이번 편집 | 우톡(wu-talk) 블록체인

바이비트(Bybit)에서 약 15억 달러 규모의 해킹 사건 발생, 역사상 최대 규모의 절도 사건 - 북한 해커들은 어떻게 이런 일을 저질렀나?

2월 22일 오전, 바이비트(Bybit) CEO 벤 저우는 트위터에 해킹 사건 발생 이후(10시간 전) 가장 많은 출금 요청이 있었다고 밝혔습니다. 총 35만 건 이상의 출금 요청이 있었고, 현재까지 약 2,100건의 출금 요청이 대기 중입니다. 전체의 99.994%의 출금이 완료되었습니다. 전 팀이 밤새 깨어 있으며 고객의 문의와 우려사항에 대응했습니다.

바이비트 CEO 벤은 다행히도 버텨낼 수 있었고, 회사 자산이 15억 달러 이상이라고 말했습니다. 또한 약 30억 달러 규모의 USDT가 안전한 콜드 월렛에 있었지만, 다행히 도난당하지 않았습니다. 만약 100억 달러 이상이 도난당했다면 회사 매각을 고려해야 했을 것이라고 합니다. 이전에는 큰 보안 사고가 없었기 때문에 경계심이 느슨해졌고, 아직 많은 보안 조치를 업그레이드해야 한다고 밝혔습니다.

Coinbase 관리자 코너 그로건은 데이터를 공개하며, 바이비트 해커(아마도 북한 소속)가 전 세계 14위 규모의 이더리움(ETH) 보유자가 되었다고 밝혔습니다. 현재 약 0.42%의 이더리움 총 공급량을 보유하고 있으며, 피델리티와 이더리움 공동 창립자 비탈릭 부테린의 ETH 보유량을 넘어섰고, 이더리움 재단의 ETH 보유량의 2배 이상입니다.

@EmberCN의 모니터링에 따르면, 바이비트 해커는 1시간 전 15,000개의 cmETH 언스테이킹을 시도했지만 cmETH 출금 계약에 의해 거부되었습니다. 이후 DODO 플랫폼에서 cmETH 거래 승인을 시도했지만 유동성 부족으로 거래를 완료하지 못했습니다. 이 자산은 차단될 것으로 보입니다. 이 15,000개의 cmETH 외에도 바이비트에서 약 49만 9천 개의 ETH(약 13.7억 달러 가치)가 도난당했으며, 해커가 51개 주소에 분산 보관하고 있습니다.

Lookonchain은 CoinMarketCap 데이터에 따르면, 바이비트가 해킹 전 162억 달러의 준비 자산을 보유했었고, 14억 달러의 자산 손실은 약 8.64%에 해당한다고 밝혔습니다.

@EmberCN의 모니터링에 따르면, MEXC의 핫 월렛에서 바이비트 콜드 월렛으로 12,652개의 stETH(약 3,375만 달러)가 송금되었습니다. 바이비트는 현재 약 64,452개의 ETH(약 1.7억 달러)를 차입 지원받은 것으로 보입니다. 비트겟, 바이낸스에서 출금한 어떤 기관, MEXC 등에서 지원받은 것으로 확인됩니다. 또한 어떤 고래 또는 기관이 바이낸스에서 바이비트 콜드 월렛으로 11,800개의 ETH(약 3,100만 달러)를 송금하여 바이비트 고객 출금을 지원했습니다.

비트겟 CEO 그레이시는 바이비트 CEO 벤과 직접 소통하며 적극적으로 지원을 제공했다고 밝혔습니다. 어떤 담보, 이자, 기한 제한, 약속도 요구하지 않았으며, 바이비트가 더 이상 필요하지 않을 때 언제든 돌려받을 수 있습니다. 현재 바이비트의 유동성이 이미 안정화된 것으로 파악되어 추가 지원이 필요하지 않다고 합니다. 바이비트 CEO 벤은 비트겟이 가장 먼저 지원을 제공했고, 아마트레이드와 파이네트워크도 도움을 주었다고 말했습니다.

