ae4c61fedaef27a

2024년 2월 13일 오후 7:46 - PlayDapp 팀은 PLA Migration Plan을 커뮤니티에 발표했습니다.

2024년 2월 13일 07:54 PM — PlayDapp 팀은 소셜 미디어를 통해 PLA 스마트 계약 일시 중지를 발표했습니다.

2024년 2월 20일 오후 5:41 — PlayDapp 팀은 "PLA to PDA 토큰 마이그레이션 – 튜토리얼 및 FAQ"라는 제목의 PLA to PDA 마이그레이션에 대한 포괄적인 가이드를 발표했습니다

2024년 2월 23일 오후 6시 30분 — PlayDapp은 소셜 미디어를 통해 마이그레이션 포털 출시에 대한 진행 상황 업데이트를 공유했습니다.

2024년 3월 11일 오후 6시 45분 - PlayDapp은 마이그레이션 포털 시작 공지를 게시했습니다.

2024년 3월 13일 오전 9:00 - PlayDapp은 자가 보관 PLA 소지자를 위한 마이그레이션 포털을 시작했습니다.

···
3. 근본 원인 분석
이번 분석은 WEB3 사이버 보안 회사인 "CYBERONE"의 손상된 PC에 대한 디지털 포렌식 조사를 바탕으로 진행되어, 사건의 근본 원인을 다음과 같이 분석했습니다:

1월 16일, 우리 팀은 해커로부터 도메인 스푸핑된 메일을 받았습니다. 이 이메일은 신중하게 제작되어서, 같은 제목, 같은 보낸 사람의 이메일 주소(사용자 이름 AND 도메인), 그리고 우리가 주요 파트너 거래소 중 한 곳에서 정기적으로 받았던 것과 같은 내용을 가지고 있었습니다. 이런 종류의 도메인 스푸핑은 도메인 소유자, 이 경우, DMARC라고 불리는 간단한 보안 조치를 설정함으로써 거래소에 의해 쉽게 방지될 수 있었습니다.

분석 결과 이메일 첨부파일에 포함된 악성코드를 실행할 때 손상된 PC가 조작된 원격 접근 멀티 세션 도구를 설치한 것으로 나타났습니다. 그런 다음 해커가 원격으로 제어하여 관리자의 개인 키를 도난 당했습니다.

···
4. 영향평가
이 사건에 대해 플레이댑은 해킹 사건의 근본 원인을 밝히기 위해 WEB3 사이버 보안 회사인 사이버원(CYERONE)과 협력하여 관리자의 PC에 대한 철저한 법의학적 분석을 실시했습니다. 또한 플레이댑은 인터폴의 공식 파트너인 웁살라 시큐리티(Uppsala Security)와 협력을 시작하여 무효로 발행된 PLA 토큰 총 17억 9천만 개의 이동 경로를 추적했습니다.

플레이댑팀은 일부 거래소에 도난당한 PLA 토큰이 상당 부분 유입된 점을 감안해 각 거래소 핫라인을 통한 입출금 중단을 신속히 요청하는 한편 의심되는 34개 지갑 주소에 대해서도 즉시 동결을 요청했습니다.

그 결과 거래소에 1억 6300만 개의 토큰을 입금하려고 시도한 것으로 확인되었으며, 이 중 상당 부분은 거래소의 조치로 인해 보류되거나 동결된 것으로 확인되었습니다.

나아가 위와 같은 사실을 상세히 기재한 문서를 신속히 작성하여 해당 사법기관에 보고서를 제출하였습니다.

···
5. 대응 및 완화
PLA 토큰 스마트 계약에 대한 소유권 상실은 프로젝트 팀이 더 이상 해당 계약을 사용하여 프로젝트를 진행할 수 없음을 의미합니다. 더욱이 시간이 지남에 따라 추가적인 악의적인 피해가 발생할 위험이 있습니다.

PlayDapp은 다음과 같은 이유로 마이그레이션을 진행하기로 최종 결정했습니다:

프로젝트의 연속성 및 안정성 확보
해커의 토큰이 시장에 유통되는 것을 확인하고 방지하기 위해
합법적인 PLA 토큰 보유자 식별 및 차별화
새로운 스마트 계약은 서명 절차를 강화하기 위한 다중 서명 기능 구현을 포함하여 강화된 보안 조치를 특징으로 할 것입니다. 또한 보다 효과적인 관리를 위해 발행 권한을 취소하고 스냅샷, 일시 중지 및 굽기 권한을 분리하여 재발 위험을 크게 완화할 것입니다. 이러한 조치와 함께 DAO 투표 시스템의 도입은 사용자 커뮤니케이션과 투명성을 강화하는 것을 목표로 합니다.

플레이댑의 지속적인 서비스 또한 새 계약으로의 세심한 전환을 통해 연속성과 보안을 보장할 것입니다.

6. 구현
플레이댑 팀은 해킹 사건 이후 개인키 관리를 분산하는 조치를 시행했습니다. 이 밖에도 변조된 포트 차단, 애플리케이션 제어를 통한 이상 작동 방지, 원격 포트 사용 제한, 침입 방지 시스템 등급 업그레이드 등의 조치를 취해 재발 방지에 나섰습니다.

또한 팀은 모든 구성원의 이메일 계정 보안을 강화하고 멀웨어 차단 바이러스 백신 소프트웨어를 구현했습니다.

플레이댑은 개인 키의 분산 관리를 용이하게 하기 위해 스마트 계약에 다중 서명을 채택했습니다. 각 다중 서명은 여러 콜드 지갑에 분산되어 있어 무단 액세스가 사실상 불가능합니다.

···
7. 배운 교훈
1) 중앙 집중화되고 폐쇄적인 관리는 시스템을 위협에 취약하게 만들 수 있습니다. 이 사건은 안정성을 높이기 위해 분산되고 투명한 관리의 중요성을 강조했습니다.

2) 지역사회와의 투명하고 지속적인 소통의 필요성이 분명해졌습니다.

3) 이 사건은 블록체인 기술의 발전과 더불어 악성 해킹 기술의 급속한 발전을 보여주었습니다. 보안 조치의 중요성을 극명하게 보여주는 사건입니다.

우리는 업계의 관련 이해 관계자들과 이러한 통찰력을 공유하여 유사한 사고를 예방하고 잠재적인 위험을 완화하는 데 사전에 협력하기로 약속했습니다. 투명성과 보안에 대한 지속적인 약속의 일환으로, 우리는 정기적인 업데이트를 유지하고 관련 이벤트 보고서를 커뮤니티와 공유할 것입니다.