바이비트에서 도난당한 이더리움 화이트워시 타임라인을 한 번에 살펴보기

윤요한, 아론 우드 글, 통 덩 편집, 골든 파이낸스

14억 달러 규모의 바이비트 해킹 사건은 암호화폐 역사상 최대 규모일 뿐만 아니라 업계의 위기 관리 능력을 시험하는 중요한 사건으로, FTX 사태 이후 업계가 얼마나 성숙했는지를 보여주는 사례이기도 합니다.

2월 21일 북한 라자루스 그룹이 14억 달러 상당의 이더리움과 관련 토큰을 탈취한 사건은 처음에는 암호화폐 업계 전체를 공포에 떨게 했지만, 바이비트를 중심으로 업계가 힘을 합쳐 사태를 수습하면서 빠르게 진정되었습니다.

이번 공격의 전개 과정과 바이비트의 대응 방식, 그리고 탈취된 자금의 행방을 살펴보겠습니다.

2월 21일: 바이비트 해킹

바이비트 해킹은 체인 슬루스 ZachXBT에 의해 처음 발견되었으며, 그는 플랫폼과 거래소에 해킹과 관련된 주소를 블랙리스트에 올리라고 경고했습니다.

그 후 얼마 지나지 않아 바이비트의 공동 창립자이자 CEO인 벤 저우(Ben Zhou)는 해킹 사실을 확인하고 침입에 대한 업데이트와 정보를 제공하기 시작했습니다.

체인널리시스의 사후 분석에 따르면 처음에는 라자루스가 거래소 자금에 접근하기 위해 피싱 공격을 수행했다고 밝혔지만, 이후 해커가 바이비트 시스템을 손상시키지 않고 세이프 개발자의 컴퓨터를 제어한 것으로 분석이 업데이트되었습니다.

공격자들은 중개 지갑 네트워크를 통해 공격 당시 11억 4천만 달러에 해당하는 약 401,000개의 이더리움을 '경로 변경'에 성공했습니다.

해커들은 지갑, 거래소, 크로스체인 전송으로 구성된 복잡한 네트워크를 사용하여 자금을 숨깁니다. Credit: Chainalysis

2월 21일: 바이비트, 지갑 안전 보장, 에테나 솔벤트

이 거래소는 유출 사실을 확인한 후 나머지 지갑은 안전하다고 사용자들을 안심시키기 위해 신속하게 대응에 나섰습니다. 몇 분 후, 거래소는 "다른 모든 바이비트 콜드월렛은 완전히 안전하다"고 발표했습니다. 모든 고객 자금은 안전하며 거래소는 아무런 중단 없이 정상적으로 운영되고 있습니다."라고 발표했습니다.

고객 인출은 해킹이 발생한 지 몇 시간 후에도 가능했으며, 저우는 Q&A 세션에서 거래소가 그때까지 70%의 인출 요청을 승인하고 처리했다고 말했습니다.

탈중앙화 금융 플랫폼인 에테나는 자사의 스테이블코인인 USDe가 해킹 이후에도 여전히 유동적이라고 밝혔습니다. 이 플랫폼은 바이비트에서 금융 파생상품에 3천만 달러의 노출이 있었지만, 준비금을 통해 손실을 만회할 수 있었다고 합니다.

2월 22일: 암호화폐 업계, 해커 블랙리스트에 오른 바이비트에 도움의 손길 내밀다

많은 암호화폐 거래소가 바이비트를 돕기 위해 연락을 취했습니다. 비트젯의 CEO 그레이시 첸은 거래소가 바이비트에 약 40,000 이더(당시 약 9,500만 달러)를 빌려주었다고 발표했습니다.

크립토닷컴의 크리스 마잘렉(Kris Marszalek) CEO는 회사 보안팀에 도움을 요청하겠다고 말했습니다.

다른 거래소와 기관들도 해킹과 관련된 자금을 동결하기 시작했으며, 테더의 CEO 파올로 아르도이노는 X에 회사가 해킹과 관련하여 181,000 USDt를 동결했다고 게시했고, 폴리곤의 최고 정보 보안 책임자인 무딧 굽타는 맨틀 팀이 해커들로부터 약 4,300만 달러를 회수했다고 언급했습니다. 4,300만 달러를 해커로부터 회수했다고 밝혔습니다.

저우는 비트겟, 갤럭시 디지털, 톤 재단, 테더 등 바이비트를 도와준 유명 암호화폐 기업들을 언급하며 감사의 글을 X에 게시했습니다.

바이비트는 또한 회수된 자금의 최대 10%를 보상하는 포상금 프로그램을 발표했으며 총 상금은 무려 140 억 달러에 달합니다.

