올해 초, 한국에서 가장 큰 암호화폐 거래소 중 하나가 자사의 핫 월렛 중 하나에서 비정상적인 출금 활동을 감지했습니다. 약 15분과 수백 건의 거래 후, 약 ₩445억 원(3,300만~3,500만 달러)이 빼돌려졌고 플랫폼은 모든 출금을 중단했습니다. 도난당한 자산에는 USDC, BONK, 솔라나(SOL), ORCA, RAY, PYTH, JUP와 같은 주요 토큰이 포함되었으며, 거래소는 도난당한 자금의 절반 이상(₩230억 원 상당의 LAYER 토큰)을 동결할 수 있었지만 나머지는 이미 복구할 수 없었습니다. 출금 패턴과 타이밍을 분석한 결과, 이 공격은 스마트 계약 버그나 사용자 수준 오류가 아니라 핫 월렛 서명 흐름의 손상으로 인한 것으로 나타났습니다.
이 글에서는 현재 거래소 해킹 동향을 살펴보고, 해킹 사건을 자세히 살펴보며, Hexagate의 지갑 침해 탐지 키트 와 GateSigner가 어떻게 조기에 침해를 탐지하여 도난 금액을 제한할 수 있었는지 보여드리겠습니다.
중앙화 거래소(CEX) 및 수탁인 위반이 증가하고 있습니다.
대형 거래소에서 발생한 이번 사건은 명확한 업계 추세를 반영합니다. 복잡한 클라우드 환경에서 빠른 멀티 체인 출금 시스템을 운영해야 하는 복잡성이 증가함에 따라 중앙화 거래소(CEX) 및 수탁인 침해가 증가하고 있습니다. 거래소와 커스터디가 현재 시장에서 가장 복잡한 온체인 흐름 중 일부를 관리하고 있음에도 불구하고, 많은 개발자들은 강력한 온체인 보안 의 필요성을 과소평가하고 있으며, 종종 나중에 불충분하다는 것이 입증되는 노력에만 의존하고 있습니다.
거의 10년 동안 고객 환경을 추적하고 라자루스 와 같은 위협 그룹을 추적해 온 결과, 변화는 명백합니다. 공격자들은 위험 부담이 크고 운영 스택이 방대하고 복잡하기 때문에 커스터디와 CEX를 점점 더 노리고 있습니다. 최근 바이비트(Bybit) , BTCTurk, 스위스보그(SwissBorg), 페멕스(Phemex), 그리고 이제 이 한국 거래소에 대한 공격은 모두 동일한 패턴을 따릅니다. 단일 침해 지점으로 인해 수백만 달러의 손실이 발생하는 것입니다.
각 사례는 각기 다른 근본 원인을 가지고 있었습니다. 계정 침해로 이어진 소셜 엔지니어링, 기술 스택 내부의 사이버 보안 버그, 악성 코드, 내부 위협 등 여러 가지가 있었습니다. 이것이 바로 고급 공격자들이 공격하는 방식입니다. 단 하나의 약점만 있으면 됩니다. 현실적인 가정은 "완벽하게 보호받고 있다"가 아니라 "결국 무언가가 손상될 것이다"입니다. 그리고 그러한 상황이 발생하면 모든 것은 얼마나 신속하게 탐지하고 대응할 수 있느냐에 달려 있습니다. 강력한 실시간 탐지 및 대응이 위험을 완전히 없애지는 못하지만, 운영 침해가 치명적인 손실로 이어지는 것을 방지하는 데 중요한 역할을 합니다.
무슨 일이에요?
사건 발생 전, 사건에 연루된 수백 개의 거래소 연동 솔라나(Solana) 지갑 중 하나는 몇 주 동안 정상적으로 작동했습니다. 잔액이 오르락내리락했지만, 단 한 번도 0으로 떨어지지 않았습니다. 그러나 공격 중에는 몇 분 만에 잔액이 완전히 소진되었습니다. 이는 합법적인 활동에서는 매우 드문 현상이며, 침해 가능성을 시사하는 매우 중요한 징후입니다. 몇 가지 주요 징후가 눈에 띕니다.
- 잔액이 0으로 소진되는 패턴: 관련된 모든 지갑에서 동일한 현상이 나타납니다. 매우 숏 시간 안에 잔액이 0으로 떨어지는 현상입니다. 이러한 현상은 일반적인 거래소 운영에서는 발생하지 않습니다.
- 고액 자금 유출 급증: 이전 7일 동안 해당 거래소의 솔라나(Solana) 지갑에서 약 10만 달러 규모의 자금 유출은 단 한 건뿐이었습니다. 공격 당시 15분 동안 약 80건의 자금 이체가 발생했습니다.
- 다양한 자산에 걸친 고빈도 실행: 공격자는 수백 건의 거래에 걸쳐 수십 개의 토큰을 이동시켰는데, 이는 기준 동작과 극명하게 대조되는 버스트 패턴입니다.
이러한 신호는 바로 Chainalysis Hexagate와 같은 고급자동 행동 분석 시스템이 실시간으로 감지하도록 설계된 신호 유형입니다. 거래소는 결국 출금 중단이라는 올바른 결정을 내렸고, 이는 사용자와 플랫폼을 보호하는 결정적인 조치였습니다. 이러한 사고는 완전 자동화된 감지 및 대응 메커니즘이 얼마나 강력한지 보여줍니다. 적절한 실시간 파이프라인을 구축하면 심각한 움직임이 발생하기 전에 단 몇 건의 초기 거래 내에서 이상 징후를 감지하고 완화할 수 있습니다.
