편집 | 우톡(wu-talk) 블록체인

베이징 시간 2월 21일 저녁, 온체인 탐정 ZachXBT가 먼저 공개했듯이 Bybit에서 14억 6천만 달러 이상의 의심스러운 자금 유출이 모니터링되었고, mETH와 stETH가 현재 DEX에서 ETH로 교환되고 있습니다. 이는 암호화폐 역사상 (당시 금액 기준) 가장 큰 해킹 사건이 된 것으로 확인됩니다.

Coinbase 관리자 Conor Grogan은 북한의 Bybit 해킹 공격이 역사상 가장 큰 해킹 도난 사건(약 10억 달러 규모의 이라크 중앙은행 도난 사건을 상회)이라고 밝혔습니다. 이는 2016년 DAO 해킹 공격의 약 10배 규모이지만(공급량 비율은 훨씬 더 높음) 이더리움 분기를 요구하는 목소리가 나올 것으로 예상됩니다. (이 금액은 도난 당시 가치 기준)

Arkham은 트윗에서 체인 분석가 ZachXBT가 Bybit의 15억 달러 해킹 공격이 북한 지원 해커 조직 Lazarus Group에 의해 이루어졌다는 확실한 증거를 제공했다고 밝혔습니다. 그의 제출물에는 테스트 거래, 관련 지갑, 포렌식 차트 및 시간 분석에 대한 자세한 분석이 포함되어 있습니다. 관련 정보는 조사를 지원하기 위해 Bybit에 공유되었습니다.

Bybit CEO BEN은 트윗에서 약 1시간 전 Bybit ETH 다중 서명 콜드 월렛이 우리의 핫 월렛으로 전송했다고 밝혔습니다. 이 거래는 위조된 것으로 보이며, 모든 서명자가 SAFE의 올바른 주소와 URL이 표시된 위조된 UI를 보았지만, 서명 정보는 우리 ETH 콜드 월렛의 스마트 계약 로직을 변경하는 것이었습니다. 이로 인해 해커가 우리가 서명한 특정 ETH 콜드 월렛을 통제하고 콜드 월렛의 모든 ETH를 식별되지 않은 주소로 전송할 수 있었습니다. 다른 모든 콜드 월렛은 안전합니다. 모든 인출은 정상입니다. 추가 진전 사항을 계속 알려드리겠습니다. 도난당한 자금을 추적하는 데 도움을 줄 수 있는 팀이 있다면 기쁘게 협력하겠습니다. Bybit 핫 월렛, 웜 월렛 및 다른 모든 콜드 월렛은 안전합니다. 해킹당한 유일한 콜드 월렛은 ETH 콜드 월렛입니다. 모든 인출은 정상입니다.

Bybit 공식 트위터는 Bybit가 우리의 ETH 다중 서명 콜드 월렛과 관련된 무단 활동을 감지했다고 밝혔습니다. 사건 발생 당시 우리의 ETH 다중 서명 콜드 월렛이 우리의 핫 월렛으로 전송을 실행했습니다. 불행히도 이 거래는 복잡한 공격 조작을 통해 이루어졌는데, 이는 서명 인터페이스를 가렸고 올바른 주소를 표시했지만 기본 스마트 계약 로직을 변경했습니다. 따라서 공격자가 영향을 받은 ETH 콜드 월렛을 통제하고 자산을 식별되지 않은 주소로 이동시킬 수 있었습니다. 우리의 보안 팀은 선도적인 블록체인 포렌식 전문가 및 파트너와 긴밀히 협력하여 이 사건을 적극적으로 조사하고 있습니다. 블록체인 분석 및 자금 회수 분야의 전문성을 가지고 이러한 자산 추적을 지원할 수 있는 팀은 환영합니다. 우리는 다른 모든 Bybit 콜드 월렛이 완전히 안전하다는 것을 우리의 고객과 파트너에게 보장하고자 합니다. 모든 고객 자금은 안전하며 운영은 중단되지 않습니다. 투명성과 보안은 여전히 최우선 과제이며 신속한 업데이트를 제공할 것입니다.

Bybit는 다른 모든 Bybit 콜드 월렛이 안전하며 고객 자금이 영향을 받지 않고 안전하게 유지된다고 밝혔습니다. 현재 상황으로 인해 인출 요청이 급증하고 있음을 이해하고 있습니다. 이러한 높은 수량으로 인해 지연이 발생할 수 있지만 모든 인출은 정상적으로 처리되고 있습니다. Bybit는 200억 달러 이상의 자산 관리 규모를 보유하고 있어 손실을 보상할 수 있는 충분한 자산을 가지고 있으며 필요한 경우 브리지 대출을 활용하여 고객 자금의 가용성을 보장할 것입니다.