OKX 회장 홍팡은 바이비트 해커 관련 주소를 OKX 블랙리스트에 추가했으며, 엔지니어링 팀이 이 주소들을 면밀히 모니터링하고 있다고 밝혔습니다. 또한 바이비트 팀과 협력하여 IT 보안 및 유동성 지원 등 어떤 도움이든 제공할 것이라고 말했습니다.

Taproot Wizards 공동 창립자 에릭 월의 분석에 따르면, 바이비트 해킹 사건은 북한 해커 조직 라자루스 그룹의 소행으로 확인되었습니다. Chainalysis 2022년 보고서에 따르면, 이 조직은 도난당한 자금을 처리할 때 일정한 패턴을 따르며, 이 과정이 수년간 지속될 수 있습니다. 2022년 데이터에 따르면, 이 조직은 2016년 공격으로 얻은 5,500만 달러 자금을 여전히 보유하고 있어, 빠른 현금화를 서두르지 않는 것으로 나타났습니다.

도난당한 자금 처리 과정은 다음과 같습니다: 1단계 - 모든 ERC20 토큰(stETH 등 유동성 파생상품 포함)을 ETH로 전환, 2단계 - 획득한 ETH를 전부 BTC로 전환, 3단계 - 아시아 거래소를 통해 BTC를 점진적으로 위안화로 전환.

분석가들은 바이비트가 현재 약 15억 달러 규모의 ETH 부족분을 차입 방식으로 보충하고 있다고 말했습니다. 이는 도난당한 자금을 회수할 것이라는 기대에 기반한 전략으로 보입니다. 그러나 라자루스 그룹의 소행으로 확인된 만큼 회수 가능성은 매우 낮으며, 바이비트는 ETH를 구매하여 대출금을 상환해야 할 것으로 보입니다. 장기적으로 바이비트의 ETH 구매와 라자루스 그룹의 ETH 매도를 통한 BTC 전환이 서로 상쇄될 것으로 예상되며, 라자루스 그룹이 확보한 BTC는 향후 수년에 걸쳐 점진적으로 매각될 것으로 보입니다.

Safe는 소셜 미디어에서 "바이비트가 겉으로는 올바른 거래 정보를 보여주었지만, 실제로는 모든 유효한 서명이 포함된 악의적인 거래를 실행했다"는 문제에 대해 대응했습니다. Safe는 코드 라이브러리 유출이나 악의적인 종속성은 발견되지 않았으며, 무단 인프라 접근도 감지되지 않았다고 밝혔습니다. 현재 Safe{Wallet} 기능을 일시적으로 중단하고 있으며, 더 철저한 검토를 진행 중입니다.

슬로우 미스트의 코스는 Safe 계약에는 문제가 없으며, 문제는 계약 외부 부분, 즉 프론트엔드가 조작되어 기만 효과를 달성했다고 말했습니다. 이는 단일 사례가 아니며, 작년에도 북한 해커들이 WazirX의 $230M Safe 다중 서명, Radiant Capital의 $50M Safe 다중 서명, DMM의 $305M Gonco 다중 서명 등을 공격했다고 합니다. 이러한 공격 기술은 이미 체계화되었으며, 다른 기관들도 주의가 필요하다고 강조했습니다. 슬로우 미스트의 최고 정보 보안 책임자 23pds는 바이비트 공격자가 한 번의 위조 서명 공격으로 safe 소유자 권한을 탈취했다며, 내부 직원의 macOS 또는 Windows 컴퓨터가 감염되었을 것으로 추정하고 있습니다.

Ethena Labs 창립자 @leptokurtic_는 Ethena가 최대 일일 환매를 처리했으며, 뉴스가 보도되자마자 모든 미실현 위험 익스포저를 청산했다고 밝혔습니다. 비록 바이비트가 세계 2위 파생상품 거래소로 전체 헤지 익스포저의 20% 이상을 차지했지만, USDe에서는 저평가된 담보 상황이 발생하지 않았다고 합니다. 이번 사건이 OES 보관 솔루션 사용자 위험 감소를 위한 설계 결정을 검증할 수 있기를 희망한다고 말했습니다.