도난 이후 초기 활동
이 단계에서 악용자는 자동화된 마켓 메이커(AMM)를 통해 도난당한 자산을 교환하여 발행자가 동결하기 어려운 토큰으로 전환하는 데 집중했을 가능성이 높습니다. 이는 대규모 핫월렛 침해 이후 초기 단계에서 나타나는 전형적인 행동입니다. 아래 Chainalysis Reactor 그래프에서 볼 수 있듯이, 지금까지 대부분의 움직임은 분산보다는 통합 및 자산 유형 회전이었습니다.
Chainalysis Hexagate가 지갑 비우기를 감지하고 중지하는 방법
1. 지갑 침해 탐지 키트
손상된 핫 월렛의 가장 초기 징후를 찾아내는 실시간 모니터 세트로 , Chainalysis 인텔리전스가 포함되어 있으며, 여기에는 다음이 포함됩니다.
- 유출 패턴 감지: 지갑이 갑자기 0으로 떨어지는 것을 발견합니다.
- 버스트 감지: 숏 기간 내에 발생하는 빠르고 고가의 인출을 표시합니다.
- 알 수 없는 수신자 감지: 자금이 내부의 신뢰할 수 있는 생태계 외부의 주소로 이동하면 경고가 발생합니다.
- ML 기반 침해 탐지: 과거 중앙화 거래소(CEX) 침해 이벤트와 더 광범위한 생태계 동작에 대해 학습된 모델입니다.
이러한 신호는 초기 몇 건의 악성 거래에서 발생하며, 경우에 따라서는 그 이전에도 초기 행동 변화를 기반으로 발생합니다. 이러한 조기 감지 기능을 통해 CEX는 자동 대응을 설정할 수 있으므로, 방어 강화(출금 일시 중지, 콜드 스토리지 로 라우팅, 자금 흐름 격리) 시 더 빠르고 일관되게, 그리고 운영상의 실수는 최소화됩니다.
2. GateSigner(사전 서명 보호)
GateSigner는 서명 흐름에 연결하여 모든 거래에서 위험한 활동을 시뮬레이션하여 거래를 승인하기 전에 팀에 중요한 확인을 제공합니다.
- 먼저 인출을 시뮬레이션합니다.
- 결과는 손상 모니터와 대조하여 확인됩니다.
- 문제가 발견되면 GateSigner는 해당 거래가 체인에 도달하기 전에 차단하거나 에스컬레이션합니다. 이를 통해 공격자가 시도하는 거래에 인프라가 의도치 않게 서명하는 것을 방지할 수 있습니다.
마지막 생각들
핫 월렛 침해는 오늘날 수탁기관과 거래소가 직면하는 가장 값비싸고 빈번한 위험 중 하나가 되고 있습니다. 가장 유리한 입지를 확보한 기관은 서명 파이프라인에 대한 조기 탐지 및 강력한 통제에 투자하는 기관입니다. Hexagate의 월렛 침해 탐지 키트 와 GateSigner는 CEX가 이상 징후를 즉시 포착하고, 위험한 출금이 실행되기 전에 블록 , 적절한 시점에 적절한 대응을 자동화할 수 있도록 지원합니다. 이는 불가피한 침해를 격리된 사건으로 전환하고 사용자, 운영 및 비즈니스 전체를 보호하는 가장 효과적인 방법입니다.
Wallet Compromise Detection Kit 과 Gatesigner가 어떻게 여러분이 다음번 큰 강도 사건의 희생자가 되는 것을 방지할 수 있는지 자세히 알아보거나, 오늘 데모를 요청하세요 .
본 웹사이트에는 Chainalysis, Inc. 또는 그 계열사(통칭하여 "Chainalysis")가 관리하지 않는 제3자 사이트로 연결되는 링크가 포함되어 있습니다. 이러한 정보에 대한 접근은 Chainalysis가 본 사이트 또는 운영자와 제휴, 보증, 승인 또는 추천하는 것을 의미하지 않으며, Chainalysis는 본 웹사이트에 호스팅된 제품, 서비스 또는 기타 콘텐츠에 대해 책임을 지지 않습니다.
본 자료는 정보 제공 목적으로만 제공되며, 법률, 세무, 재무 또는 투자 관련 자문을 제공하기 위한 것이 아닙니다. 수신자는 이러한 결정을 내리기 전에 본인의 자문가와 상담해야 합니다. Chainalysis는 수신자가 본 자료를 사용하는 것과 관련하여 내린 결정이나 기타 행위 또는 부작위에 대해 어떠한 책임도 지지 않습니다.
Chainalysis는 이 보고서에 있는 정보의 정확성, 완전성, 적시성, 적합성 또는 타당성을 보장하거나 보증하지 않으며, 해당 자료의 어떠한 부분의 오류, 누락 또는 기타 부정확성으로 인해 발생하는 모든 청구에 대해 책임을 지지 않습니다.
15분 만에 3,500만 달러 상당의 암호화폐가 유출되었습니다. 거래소 해킹은 어떻게 진화하고 있으며 이를 방지하는 방법은 무엇일까요?라는 게시물이 Chainalysis 에 처음 게재되었습니다.
