마운트곡스 붕괴 10주년: 해커는 누구였나요? 도난은 어떻게 발생했을까요?

글: 마크 헌터, 코인데스크, 정리: 통 덩, 골든 파이낸스

2014년 2월 일본의 비트코인 거래소인 마운트곡스가 무너졌을 때, 탄생한 지 5년도 안 된 신생 암호화폐가 사라질지도 모른다는 우려를 할 만한 충분한 이유가 있었습니다. 지금은 그런 제안을 비웃기 쉽지만, 비트코인이 아직 그런 재앙에 직면하지 않았다는 점을 감안하면 많은 사람들이 그렇게 생각했습니다.

2011년 3월부터 2014년 1월까지 마운트곡스에서 어떤 형태로든 88만 개 이상의 BTC가 분실 또는 도난당했고, 현재 그 손실액은 무려 450억 달러에 달하지만, 마운트곡스 폐쇄 10주년을 맞아 여전히 해결해야 할 몇 가지 중요한 질문이 남아 있습니다.

누구의 책임인가?

아직 답이 나오지 않은 중요한 질문 중 하나는 우리가 모든 범인을 알고 있는지 여부입니다. 마운트곡스가 존재하는 동안 6번의 해킹으로 809,000 BTC 이상이 도난당했으며, 2011년 10월 거래소를 침입한 러시아 해킹 그룹의 일원이라는 혐의를 받고 있는 알렉세이 빌류첸코와 알렉산드르 베르너 등 두 명의 이름만 알려져 있습니다. 회원입니다. 이들은 26개월 동안 거래소의 콜드월렛에서 647,000개의 비트코인을 훔쳐 세탁했습니다.

버너와 빌류첸코는 미국에서만 기소되었습니다. 그러나 당국이 해킹 자체가 아닌 자금 세탁을 기소했다는 사실은 이들에 대한 혐의에 대한 증거가 부족하다는 것을 의미할 수 있습니다.

2017년에 봉인되었다가 작년 6월에 공개된 이 혐의를 제외하고 나머지 162,000 BTC를 누가 훔쳤는지 알 수 없습니다. 79,956 BTC는 여전히 '1Feex'로 시작하는 잘 알려진 주소에 묶여 있고, 77,000 BTC는 2011년 9월에 도난당했으며 나머지는 여전히 '1Feex'로 시작하는 잘 알려진 주소에 묶여 있습니다. 2011년 9월에 도난당한 77,500 BTC는 추적된 적이 없습니다. 이 해킹은 매우 성공적이어서 2015년이 되어서야 발견되었습니다.

2011년 6월에는 또 다른 사람이 2,000 BTC를 훔쳐 비트코인 가치가 17.50달러에서 0.01달러로 급락했고, 마운트곡스 CEO 마크 카르펠레스가 떠난 후 해커가 거래소 보유 비트코인의 절반 이상을 훔쳐갔습니다. 지갑은 암호화되지 않은 네트워크가 있는 드라이브에 있었습니다. 다행히도 카르펠레스는 해커가 물러나고 1%의 현상금에 합의하여 거래소는 30만 BTC 대신 3,000 BTC만 잃었습니다.

이 모든 사례에서 우리는 누가 그랬는지 알지 못하며, 이제 알 수 없을 것이 거의 확실해졌습니다. 동일한 수법으로 인해 많은 사람들이 1Feex 해킹이 2011년 10월부터 2014년 1월까지 발생한 엄청난 규모의 침해 사고를 위한 리허설이라고 의심했지만, 이는 확인되지 않았습니다.

도난은 어떻게 발생했나요?

Mt. Gox에서 분실된 881,865 BTC 중 72,409 BTC가 어떻게 분실되었는지 확인할 수 있습니다. 마운트곡스의 시스템에는 고객 예치금으로 30,000 BTC가 기록되어 있었지만, 실제로는 해커가 도난당한 자금이었습니다. 2011년 10월, 마크 카펠레스는 실수로 2,609개의 이메일을 존재하지 않는 주소로 전송하는 실수를 저질렀습니다. 마운트곡스에서 운영되던 두 개의 봇, 마르쿠스와 윌리는 22,800 BTC를 잃었습니다. 카르펠레스는 2011년 7월 폴란드 거래소 비트토맷을 17,000 BTC에 인수했습니다.

그 나머지는 대부분 유입 경로를 알 수 없거나 단지 의심되는 정도입니다. 2011년 6월에 발생한 해킹에서 해커들은 관리자 수준의 계정을 통해 마운트곡스 서버에 접근할 수 있었던 것으로 알려져 있습니다. 처음에는 감사 오든 맥커넌의 계정으로 추정되었지만, 나중에 마운트곡스를 마크 카펠레스에게 매각한 설립자 제드 맥칼렙의 계정인 것으로 밝혀졌으며, 그는 여전히 관리자 권한을 가지고 있었습니다. 해커들은 1Feex 해킹으로 79,956 BTC와 함께 마운트곡스 사용자 데이터베이스 전체가 도난당했을 때 세부 정보에 접근할 수 있었던 것으로 추정됩니다.

미국 당국이 2011년 10월 마운트곡스를 해킹한 조직의 일원으로 버너와 빌류첸코를 확신한다면, 그들의 주장을 뒷받침할 증거가 있어야 하지만, 재판이 열리지 않는 한(그들의 이름이 공개되었으므로 거의 확실하지 않습니다), 이러한 세부 정보는 절대로 유출될 수 없습니다.