주 저우는 바이비트 해킹 사건이 다중 서명 지갑 보안에 대한 깊이 있는 반성을 불러일으켰다고 말했습니다. 다중 서명 거래에서 첫 번째 거래가 제출된 후 후속 서명자들은 첫 번째 사람의 거래 데이터를 맹목적으로 신뢰하고 독립적인 교차 검증의 중요성을 간과하는 경우가 있다고 지적했습니다. 이는 다중 서명 메커니즘의 본래 취지를 위반하여 보안 취약점을 초래할 수 있습니다. 이번 사건의 영향은 매우 광범위합니다. 현재 대부분의 온체인 총 잠금 가치(TVL)는 다중 서명 계약에 보관되어 있으며, 크로스체인 브리지, DeFi 프로토콜 등 핵심 인프라가 포함됩니다. 계약 관리 과정에서 엄격한 검토와 운영 기준이 부족하다면 유사한 보안 사고가 반복될 수 있습니다. 따라서 업계는 다중 서명 프로세스의 보안성을 재검토하고, 각 단계에서 독립적인 검증이 이루어지도록 해야 할 것입니다.

하드웨어 지갑 개발사 Keystone은 Safe와 같은 다중 서명 솔루션의 경우 하드웨어 지갑 사용자들이 실제 확인하는 내용을 "맹목적"으로 서명할 수밖에 없었다고 지적했습니다. 프론트엔드가 공격당한 경우 하드웨어 지갑이 사용자의 마지막 방어선이 됩니다. 이에 Keystone은 SlowMist, BlockSec, Offside Labs와 협력하여 Safe 거래에서 하드웨어 지갑의 안전한 가시성을 높이고자 합니다. 또한 바이낸스, OKX, 비트겟, 바이비트 등 거래

비트코인(BTC) 거래소 바이비트(Bybit)는 지난 12시간 동안(2월 22일 오후 기준) 63,168.08 ETH, 31.5억 달러의 테더 USDT(USDT), 1.73억 달러의 USDC, 5.25억 달러의 CUSD 등 총 40억 달러 이상의 자금이 유입된 것으로 나타났습니다. 이는 어제 해킹 공격으로 인한 손실을 완전히 만회한 것으로 보입니다. 바이비트의 모든 서비스, including 출금 기능이 정상 작동하고 있습니다.

바이비트 CEO 벤 주는 이번 해킹 사태에서 비트메인 자회사 안탈파, 비트겟, 파이오넥스, 엠이엑스씨, 미라나, 소소밸류, 솔라나 재단, TON 재단, 두바이 블록체인 센터, 가프 캐피탈, 비트바보, 테더, 갤럭시 등 여러 기업들의 도움을 받았다고 밝혔습니다.

DWF Labs의 Andrei Grachev는 바이비트 해킹 사건이 매우 심각하다며 철저한 조사가 필요하다고 말했습니다. 그는 DWF Labs가 아직 바이비트에 인출 요청을 하지 않았지만, 필요하다면 ETH 지원을 제공할 의향이 있다고 밝혔습니다. 그는 또한 10년 전 DAO 해킹 사건 당시 이더리움(ETH)을 되돌렸던 비탈릭 부테린의 대응이 궁금하다고 언급했습니다.

오케이엑스(OKX) 회장 홍팡은 바이비트 해커 관련 주소를 OKX 블랙리스트에 추가했으며, 엔지니어팀이 이를 면밀히 모니터링하고 있다고 말했습니다. OKX 팀은 바이비트 팀과 연락하여 IT 보안 및 유동성 지원을 제공할 것이라고 밝혔습니다.

마스크 네트워크(Mask Network) 창립자 수지 얀은 일부 ETH를 바이비트에 다시 입금했으며, 현재 공개 주소에 약 1,000만 달러 미만이 남아있다고 말했습니다. 그는 바이비트를 계속 지원할 것이라고 밝혔습니다. 콘플럭스(Conflux) 공동 창립자 포기븐도 바이비트에 ETH를 입금하고 KYC를 완료했다고 말했습니다. 그러나 그는 일반 사용자들에게는 24-72시간 안정화 후 바이비트로 돌아가는 것을 권장했습니다. 후오비 공동 창립자 두군도 1만 ETH를 바이비트에 입금하고 1개월 내 출금하지 않겠다고 밝혔습니다.