Coinbase 관리자 Conor Grogan은 Binance와 Bitget이 최근 5만 개 이상의 ETH를 Bybit의 콜드 월렛에 직접 예치했다고 트윗했습니다. 특히 Bitget의 예금은 이 거래소의 모든 ETH의 4분의 1을 차지하고 있습니다. 예금 주소를 건너뛰었기 때문에 이 자금은 Bybit 자체적으로 조정한 것으로 보입니다. Bybit CEO Ben Zhou는 "Bitget의 도움에 감사드리며, Binance와 다른 파트너들과도 협의 중입니다. 이 자금은 Binance 공식과 무관합니다."라고 말했습니다.

Bitget CEO Gracy는 "Bybit는 존경받는 경쟁자이자 협력 파트너이며, 이번 손실이 크지만 그들의 1년 수익 정도에 불과하다. 고객 자금은 100% 안전하므로 걱정할 필요가 없다."고 말했습니다. 또한 Gracy는 Bybit에 대출한 자금은 Bitget 자체 자산이며 고객 자산이 아니라고 밝혔습니다.

SlowMist 팀은 추가 세부 사항을 보완했습니다. 공격자는 악의적인 구현 계약을 배포한 후 3명의 소유자가 서명한 거래를 통해 Safe의 구현 계약을 악의적인 계약으로 교체했습니다. 그리고 악의적인 계약의 후크 기능인 sweepETH와 sweepERC20을 사용하여 핫 월렛 자금을 모두 청소했습니다.

Dilation Effect 분석에 따르면 이번 Bybit 사건은 이전 유사 사건과 달리 서명자 중 한 명만 타겟팅하면 공격을 완료할 수 있었습니다. 이는 공격자가 "사회 공학" 기술을 사용했기 때문입니다. 체인 상 거래를 분석하면 공격자가 delegatecall을 통해 악의적인 계약의 transfer 함수를 실행했고, transfer 코드는 SSTORE 명령어를 사용하여 슬롯 0의 값을 변경함으로써 Bybit 콜드 월렛 다중 서명 계약의 구현 주소를 공격자 주소로 변경했습니다. 이 다중 서명 거래를 시작한 사람/장치만 타겟팅하면 되었고, 나머지 검토자들은 단순한 전송으로 생각하여 경계심이 크게 낮아졌습니다.

Chainlink 데이터에 따르면 Bybit 보안 사건 공개 후 USDe가 일시적으로 $0.965까지 폭락했다가 $0.99로 회복되었습니다. Bybit는 USDe를 담보 자산으로 사용하여 모든 자산의 영구 계약을 거래할 수 있습니다. ethena_labs는 Bybit의 현재 상황에 주목하고 진행 상황을 계속 모니터링할 것이라고 밝혔습니다. 모든 현물 자산은 Copper Clearloop를 통한 Bybit와의 협력을 포함하여 오프체인 보관 솔루션에 보관되어 있습니다. 현재 어떤 현물 자산도 거래소에 보관되어 있지 않습니다. Bybit와의 헤지 포지션과 관련된 미실현 PNL 총액은 3,000만 달러 미만으로, 준비금의 절반 미만입니다. USDe는 현재 완전 담보 상태를 유지하고 있으며 최신 정보에 따라 업데이트될 것입니다.

Binance 공동 창립자 CZ는 "이는 쉽게 처리할 수 있는 상황이 아니며, 표준 보안 예방 조치로 모든 인출을 일시 중지하는 것이 좋을 것 같다. 필요하다면 어떤 도움이든 제공할 것"이라고 답변했습니다. He Yi는 도움을 제공할 의사를 밝혔습니다.

Safe 보안 팀은 Bybit와 긴밀히 협력하여 지속적으로 조사하고 있다고 밝혔습니다. 아직 공식 Safe 프론트엔드가 공격당했다는 증거는 발견되지 않았지만, 예방 차원에서 Safe Wallet의 일부 기능이 일시적으로 중단되었습니다. SlowMist의 Yuchen은 이전 Radiant Capital 사례와 유사할 수 있으며, 북한 해커 조직의 도난일 가능성이 있다고 말했습니다. Radiant Capital은 지난 10월 발생한 5,000만 달러 규모의 공격 사건이 북한 해커 조직과 관련이 있다고 밝혔습니다. 이 사건에는 복잡한 신원 위장과 다단계 피싱 공격이 포함되었습니다. 공격자는 이전 하청업체로 가장하여 민감한 자격 증명을 얻고 프로토콜 시스템을 침투하여 공격을 실행했습니다.

보안 분석가들은 이번 사건이 WazirX와 Radiant와 유사하며, 서명자의 컴퓨터 또는 중간 인터페이스가 해킹당했을 가능성이 있다고 분석했습니다. 이번 해킹 공격의 가능한 원인은 다음과 같습니다: 해커가 서명자의 컴퓨터/브라우저에 바이러스를 심어 거래를 악의적인 거래로 대체한 후 하드웨어 지갑으로 전송했을 수 있습니다. 이 바이러스는 스택의 어느 부분(예: 악성 확장, 지갑 통신 등)에 있을 수 있습니다. - 보안 인터페이스가 해킹되어 거래를 표시했지