편집 | 우톡 블록체인

2월 21일 저녁 베이징 시간, 온체인 탐정 ZachXBT가 처음으로 공개했듯이, Bybit에서 14억 6천만 달러 이상의 의심스러운 자금 유출이 감지되었고, mETH와 stETH가 현재 DEX에서 ETH로 교환되고 있습니다. 이는 암호화폐 역사상 (당시 금액 기준) 가장 큰 해킹 사건이 된 것으로 확인됩니다.

Coinbase 관리자 Conor Grogan은 북한이 Bybit를 해킹한 것이 역사상 가장 큰 해킹 사건(약 10억 달러 규모의 이라크 중앙은행 해킹 사건을 넘어섬)이라고 말했습니다. 이 금액은 2016년 DAO 해킹 사건의 약 10배에 달하지만(공급량 비율은 훨씬 더 높음), 이더리움 분기에 대한 요구가 있을 것으로 예상됩니다(당시 가치 기준).

Arkham은 트위터에서 온체인 분석가 ZachXBT가 Bybit의 15억 달러 해킹 사건이 북한 지원 해커 조직 Lazarus Group에 의해 이루어졌다는 확실한 증거를 제공했다고 밝혔습니다. 그의 제출물에는 테스트 거래, 관련 지갑, 포렌식 차트 및 시간 분석에 대한 자세한 분석이 포함되어 있습니다. 관련 정보는 조사를 지원하기 위해 Bybit와 공유되었습니다.

Bybit CEO BEN은 트위터에서 약 1시간 전 Bybit ETH 다중 서명 콜드 월렛이 우리의 핫 월렛으로 전송했다고 밝혔습니다. 이 거래는 위조된 것으로 보이며, 모든 서명자가 SAFE의 URL이 표시된 위조된 UI를 보았다고 합니다. 그러나 서명 정보는 우리 ETH 콜드 월렛의 스마트 컨트랙트 로직을 변경하는 것이었습니다. 이로 인해 해커가 서명된 특정 ETH 콜드 월렛을 제어하고 콜드 월렛의 모든 ETH를 식별되지 않은 주소로 이체할 수 있었습니다. 다른 모든 콜드 월렛은 안전합니다. 모든 인출은 정상적입니다. 더 많은 진행 상황을 알려드리겠습니다. 도난당한 자금을 추적하는 데 도움을 줄 수 있는 팀이 있다면 감사하겠습니다.

Bybit 공식 트위터는 Bybit가 우리의 ETH 다중 서명 콜드 월렛과 관련된 무단 활동을 감지했다고 밝혔습니다. 사건 발생 당시 우리의 ETH 다중 서명 콜드 월렛이 우리의 핫 월렛으로 전송을 실행했습니다. 불행히도 이 거래는 복잡한 공격 조작을 통해 이루어졌는데, 이는 서명 인터페이스를 가렸고 올바른 주소를 표시했지만 기본 스마트 컨트랙트 로직을 변경했습니다. 따라서 공격자가 영향을 받은 ETH 콜드 월렛을 제어하고 자산을 식별되지 않은 주소로 이체할 수 있었습니다. 우리의 보안 팀은 선도적인 블록체인 포렌식 전문가 및 파트너와 긴밀히 협력하여 이 사건을 적극적으로 조사하고 있습니다. 블록체인 분석 및 자금 회수 분야의 전문성을 가지고 이 자산을 추적하는 데 도움을 줄 수 있는 팀은 환영합니다. 우리는 다른 모든 Bybit 콜드 월렛이 완전히 안전하다는 것을 우리의 고객과 파트너에게 보장하고자 합니다. 모든 고객 자금은 안전하며 운영은 중단되지 않습니다. 투명성과 보안은 여전히 최우선 과제이며 신속한 업데이트를 제공할 것입니다.

Bybit는 다른 모든 Bybit 콜드 월렛이 안전하며 고객 자금이 영향을 받지 않고 안전하게 유지된다고 밝혔습니다. 우리는 현재 상황으로 인해 인출 요청이 급증하고 있음을 이해합니다. 이러한 높은 수량으로 인해 지연이 발생할 수 있지만 모든 인출이 정상적으로 처리되고 있습니다. Bybit는 200억 달러 이상의 자산 관리 규모를 보유하고 있어 손실을 보상할 수 있으며 필요한 경우 브리지 대출을 활용하여 고객 자금의 가용성을 보장할 것입니다.