2월 22일 오후, ZachXBT에 따르면 바이비트 사건의 라자루스 그룹이 5,000 ETH를 새 주소로 이체하고 eXch(중앙화 믹서)를 통해 자금을 세탁했으며 Chainflip을 통해 비트코인(BTC)으로 브리징했다고 합니다. 바이비트 CEO 벤 저우는 해커가 Chainflip을 통해 BTC를 이동하려 한다고 밝혔습니다. 바이비트는 크로스체인 브리지 프로젝트가 이를 막고 자금을 회수하는 데 도움을 주기를 희망하고 있습니다.

2월 22일 오후, 정보에 따르면 5개 기관/개인이 바이비트에 총 12만 ETH(약 3.21억 달러)의 대출 지원을 제공했습니다. 비트겟: 40,000 ETH(약 1.06억 달러), 바이낸스 출금 기관/고래: 11,800 ETH(약 3,102만 달러), 엠이엑스씨: 12,652 stETH(약 3,375만 달러), 바이낸스 또는 다른 바이낸스 출금 기관/고래: 36,000 ETH(약 9,654만 달러), 0x327...45b 주소: 20,000 ETH(약 5,370만 달러).

Etherscan에 따르면, Mantle이 지원하는 mETH Protocol은 관리 권한을 통해 Bybit Exploiter 4에서 1.5만 cmETH(약 4,276만 달러)를 구출했습니다. 이전에 mETH Protocol은 cmETH 출금이 복구되었다고 밝혔습니다(해커가 파괴한 것으로 오인됨).

mETH Protocol은 X에 게시한 글에서 Bybit 보안 사고에 대해 여러 긴급 조치를 취했다고 밝혔습니다. 먼저 프로토콜에 내장된 8시간 출금 지연 메커니즘이 팀에 귀중한 대응 시간을 벌어주었고, cmETH 출금을 일시 중지하여 무단 출금을 막았습니다. 또한 mETH Protocol은 해커 지갑 주소를 블랙리스트에 등록하여 추가 cmETH 이체와 프로토콜 내 작업을 효과적으로 차단했습니다. 더불어 Mantle 네트워크 L2의 cmETH 유동성을 줄였습니다. 결과적으로 mETH Protocol은 해커 주소에서 15,000 cmETH를 회수하여 cmETH 공급의 완전성을 복구했습니다.

창펑자오(CZ)는 모든 출금을 중지하는 것이 표준 보안 예방책이라는 제안에 대해 일부가 의문을 제기했다고 밝혔습니다. 그는 자신의 경험과 관찰을 바탕으로 실용적인 방법을 공유한 것이며, 두 방법 모두 절대적인 옳고 그름이 없다고 말했습니다. 그의 지침 원칙은 항상 더 안전한 쪽으로 기울어져 있습니다. 보안 사고 발생 후에는 모든 것을 일시 중지하고 완전히 이해한 뒤 안전을 확인한 후 운영을 재개해야 한다고 강조했습니다. 물론 출금 중지는 더 많은 공포를 불러일으킬 수 있습니다. 그는 자신의 트윗이 효과적일 수 있는 방법을 공유하고자 한 것이며, 벤이 가진 정보를 바탕으로 최선의 결정을 내렸다고 믿는다고 말했습니다.

바이비트 CEO 벤 저우는 CZ의 의견에 동의한다고 밝혔습니다. 만약 이번 해킹이 내부 시스템 또는 핫 월렛 침투를 통해 이루어졌다면 근본 원인을 찾을 때까지 모든 출금을 즉시 중지할 것이라고 말했습니다. 그러나 어제 공격 대상이 된 것은 ETH 콜드 월렛이었기 때문에 내부 시스템과는 무관하다고 판단, 모든 출금과 시스템 기능을 정상 운영하기로 결정했다고 설명했습니다. 벤 저우는 위기 상황에서 바이낸스와 CZ, 그리고 많은 파트너와 업계 리더들이 자발적으로 도움을 제공했다고 감사의 뜻을 전했습니다.

