2025년 바이비트(Bybit) 해킹 사건은 암호화폐 시장에 큰 충격을 주었습니다. 15억 달러 규모의 보안 침해 사고는 역사상 가장 큰 암호화폐 거래소 해킹 사건 중 하나입니다. 해커들은 지갑 취약점을 악용하여 이더리움(ETH)을 빼냈고, 투자자들은 무엇이 잘못되었는지 의문을 가지고 있습니다. 그렇다면 이를 예방할 수 있었을까요? 그리고 가장 중요한 것은 고객 자금이 안전한가요? 정확히 어떤 일이 있었는지, 바이비트가 어떻게 대응했는지, 그리고 이것이 향후 암호화폐 시장에 어떤 의미를 가지는지 살펴보겠습니다.
주요 요점
➤ 2025년 바이비트 해킹은 거래 서명 결함을 악용하여 15억 달러의 손실을 초래했습니다.
➤ 해커들은 크로스체인 브리지와 믹서를 사용하여 도난당한 자금을 세탁했습니다.
➤ Safe{Wallet}의 AWS 침해와 같은 제3자 보안 결함이 거래소를 위험에 빠뜨릴 수 있습니다.
2025년 바이비트 해킹이란 무엇인가?
바이비트 해킹은 매우 조직적인 공격으로, 15억 달러 규모의 이더리움(ETH)이 플랫폼에서 빠져나갔습니다. 조사 결과, 해커들이 단일 서명 거래 취약점을 악용하여 지갑 보안을 우회하고 무단 인출을 실행할 수 있었던 것으로 보입니다.
바이비트 해킹은 어떻게 일어났나?
블록체인 보안 기업들은 바이비트 해킹의 원인이 지갑 서명 프로세스의 결함이었다고 지적했습니다. 다음과 같은 과정으로 진행되었을 것으로 보입니다:
- 거래 서명 취약점 악용으로 시작되었습니다. 해커들은 단일 서명 거래 취약점을 이용하여 여러 인출을 승인할 수 있었습니다.
- 콜드 지갑 침해가 그 다음에 있었습니다. 대부분의 암호화폐 해킹이 핫 지갑을 목표로 했던 것과 달리, 이번 공격은 바이비트의 콜드 스토리지에 영향을 미쳐 더 깊은 보안 허점에 대한 우려를 불러일으켰습니다.
- 이 모든 것은 피싱 및 사회 공학 공격과 결합되었습니다. 범죄자들은 바이비트 직원을 대상으로 한 피싱 사기를 통해 내부 자격 증명에 접근했을 수 있습니다. 하지만 이는 초기 가설일 뿐이며, 바이비트는 주된 원인을 밝혀냈습니다(이에 대해서는 나중에 자세히 설명하겠습니다).
단일 서명 거래 취약점이란 무엇인가?
이 취약점의 핵심은 단일 거래 승인을 재사용하거나 조작할 수 있어 무단 인출이 가능하다는 것입니다. 이를 부분적으로 설명하면 다음과 같습니다:
- 스마트 계약 서명 결함 - 콜드 지갑에서 핫 지갑으로 자금을 이동할 때, 시스템은 거래를 확인하기 위한 승인 서명을 생성합니다.
- 승인 프로세스 악용 - 공격자들이 이 서명을 가로채서 여러 차례 무단 거래를 실행할 수 있었습니다.
- 수 초 만에 자금 유출 - 시스템이 이를 승인된 거래로 처리했기 때문에, 공격자들은 즉각적인 경보 없이 바이비트의 이더리움(ETH) 준비금을 빼낼 수 있었습니다.
신뢰할 수 있는 친구에게 서명된 공백 수표를 주는 것과 같습니다. 하지만 그들이 합의된 금액이 아닌 전체 은행 계좌를 인출하는 것처럼, 해커들은 유효한 서명을 가로채서 바이비트의 자금을 유출했습니다.
다른 보안 허점은 있었나요?
단일 서명 거래 결함이 주된 취약점으로 보이지만, 피싱 공격, 스마트 계약 취약점, 그리고 공격 탐지 지연 등 다른 잠재적 문제들도 있었을 수 있습니다.
알고 계셨나요? 2025년 바이비트 해킹은 온체인 조사자 ZachXBT가 2월 21일 바이비트 플랫폼에서 상당한 자금 유출을 관찰하면서 처음 탐지되었습니다. 이후 블록체인 보안 기업 SlowMist와 PeckShield가 침해를 확인하고, 바이비트가 전례 없는 자금 인출을 경험하고 있다고 밝혔습니다.
이러한 초기 통찰이 제공되었지만, 2025년 바이비트 해킹의 근본 원인에 대한 새로운 정보가 나왔습니다.
2025년 바이비트 해킹의 원인은 무엇이었나요?