Coinbase 관리자 Conor Grogan은 Binance와 Bitget이 최근 50,000 ETH 이상을 직접 Bybit의 콜드 월렛에 입금했다고 트윗했습니다. 특히 Bitget의 입금은 주목할 만한데, 이는 해당 거래소의 모든 ETH의 4분의 1을 차지합니다. 입금 주소를 거치지 않고 이루어진 이 자금은 Bybit 자체적으로 조정한 것으로 보입니다. Bybit CEO Ben Zhou는 이 시점에 Bitget이 도움을 주어 감사하다고 말했으며, Binance와 다른 파트너들과도 협의 중이라고 밝혔습니다.

Bitget CEO Gracy는 Bybit는 존경받는 경쟁자이자 협력 파트너라고 말했습니다. 이번 손실이 크지만 그들의 1년 수익 정도에 불과하며, 고객 자금은 100% 안전하므로 걱정할 필요가 없다고 말했습니다. 또한 Gracy는 Bybit에 대출한 자금은 Bitget 자체 자산이며 고객 자산이 아니라고 밝혔습니다.

SlowMist 팀은 추가 세부 사항을 제공했습니다. 공격자는 악의적인 구현 계약을 배포했고, 이후 공격자는 3명의 소유자가 서명한 거래를 통해 Safe의 구현 계약을 악의적인 계약으로 교체했습니다. 악의적인 계약의 백도어 기능 sweepETH와 sweepERC20을 이용해 핫 월렛 자금을 모두 청소했습니다.

Dilation Effect 분석에 따르면, 이전 유사 사건과 비교할 때 Bybit 사건에서는 서명자 중 한 명만 타겟팅하면 공격을 완료할 수 있었습니다. 이는 공격자가 "사회 공학" 기술을 사용했기 때문입니다. 온체인 거래 분석 결과, 공격자는 delegatecall을 통해 악의적인 계약의 transfer 함수를 실행했습니다. transfer 코드는 SSTORE 명령어를 사용하여 슬롯 0의 값을 변경함으로써 Bybit 콜드 월렛 다중 서명 계약의 구현 주소를 공격자 주소로 변경했습니다. 이 다중 서명 거래를 시작한 사람/장치만 타겟팅하면 되었고, 나머지 검토자들은 이 transfer를 보고도 경계심이 크게 낮아졌을 것입니다. 일반적으로 transfer를 보면 단순 송금으로 생각하지, 계약 변경인지 모르기 때문입니다.

Chainlink 데이터에 따르면, Bybit 보안 사건 공개 후 USDe가 일시적으로 $0.965까지 폭락했다가 $0.99로 반등했습니다. Bybit는 USDe를 담보 자산으로 사용하여 해당 거래소의 모든 영구 계약 자산을 거래할 수 있습니다. ethena_labs는 Bybit의 현재 상황에 주목하고 있으며 진행 상황을 계속 모니터링할 것이라고 밝혔습니다. 모든 현물 자산은 Copper Clearloop를 통한 Bybit와의 협력을 포함하여 오프체인 보관 솔루션에 보관되어 있습니다. 현재 Bybit와의 헤지 포지션과 관련된 미실현 PNL 총액은 3,000만 달러 미만으로, 준비금의 절반 미만입니다. USDe는 현재 완전히 담보되어 있으며 최신 정보에 따라 업데이트될 것입니다.

Binance 공동 창립자 CZ는 이는 쉽게 해결할 수 있는 상황이 아니며, 표준 보안 예방 조치로 모든 인출을 일시 중지하는 것이 좋을 것 같다고 답변했습니다. 그리고 필요하다면 어떤 도움이든 제공할 수 있다고 말했습니다. 허 이 (He Yi)는 도움을 제공할 의향이 있다고 밝혔습니다.