산에 보관된 비트코인은 얼마나 안전한가요?

해커가 어떻게 마운트곡스 서버에 접근할 수 있었는지에 대한 질문과 관련하여 콜드월렛에 안전하게 보관되어 있는 것으로 추정되는 자금에 어떻게 접근할 수 있었는지에 대한 질문도 있습니다. 2011년 6월 해킹이 발생하기 전에 카르펠레스는 사용자의 비트코인을 다양한 물리적 지갑과 소프트웨어 지갑에 우연한 방식으로 보관했으며, 이로 인해 해킹의 영향이 악화되고 정리 작업이 장기화되었다는 사실을 알고 있습니다.

카펠레스는 이 사건을 계기로 보다 안전한 시스템을 도입하게 되었다고 주장하며, 비트코인을 여러 개의 종이 지갑(나중에 그는 수백 장의 종이가 필요하다고 말했습니다)에 나눠서 도쿄 전역의 은행 금고와 금고에 보관했다고 밝혔습니다. 따라서 1Feex 해킹 때처럼 핫월렛이 다시 도난당하더라도 콜드월렛은 영향을 받지 않을 것입니다.

그 자체로는 충분히 안전해 보였지만 2011년 10월부터 2014년 1월 사이에 거래소의 콜드월렛이 실제로 도난당했다는 사실이 밝혀지자 당시 비트코인 블로거이자 향후 암호화폐 투자회사 안드레센 호로위츠(Andreessen Horowitz)의 총괄 파트너인 아리아나 호로위츠(Arianna  의 제너럴 파트너인 아리아나 심슨은 다음과 같이 말합니다."제대로만 한다면, 유출 여부와 상관없이 핫월렛을 통해 콜드 스토리지 지갑에 접근할 수 없어야 합니다. 이것이 바로 이 둘을 분리하는 핵심입니다."

그렇다면 콜드월렛은 어떻게 유출되었을까요? 카르펠레스는 잘못 처리된 자금에 대한 소송을 피하기 위해 콜드월렛과 핫월렛을 따로 설정했다고 밝힌 적은 없지만, 인터뷰에서 일관성이 없고 때로는 비논리적인 시나리오를 암시하는 힌트를 제공한 적이 있습니다.

종이 지갑을 사용하면서 자금을 보호하고 싶을 때 핫월렛을 충전하는 유일한 방법은 종이 지갑을 구해 매우 안전한 네트워크에서 여러 단계의 수동 거래를 수행하는 것입니다. 물론 이 작업은 매번 수행해야 하므로 규모나 거래량에 관계없이 모든 비트코인 거래소에서는 완전히 비현실적입니다. 마운트곡스 직원들은 마크 카르펠레스가 종이 지갑을 다루는 것을 본 적이 없다고 보고했으며, 실제로 일부 저명한 직원들은 '궁극의 재앙: 마운트곡스는 어떻게 50억 달러를 잃고 비트코인을 거의 죽일 뻔했나'에서 지갑에 관한 화제만 들어봤지, 콜드월렛에 관한 얘기는 들어본 적이 없다고 증언했습니다.

콜드월렛이 소진되면 자동으로 핫월렛을 보충하고, 그 반대의 경우도 마찬가지인 시스템이 있나요? 이는 콜드월렛 시스템의 원칙을 완전히 훼손하지만 거래소가 작동할 수 있는 유일한 실행 가능한 방법인 것 같습니다.

카펠레스는 거래소가 파산했다는 사실을 알고 있나요?

여전히 의견이 분분한 큰 질문입니다. 물론 카펠레스는 2014년 2월 중순 콜드월렛을 확인하기 전까지 거래소가 파산했다는 사실을 몰랐다고 주장하지만, 그 주장에는 결함이 있습니다. 마운트곡스는 2013년 8월부터 비트코인 출금 문제가 발생하기 시작했으며, 이는 위험 신호였어야 합니다. 그러나 카르펠레스는 과거에 여러 차례 해킹을 당했음에도 불구하고 마운트곡스의 자금이 부족하다고 생각하지 않는 것 같습니다.

카펠레스는 2014년 초에 출금 문제가 발생했을 때 '거래 확장성' 취약점 탓으로 돌렸지만, 작은 도난에도 상당한 사회 공학이 필요하다는 것은 잘 알려진 사실입니다. 또한 모니터링 시스템이 마련되어 있었기 때문에 손실을 의심하지 않았다고 말했습니다. 만약 그런 시스템이 존재했다면 합리적으로 설계되지 않았다는 것이고, 이는 거래소의 관리가 잘못되었다는 것을 의미합니다.

말할 필요도 없이 많은 사람들은 2014년 2월에 카르펠레스가 손실이 발생했다는 사실을 깨달았다고 믿지 않습니다. 다른 사람들은 더 나아가 카르펠레스가 손실된 비트코인에 대해 알고 있었을 뿐만 아니라 손실을 만회하기 위해 윌리와 마르쿠스를 이용했다고 말합니다. 만약 이것이 카르펠레스의 의도였다면, 거래소가 붕괴하기 전에 22,800 BTC와 5,160만 달러를 잃는 역효과를 낳았습니다.

단순한 대답은 마운트곡스의 비트코인이 어떻게 보호되었는지 추측할 수 있을 뿐이며, 마크 카르펠레스가 밝히지 않는 한 앞으로도 그렇게 될 것이라는 점입니다.