내부 보안 실패에 대한 초기 우려와는 달리, 포렌식 조사에서 바이비트가 다중 서명 거래에 사용했던 제3자 지갑 인프라인 Safe{Wallet}의 침해가 원인으로 밝혀졌습니다.
Safe{Wallet}이란 무엇인가?
Safe{Wallet}은 다중 서명 승인을 사용하여 거래를 안전하게 유지하도록 설계된 스마트 계약 기반 금고라고 생각하면 됩니다. AWS S3에서 실행되므로 JavaScript 파일을 클라우드에서 로드하여 거래를 처리합니다. 효율적으로 들리죠? 하지만 여기서 문제가 발생했습니다.
해커들은 Safe{Wallet}의 AWS S3 버킷에 악성 JavaScript를 주입할 수 있었고, 실시간으로 거래를 조용히 수정했습니다. 따라서 바이비트의 핵심 보안이 기술적으로 "해킹"된 것은 아니었지만, 거래 승인 및 실행에 사용된 도구가 조작되었습니다. 결국 바이비트가 이체를 승인했지만, 해커들이 최종 목적지를 변경했고 누구도 이를 알아차리지 못했습니다.
공격은 어떻게 이루어졌나요?
일상적인 ETH 콜드 지갑에서 웜 지갑으로의 이체 중, 악성 스크립트 - Safe{Wallet}의 JavaScript 내에 포함되어 있었 - 가 거래 세부 정보를 수정했습니다.
상점에서 계산원이 조용히 결제 단말기를 바꿔치기하여 합법적인 거래로 보이게 하면서 고객의 돈을 다른 곳으로 보내는 것과 같습니다.
여기서도 그랬습니다 - 바이비트의 서명자들은 거래가 안전하다고 믿고 승인했지만, 수정된 Safe{Wallet} 스크립트가 quietly 수령인 주소를 공격자의 주소로 변경했습니다.
실시간 거래 탈취
JavaScript 주입은 특정 주소 - 바이비트의 콜드 지갑 계약과 알 수 없는 다른 주소(공격자가 사용한 테스트 주소로 추정) - 에서 시작된 거래에만 작동하도록 설계되었습니다. 즉:
- 일반 사용자가 Safe{Wallet}과 상호 작용하면 아무 이상한 일이 일어나지 않았습니다.
- 바이비트가 고액 이체를 처리할 때, 스크립트가 실행 직전에 수령 지갑을 변경했습니다.
거래가 여전히 바이비트의 권한 있는 지갑에 의해 암호학적으로 서명되었기 때문에, 즉각적인 경고 신호가 없었습니다; 블록체인상에서 완전히 합법적으로 보였습니다.
전형적인 거래소 해킹이 아니었다
Mt. Gox(2014) 또는 Coincheck(2018)와 같은 대부분의 암호화폐 거래소 해킹은 개인 키 유출 또는 거래소 지갑에 대한 직접적인 침해를 포함했습니다. 이는 은행 금고에 침입하는 것과 같습니다.
그러나 2025년 바이비트 해킹은 달랐습니다; 이는 인프라 수준의 공격이었습니다. 개인 키를 훔치는 대신, 해커들은 거래 서명 프로세스 자체를 조작했습니다. 즉:
- 바이비트의 실제 지갑 보안은 침해되지 않았습니다.
- 이 공격은 자산 보관 자체가 아닌 거래 서명에 사용된 도구를 악용했습니다.
암호화폐 보안에 미치는 영향
이 해킹은 심각한 보안 결함을 드러냈습니다; 거래소가 자체 시스템을 잠그더라도 제3자 통합이 약점이 될 수 있습니다.
Safe{Wallet}은 해커들의 놀이터가 되도록 만들어진 것이 아니었지만, AWS S3의 JavaScript 파일 의존성이 약점이 되었습니다. 누구도 공격자들이 인프라 수준에서 악성 코드를 삽입할 것이라고 예상하지 못했지만, 그들은 실행 직전에 거래를 조용히 재작성했습니다.
이 모든 일은 경종을 울리고 있습니다: 암호화폐 플랫폼은 지속적인 보안 감사, 독립적인 거래 확인, 더 강력한 다중 서명 보호 없이는 제3자 도구를 신뢰할 수 없습니다. 서명 프로세스 자체가 해킹당하면, 최고의 지갑 보안도 무의미해집니다.
이번 해킹이 증명하듯이, 다중 서명 설정에서도 서명자들이 사기성 거래를 승인하고 있다면 보안 조치가 무용지물이 됩니다.
- 이더리움(ETH): 34 ETH (≈$97,000)가 ChangeNOW에 의해 차단되어 공격자들이 이를 더 이동하지 못하게 되었습니다.
- 비트코인(BTC): 0.38755 BTC (≈$37,000)가 해커들이 크로스체인으로 이동시킨 후 아발란체 네트워크에서 차단되었습니다.