2월 22일: 출금 대란, 라자루스 자금 이체

사고 이후 사용자 출금으로 인해 거래소의 총 자산 가치가 53억 달러 이상 감소했습니다.

출금 중단에도 불구하고 거래소는 지연이 있긴 했지만 출금 요청을 계속 받았고, 바이비트의 독립적인 준비금 증명 감사 기관인 하켄은 준비금이 여전히 부채를 초과하고 있음을 확인했습니다.

한편, 블록체인 추적에 따르면 라자루스는 계속해서 자금을 중개 지갑으로 분할하여 자금 이동을 더욱 난독화시키고 있습니다.

예를 들어 블록체인 분석 회사 룩온체인은 라자루스가 약 3천만 달러 상당의 이더리움 10,000개를 바이비트 익스플로러 54라는 지갑으로 이체하여 자금 세탁을 시작했다고 말합니다.

블록체인 보안 업체인 엘립틱은 "훔친 자산의 양이 워낙 방대해 쉽지 않은 일이지만, 블록체인 거래 간의 링크를 숨기는 서비스인 코인 믹서로 자금을 이체했을 가능성이 있다"고 설명했습니다.

2월 23일: 블랙리스트가 늘어나는 가운데 eXch, 바이비트, 자금 회수 계속

블록체인 분석가인 잭XBT와 닉 백스는 해커들이 "고객 파악" 서비스가 아닌 암호화폐 거래소 eXch에서 자금을 회수할 수 있었다고 주장했습니다. 잭XBT와 닉 백스는 모두 해커들이 고객 신원 확인 서비스를 제공하지 않는 암호화폐 거래소 eXch에서 자금 세탁을 할 수 있었다고 주장합니다. 잭XBT는 eXch가 3,500만 달러를 세탁한 후 실수로 다른 거래소의 핫월렛으로 34 이더리움을 전송했다고 주장합니다.

이미지 src="https://img.jinse.cn/7353546_watermarknone.png" title="7353546" alt="8XmWOCWBQ6fNe3AZf0PBM9eAT0mly3tFLoBXOA0o.jpeg">

이엑스치는 북한을 위한 자금 세탁을 부인했지만, "바이비트 해킹 자금의 일부"를 처리한 사실은 인정했습니다.

eXch는 이 자금이 "우리 주소 0xf1da173228fcf015f43f3ea15abbb51f0d8f1123으로 들어왔으며, 이는 격리된 사례이자 우리 거래소에서 처리한 유일한 부분이며 공익을 위해 사용하도록 수수료를 받고 있습니다!"라고 말했습니다. ".

바이비트는 사건에 연루된 지갑을 식별하기 위해 블랙리스트에 오른 지갑 애플리케이션 프로그래밍 인터페이스(API)를 공개했습니다. 거래소는 이 도구가 화이트 햇 해커들이 앞서 언급한 바운티 프로그램을 실행하는 데 도움이 될 것이라고 말했습니다.

바이비트는 또한 사고 이후 장외 거래에서 현물 구매를 통해 이더리움 보유량을 해킹 전의 절반 수준으로 회복했으며, 다른 거래소에서 대여한 이더리움도 포함시켰습니다.

2월 24일: 라자루스, DEX에 등장하고 바이비트가 이더리움 공백을 메우다

블록체인 전문가들은 라자루스와 관련된 자금의 흐름을 계속 모니터링하고 있습니다. 탈중앙화 거래소(DEX)에서 해커가 훔친 암호화폐를 다이로 거래하려고 시도하는 주소가 관찰되었습니다.

바이비트에서 훔친 이더리움 중 일부를 받은 지갑은 스카이 프로토콜, 유니스왑, OKX DEX와 상호 작용한 것으로 알려졌습니다. 거래 플랫폼 LMK에 따르면 해커들은 최소 364만 달러를 교환했습니다.

USDT나 USDC와 같은 다른 스테이블코인과 달리 다이의 경우 동결이 불가능합니다.

저우는 바이비트가 해킹으로 손실된 14억 달러의 이더를 대체하는 등 "이더리움 공백을 완전히 메웠다"고 발표했습니다. 그의 발표에 이어 제3자 준비금 증명 보고서가 발표되었습니다.

바이비트는 이더리움 보유량을 해킹 이전 수준으로 복구했습니다. 크레딧: 다크포스트

2월 25일: 라자루스 전투

바이비트는 복구 노력을 알리기 위해 전용 웹사이트를 개설하고, 저우는 암호화폐 커뮤니티에 다음과 같이 촉구했습니다. 를 개설하고 이를 홍보하는 동시에 암호화폐 커뮤니티에 라자루스 그룹에 맞서 단결할 것을 촉구했습니다. 이 사이트에서는 도움을 주겠다는 사람들과 협력을 거부하는 사람들을 구분하고 있습니다.