Safe 보안 팀은 Bybit와 긴밀히 협력하여 지속적으로 조사하고 있다고 응답했습니다. 현재까지 공식 Safe 프론트엔드가 침해되었다는 증거는 발견되지 않았지만, 예방 차원에서 Safe Wallet의 일부 기능이 일시적으로 중단되었습니다. SlowMist의 Cosine은 이전 Radiant Capital 사례와 유사할 수 있으며, 북한 해커 조직의 소행일 가능성이 있다고 말했습니다. Radiant Capital은 지난 10월 발생한 5,000만 달러 규모의 공격 사건이 북한 해커 조직과 관련이 있다고 밝혔습니다. 이 사건에는 복잡한 신원 위장과 다단계 피싱 공격이 포함되었습니다. 공격자는 이전 하청업체로 가장하여 민감한 자격 증명을 얻고, 이를 통해 프로토콜 시스템에 침투하여 공격을 실행했습니다.

보안 분석가들은 이번 사건이 WazirX와 Radiant와 유사하다고 보고 있습니다. 서명자의 컴퓨터 또는 중간 인터페이스가 해킹되었을 가능성이 있습니다. 이번 해킹의 가능한 원인은 다음과 같습니다: 해커가 서명자의 컴퓨터/브라우저에 바이러스를 심어 거래를 악의적인 거래로 대체한 후 하드웨어 지갑으로 전송했을 수 있습니다. 이 바이러스는 스택의 어느 부분에 있을 수 있습니다(예: 악성 확장, 지갑 통신 등). 보안 인터페이스가 해킹되어 거래를 표시했지만 실제로는 다른 악의적인 거래를 지갑으로 전송했을 수 있습니다. 결과적으로 서명자는 안전한 인터페이스에서 무해한 거래를 보았지만, 실제로는 악의적인 거래가 지갑으로 전송되었습니다. 완전한 사후 분석이 나오기 전까지는 정확한

바이비트(Bybit)는 즉시 이더리움(ETH)을 구매하지 않고 파트너가 제공하는 브릿지 대출에 의존할 것이라고 밝혔습니다. 모든 사용자가 인출할 수 있도록 보장하겠지만, 트래픽이 평소의 100배라 처리하는 데 시간이 걸릴 것이며, 대규모 인출에 대한 일부 리스크 확인이 필요할 것입니다.

Dilation Effect는 일반 하드웨어 지갑에 Safe 다중 서명 메커니즘을 사용해서는 대규모 자금 관리 요구 사항을 더 이상 충족할 수 없다고 지적했습니다. 공격자가 여러 서명자를 처리할 만큼 충분한 인내심이 있다면 추가 보안 조치가 없습니다. 대규모 자금 관리에는 기관급 보관 솔루션을 사용해야 합니다.

디파이라마(defillama) 데이터에 따르면 해킹 당한 자금을 포함하여 바이비트(Bybit)의 지난 24시간 총 유출액은 23.99억 달러입니다. 현재 플랫폼의 온체인 검증 가능 자산은 140억 달러를 넘으며, 비트코인과 테더 USDT(USDT)가 약 70%를 차지합니다. 바이비트(Bybit)는 관련 당국에 사건을 보고했으며 추가 정보를 얻은 후 업데이트할 것이라고 발표했습니다. 또한 온체인 분석 제공업체와의 협력을 통해 관련 주소를 식별하고 격리하여 악의적인 행위자가 이더리움(ETH)을 합법적인 시장에서 처분하는 것을 줄이고자 합니다.

이 사건은 이더리움(ETH) 포크에 대한 논의를 촉발할 수 있습니다. Conor Grogan은 포크 요구가 너무 급진적이라고 생각하지만 이 문제에 대한 진정한 토론이 있을 것으로 예상한다고 말했습니다. Arthur Hayes는 이더리움(ETH)의 대규모 투자자로서 2016년 DAO 해킹 사건 이후 이더리움(ETH)은 더 이상 "화폐"가 아니라고 생각합니다. 그는 커뮤니티가 다시 롤백을 결정한다면 이를 지지할 것이라고 말했습니다. 2016년에 이미 불변성에 반대하는 투표를 했기 때문입니다.