- 스테이블코인(USDT/USDC): 테더가 181,000 USDT를 동결했고, FixedFloat는 도난당한 자금과 연결된 $120,000의 USDT와 USDC를 차단했습니다.
- 스테이크된 이더리움 파생상품: 15,000 ETH가 공격자들이 인출하기 전에 mETH 프로토콜에 의해 성공적으로 회수되었습니다. 이로써 유동성 스테이킹 자산의 추가 청산이 방지되었습니다.
또한 진행 중인 블록체인 포렌식 작업을 통해 도난당한 자금 세탁과 관련된 11,000개 이상의 지갑 주소가 식별되었으며, 이를 통해 거래소와 프로토콜이 실시간으로 의심스러운 활동을 차단하고 동결할 수 있게 되었습니다.
도난당한 자금은 어떻게 추적되고 동결되었습니까?
이러한 자산 회수는 다음과 같은 다층적이고 글로벌한 노력을 통해 가능했습니다:
- 거래소 동결: FixedFloat, ChangeNOW, 비트겟, 토르체인 등의 플랫폼이 도난당한 자금과 연결된 예금을 식별하고 동결했습니다.
- 스테이블코인 발행사 블랙리스트: 테더와 서클이 도난당한 USDT와 USDC를 보유한 계정을 표시하고 동결하여 해커들이 이 자산을 사용하지 못하게 했습니다.
- 블록체인 정보 추적: 엘립틱, 아크함, 체인알리시스, TRM 랩스 등의 포렌식 팀이 공격자들이 자금을 이동시킨 방식을 매핑하여 거래소가 현금화되기 전에 거래를 차단할 수 있도록 지원했습니다.
- 포상금 프로그램 & 커뮤니티 참여: 바이비트의 LazarusBounty.com이 독립 조사관들에게 도난당한 자금을 추적하도록 장려하여 성공적인 동결에 대해 5%, 자금 회수에 대해 최대 10%의 포상금을 제공했습니다.
완전한 회수는 여전히 불가능할 것으로 보이지만, 거래소 간 협력, 실시간 분석, 포상금 기반 조사의 조합이 효과적일 수 있습니다. 주로 해커들의 도난 자산 현금화 능력을 제한하는 데 도움이 될 것입니다!
바이비트 해킹이 암호화폐에 어떤 변화를 가져왔나요?
2025년 바이비트 해킹 사건은 다중 서명 지갑과 콜드 스토리지조차도 인프라 침해로부터 안전하지 않다는 것을 증명했습니다. 해커들이 점점 더 창의적으로 진화함에 따라 거래소는 보안을 강화하고, 통합을 감사하며, 실시간 사기 탐지를 구현해야 합니다. 핵심은 신뢰하지 않고 "검증하는" 것입니다.
암호화폐 거래소의 미래는 적극적인 방어, 업계 전반의 협력, 그리고 점점 더 정교해지는 사이버 위협에 대응하기 위한 더 스마트한 자금 회수 전략에 달려 있습니다.
자주 묻는 질문
바이비트 자체가 해킹당했나요, 아니면 제3자 취약점이었나요?
정확히는 그렇지 않습니다. 바이비트의 핵심 시스템은 직접 침해되지 않았지만, 공격자들이 바이비트가 거래 서명에 사용했던 Safe{Wallet}의 AWS S3 버킷을 악용했습니다. 이를 통해 그들은 다중 서명 거래를 조작하고 경보 없이 자금을 전송할 수 있었습니다.
지금까지 도난당한 암호화폐 중 얼마나 회수되었나요?
2024년 2월 말 기준, 거래소 동결, 스테이블코인 블랙리스트, 포렌식 추적을 통해 약 $42.8백만이 동결되거나 회수되었습니다. 이는 $1.4십억 중 일부에 불과하지만, 추적 작업은 계속되고 있으며 곧 더 많은 자금이 차단될 것으로 보입니다.
해커들은 도난당한 자금을 어떻게 세탁했나요?
그들은 크로스체인 브리지, 믹싱 서비스, 탈중앙화 스왑 등을 사용하여 거래 내역을 모호하게 만들었습니다. 또한 엄격한 KYC 정책을 시행하지 않는 중앙화 거래소에 의존하여 수사관들이 자금 추적을 더 어렵게 만들었습니다.
바이비트는 향후 이와 같은 공격을 어떻게 방지할 계획인가요?
바이비트는 보안을 강화하고, LazarusBounty.com을 출시하여 도난당한 자금을 추적하고 있으며, 블록체인 포렌식 기업 및 거래소와 협력하여 불법 거래를 실시간으로 동결하고 있습니다. 또한 유사한 취약점을 방지하기 위해 제3자 보안 감사를 개선했습니다.