약 9,500만 달러가 eXch로 이체된 것으로 알려졌습니다. 출처:LazarusBounty

이 보고서는 도난당한 자금을 동결하는 데 도움을 준 개인과 단체를 조명합니다. 이 보고서는 도난당한 자금을 동결하는 데 도움을 준 개인과 단체를 조명하고 내부고발자와 자금을 동결한 단체가 균등하게 분배할 수 있도록 10%의 현상금을 수여합니다.

이 보고서는 또한 1,061건의 신고를 무시했다며 도움을 거부한 플랫폼은 eXch가 유일하다고 지적했습니다.

2월 26일: FBI, 라자루스 및 세이프 침입 보고 확인

미국 연방수사국(FBI)은 북한 해커가 바이비트 익스플로잇 공격을 수행했다는 널리 알려진 의혹을 확인하며, 그 주체로 사이버 보안 업계에서는 라자루스 그룹으로 더 널리 알려진 트레이더트레이터 조직을 지목했습니다.

공공 서비스 발표를 통해 FBI는 노드 운영자, 거래소, 브릿지 등 민간 부문에 라자루스와 관련된 주소의 거래를 차단할 것을 촉구했습니다.

이미지 src="https://img.jinse.cn/7353549_watermarknone.png" title="7353549" alt="YnExrOwpUzY1fNCmNzctXprlRRqeuqBiZQDSUnr4.jpeg">

FBI는 해킹과 관련된 51개의 의심스러운 블록체인 주소를 확인했으며, 사이버 보안 회사 Elliptic은 11,000개 이상의 중개자를 확인했습니다.

한편, 해킹 후 조사 결과 이전에 보고된 것처럼 바이비트의 인프라를 통한 것이 아니라 도난당한 세이프월렛 자격 증명이 취약점 악용으로 이어진 것으로 밝혀졌습니다.

2월 27일: 토르체인 거래량 폭발

보안업체 TRM 랩스는 바이비트 해커의 자금 세탁 속도가 "특히 우려스럽다"고 말했습니다. 2월 26일 기준으로 해커들은 중개 지갑, 암호화폐 거래소, 크로스 체인 브리지, 탈중앙 거래소(DEX)를 통해 4억 달러 이상을 이체한 것으로 알려졌습니다. TRM은 또한 탈취한 수익금의 대부분이 라자루스와 관련된 전술인 비트코인으로 교환되었다고 지적했습니다. 전환된 비트코인의 대부분은 여전히 원래 위치에 보관되고 있습니다.

한편, 아캄 인텔리전스는 라자루스가 문제가 되고 있는 크로스 체인 프로토콜 THORChain을 통해 최소 2억 4천만 달러의 이더리움을 비트코인으로 전환했으며, 48시간 이내에 총 전환 금액이 10억 달러 이상으로 급증한 것을 발견했습니다.

토르체인 개발사인 플루토는 북한 해킹과 관련된 거래를 차단하는 투표가 부결된 직후 프로젝트에서 탈퇴한다고 발표했습니다. 한편, 룩온체인은 해커들이 탈취한 자금의 54%를 세탁했다고 밝혔습니다.

바이비트 해킹이 암호화폐에 주는 의미

바이비트는 손실된 자금을 완전히 복구할 수 있었겠지만, 이번 사건은 블록체인 산업과 해커에 대한 대응 방법에 대한 더 큰 의문을 제기하고 있습니다.

이더리움 개발자 팀 베이코는 바이비트 환불을 위해 이더리움 네트워크를 롤백해야 한다는 요구를 재빨리 일축했습니다. 그는 이번 해킹은 이전의 사건과는 근본적으로 다르다며 "이더의 상호 연결된 특성과 온체인과 오프체인 경제 거래의 정산은 오늘날 이 문제를 까다로운 문제로 만든다"고 덧붙였습니다.

바이비트 침해 사고의 여파는 라자루스 그룹이 블록체인 기반 자금 이동에 더 효율적이 되었음을 시사하며, 이는 북한의 암호화폐 인프라가 개선되었거나 지하 금융 네트워크가 불법 자금을 흡수할 수 있는 능력이 증가했을 수 있다고 TRM 랩 조사관들은 의심하고 있습니다.

블록체인 플랫폼에 갇혀 있는 가치가 계속 증가함에 따라 공격의 정교함도 증가하고 있습니다. 블록체인 업계는 여전히 북한 국가 해커들의 주요 표적이 되고 있으며, 북한 해커들은 블록체인 수익을 무기 프로그램 자금으로 사용하고 있는 것으로 알려졌습니다.