史上最大加密资产失窃案

作者：木沐

出品：白话区块链（ID：hellobtc）

封面：Photo by Terry Vlisidis on Unsplash

2月22日凌晨，加密社区突然传来头部交易平台 바이비트(Bybit) '핫 월렛'이 1,500억 달러 규모로 도난당했다는 충격적인 소식이 전해졌습니다. 확인 결과 이 사실이 사실로 밝혀졌고, 이후 이 사건의 자세한 내용이 암호화폐 커뮤니티의 보안 감사팀과 바이비트(Bybit) 측의 공개를 통해 점차 드러나고 있습니다. 바이비트(Bybit)의 다중 서명 월렛이 해커에 의해 완전히 장악되어 약 1,500억 달러 규모의 암호화폐 자산, 주로 이더리움(ETH)과 스테이크드 이더리움(stETH) 등 이더리움과 가치가 유사한 유동성 담보 토큰이 탈취당했습니다.

도난당한 것은 콜드 월렛인가?

처음에는 핫 월렛이 도난당했다는 소문이 돌았습니다. 과거 대부분의 해킹 공격 대상이 핫 월렛이었기 때문에 상시 연결된 환경에 노출된 핫 월렛이 안전하지 않다는 것이 일반적인 인식이었습니다. 그러나 확인 결과, 이번 대상은 바이비트(Bybit)의 콜드 월렛이었고, 일상적인 송금 작업 중 문제가 발생하여 보안 사고가 발생했습니다.

이는 어떤 경우에는 콜드 월렛도 절대적으로 안전하지 않을 수 있다는 것을 의미할까요?

비트코인(BTC) 비밀키가 손실되지 않았고, 다중 서명 계약 코드에도 취약점이 없었습니다

사실, 사후 분석에 따르면 바이비트(Bybit)는 실제 문제의 원인을 발견했습니다. 그들의 콜드 월렛은 Safe 계약 다중 서명 월렛을 사용했는데, 이는 이더리움(ETH) 생태계에서 1000억 달러 이상의 자산을 보호해 온 Gnosis Safe(현 Safe)입니다. 보안성을 강조하는 다중 서명 월렛이자 안전한 기록을 가진 Safe는 많은 프로젝트 팀, DAO, 거래소 등에서 다중 서명 솔루션으로 채택되었습니다.

이번 보안 사고에서 문제는 바이비트가 접속한 Safe 웹사이트 또는 모바일 앱의 프론트엔드(사용자 인터페이스)에 있었습니다.

즉, 해커가 바이비트 팀이 다중 서명을 수행하는 웹페이지를 조작했고, 바이비트 팀이 정상적으로 거래를 수행했지만 해커가 서명된 거래를 대체했습니다. 이를 통해 해커는 바이비트 팀 멤버들의 서명으로 악성 계약으로 다중 서명 계약 월렛을 업그레이드했습니다.

따라서 서명에 사용된 하드웨어 콜드 월렛의 비밀키는 손실되지 않았고, Safe 계약에서도 취약점이 발견되지 않았습니다. 이는 암호화폐 산업의 취약점이 아니라 전통적인 인터넷 경로의 취약점입니다.

정교한 기법, 최정상급 해커 조직

앞서 언급했듯이 해커가 바이비트 팀이 접속하는 월렛 웹페이지를 조작했지만, Safe 측에서는 서버 측에서 문제를 발견하지 못했습니다. 따라서 해커가 이미 바이비트 팀 멤버의 컴퓨터 등 관련 기기에 말웨어를 심어두었을 가능성이 높습니다. 해킹 기법은 DNS, 말웨어, 브라우저 플러그인 탈취 등 복잡하고 어려운 수준일 것으로 보입니다. 관련 보안 분야 전문가들은 이번 해킹 기법이 매우 정교하다고 평가했습니다.

암호화폐 조사원 ZachXBT와 블록체인 분석 기업 아크함(Arkham)은 이번 공격이 북한 해커 조직 Lazarus Group에 의한 것일 가능성이 있다고 밝혔습니다. 이 조직은 정부의 지원을 받는 것으로 알려져 있으며, 암호화폐 플랫폼 공격으로 유명합니다.

소셜 미디어에는 이 해커 조직의 놀라운 전과가 공개되었습니다: 2017년부터 2025년까지 여러 거래소와 암호화폐 프로젝트에서 대량의 자금을 훼손했습니다. 예를 들어 Youbit에서 4,000 비트코인(BTC)을 훼손해 파산을 초래했고, Kucoin 플랫폼에서 3억 달러 상당의 암호화폐 자산을 훼손했으며, Ronin 크로스체인 브릿지에서 6.2억 달러를 훼손했습니다. 이번에는 15억 달러를 훼손하며 역사적 기록을 세웠습니다.

시장 폭락은 없었고, 암호화폐 시장은 상대적으로 안정적

과거 경험상 암호화폐 시장에서 주요 플랫폼에 문제가 생기면 시장 폭락이 발생했습니다. 때로는 주요 플랫폼에 대한 루머만으로도 시장이 불안정해졌습니다. 그러나 이번 15억 달러 규모의 역대 최대 보안 사고에도 불구하고 시장은 소폭 조정에 그쳤으며, 현재 암호화폐 시장은 안정적인 것으로 보입니다.

암호화폐 시장이 안정적인 이유는 많은 사람들이 예상했던 대로 해커의 대규모 시장 폭락이 일어나지 않았기 때문입니다. 해커는 주로 stETH 등 유동성 토큰을 이더리움(ETH)으로 교환하고 있습니다. 해커는 일반인보다 훨씬 전문적이어서 이더리움(ETH)이 이더리움 체인 상에서 가장 안전하다는 것을 알고 있으며, USDT나 USDC로 교환하면 곧 동결될 것을 알고 있습니다.