GreekLive에 따르면, 바이비트에서 15억 달러 규모의 이더리움 해킹 사건이 발생했음에도 불구하고 전반적인 시장 심리는 여전히 신중한 낙관적 상태를 유지하고 있습니다. 시장은 이번 해킹 사건의 영향이 통제 가능할 것으로 보고 있으며, 주요 지지 수준은 9.5-9.6만 달러 구간에 집중되어 있습니다. 바이낸스와 비트겟이 긴급 유동성 지원을 제공했고, 거래자들은 변동성이 낮은 옵션(29% 변동성)을 적극적으로 매도하여 추가 하락에 대한 우려가 제한적임을 보여주고 있습니다. 시장은 빠르게 회복되어 평균으로 돌아갈 것으로 예상됩니다.

테더(Tether) CEO 파올로 아르도이노는 바이비트 해커 사건과 관련된 18.1만 USDT를 동결했다고 밝혔습니다. 금액은 크지 않지만 정당한 조치이며, 테더는 상황을 계속 모니터링할 것이라고 말했습니다.

바이비트는 "보상 프로그램"을 공식 출범했습니다. 전 세계 사이버 보안 및 암호화폐 분석 분야의 전문가들에게 이번 역사상 최대 규모의 도난 사건의 가해자를 추적하도록 요청했습니다. 자금 회수에 기여한 참여자에게는 10%의 보상이 지급될 것이며, 총 보상 금액은 당시 가치 14억 달러 이상의 도난 ETH 중 검증된 회수 금액을 기준으로 계산될 것입니다. 전액 회수 시 최대 1.4억 달러의 보상이 지급될 수 있습니다. 벤 저우 CEO는 "보상 프로그램"을 통해 전문성, 경험, 지원을 제공한 커뮤니티 구성원들에게 공식적으로 보상하고자 한다고 밝혔습니다. 보상 프로그램 참여를 희망하는 개인 또는 단체는 bounty_program@bybit.com으로 이메일을 보내면 됩니다.

슬로우 미스트(SlowMist) 기사에 따르면, 이번 사건에서 Safe 계약에는 문제가 없었지만, 비계약 부분에서 문제가 발생했다고 합니다. 전면이 변조되어 기만 효과를 달성했다는 것입니다. 이는 특별한 경우가 아니며, 작년에도 북한 해커들이 이와 같은 방식으로 여러 플랫폼을 공격했다고 합니다. 의문점으로는 공격자가 바이비트 내부 재무팀의 운영 정보를 사전에 획득했을 가능성, Safe 시스템을 통해 서명자를 악성 거래에 유도했을 가능성, Safe 전면 시스템이 침해되어 접수되었을 가능성 등이 있습니다. 핵심 문제는 누가 최초로 서명 요청을 시작했는지, 그 장치의 보안 상태는 어떠했는지 등입니다.

2월 22일 저녁, 온체인 기록에 따르면 의심되는 바이비트 주소(0x2E...1b77)가 10시간 전 0xEC...B5E76에서 1억 USDT를 받았고, 7시간 전 Galaxy Digital과 FalconX의 OTC 주소로 각각 5,000만 달러씩 송금하여 총 3.69만 ETH를 구매했으며, 1시간 전(22:32) 바이비트에 입금했습니다.

Cobo 문서는 바이비트(Bybit) 사건이 단순한 운영상의 취약점을 드러낸 것뿐만 아니라 현재 디지털 자산 보관 시스템의 구조적 결함을 폭로했다고 지적했습니다. 바이비트(Bybit) 사건은 전통적인 다중 서명 보안의 근본적인 결함을 드러냈는데, 즉 독립적인 거래 검증 계층이 없어 공격자가 인터페이스, 계약 로직 및 거래 데이터를 조작하여 서명자를 속일 수 있다는 것입니다. Cobo는 주요 하드웨어 지갑 제조업체들과의 깊이 있는 협력을 추진하고 있으며, 기존 보안 방안을 유지하는 동시에 독립적인 제3자 서명 검토 채널을 구축하고 있습니다.