또한 분석 결과, 이 해커 조직은 암호화폐 자산을 매우 인내심 있게 처리하고 있습니다. 심지어 몇 년 전에 훼손한 암호화폐 자산도 아직 처리하지 않았는데, 이는 암호화폐 거래소가 점점 더 규제를 준수하고 있고 체인 상의 투명성도 높아져 일반적인 방법으로는 자금을 세탁하기 어려워졌기 때문입니다. 따라서 이 조직은 단기간에 시장에 대량 매도할 것으로 예상되지 않습니다.

이 플랫폼은 하루 만에 적절히 대응, 유동성 위기에 빠지지 않았습니다

암호화폐 시장이 안정된 또 다른 이유는 바이비트가 하루 만에 적절히 대응했기 때문입니다. 바이비트의 중국어 공식 계정은 최근 공지에서 "해킹 사건 발생(10시간 전) 이후 바이비트는 전례 없는 출금 요청 수를 받았다. 현재까지 35만 건 이상의 출금 요청을 처리했고, 약 2,100건의 출금 요청이 남아 있다. 전체적으로 99.994%의 출금이 완료되었다"고 밝혔습니다.

이번 사건은 이전 FTX의 유동성 위기와 비견될 만한데, 나쁜 소식이 알려지면 플랫폼이 운영을 중단하거나 도산할 수 있습니다. 그러나 바이비트 자체의 실력과 팀의 적절한 대응으로 상황을 반전시켰습니다. 바이비트는 유동성 "늪"에 빠지지 않았을 뿐만 아니라 협력 업체로부터 "브릿지 대출"을 받아 80%의 훼손된 이더리움(ETH)을 해결했습니다. 일부 플랫폼에서 바이비트 월렛으로 대량의 stETH를 송금했다는 보도도 있습니다.

사고 이후 암호화폐 업계의 여러 플랫폼 창업자들이 지원의 손길을 내밀었고, 해커의 주소도 이들 바이비트의 경쟁 플랫폼에서 차단될 것으로 보입니다. 전 세계 동료 기업과 암호화폐 생태계가 이 주소에 대한 "소탕작전"에 참여할 것입니다.

이더리움 롤백, 해커 계정 삭제 등의 루머가 사실로 여겨졌습니다

사건 발생 후 X 플랫폼에서 누군가 농담 섞인 루머를 퍼뜨렸습니다. "비탈릭이 오늘 밤 이더리움 재단의 투표를 통해 체인 롤백 또는 해커가 보유한 이더리움(ETH) 공급 삭제를 발표할 것"이라는 내용이었습니다.

놀랍게도 이런 명백한 농담이나 루머를 암호화폐 커뮤니티의 많은 사람들이 진짜로 받아들였고 진지하게 논의하기 시작했습니다. 실제로 현재 이더리움 네트워크는 너무 광범위하게 연결되어 있어 롤백이 불가능하며, 롤백할 수 있는 조건도 없습니다. 롤백은 해커 공격 이후의 모든 거래 기록을 초기화하는 것을 의미하므로, 어제 밤 BlackRock 등의 이더리움(ETH) 현물 ETF 정산부터 모든 CEX의 출금까지 취소되어 수많은 사람들이 피해를 볼 것입니다.

해커 계정 삭제는 더욱 터무니없는 이야기입니다.

이렇게 큰 플랫폼이 거래를 제대로 검증하지 않았습니다

아마도 콜드 월렛과 다중 서명의 안전성을 너무 신뢰했기 때문에, 바이비트 팀은 콜드 월렛의 "매도 계약"에 대해 소홀히 검토했습니다. 이는 평소에 거래 내용을 꼼꼼히 확인하면 완전히 방지할 수 있었던 일입니다.

이번 사건은 우리에게 다음과 같은 교훈을 제공합니다:

1) 암호화폐 자산 월렛 작업 시 언제나 송금 주소, 서명 정보 등을 여러 번 확인해야 합니다.

2) 운영 체제, 하드웨어 월렛, 소프트웨어 월렛, 다중 서명 월렛 등 어떤 제3자도 무조건 신뢰하지 말아야 합니다.

3) 16진수(hex) 문자열 등 읽을 수 없는 메시지는 서명하지 않는 것이 좋습니다.

4) 월렛과 암호화폐의 작동 원리를 진정으로 이해하고, 이를 바탕으로 안전한 작업을 수행해야 합니다.

요약

어쨌든 이번 사건은 일단락되었고, 현재 상황은 양호한 편이며 각 주체의 심리도 비교적 평화로운 것으로 보입니다. 그러나 그 영향은 아직 끝나지 않았고, 암호화폐 시장은 바이비트와 해커 조직의 향후 동향을 주시할 것입니다.

강가에 자주 가면 발이 젖지 않을 리 없습니다. 보안은 작은 일도 아니며, 해킹 피해 당사자가 순조롭게 복구되는 경우는 많지 않습니다. 암호화폐 업계와 해커의 싸움은 계속될 것입니다.

면책 조항: 본 사이트는 블록체인 정보 플랫폼으로, 게시된 기사는 저자 및 초청 연사의 개인 의견을 나타내며 Web3Caff의 입장과 무관합니다. 기사의 정보는 참고용으로만 제공되며, 어떠한 투자 조언이나 제안도 구성하지 않