사상 최대 규모의 도난: 바이비트 해킹 자금 추적

기사 출처: Elliptic, Golden Finance xiaozou 편집

2025년 2월 21일, 두바이에 위치한 암호화폐 거래소 바이비트는 약 14억 6천만 달러의 암호화폐 자산을 도난당하는 피해를 입었습니다. 초기 보고에 따르면 공격자들은 악성코드를 사용하여 거래소를 속여 도둑의 계좌로 자금을 이체하는 거래를 승인하도록 유도했습니다.

이것은 지금까지 발생한 암호화폐 도난 중 가장 큰 규모이며, 2021년에 폴리 네트워크에서 도난당한 6억 1,100만 달러를 훨씬 능가합니다(이 사건의 자금 대부분은 해커가 결국 돌려받았습니다). 실제로 이는 단일 도난 사건으로는 역대 최대 규모이며, 이전 기록 보유자는 2003년 이라크 전쟁 직전 이라크 중앙은행에서 10억 달러를 훔친 사담 후세인입니다.

이미지 src="https://img.jinse.cn/7351375_watermarknone.png" title="7351375" alt="bHuwMVsBbltBu40yfaW6Bi1DbU1h27RR92VOjTUf.png">< /p>

< /p>

엘립틱은 탈취한 암호화폐 자산의 자금 세탁 경로 분석 등 다양한 요소를 분석하여 바이비트 도난의 배후가 북한 라자루스 그룹이라고 판단했습니다. 17년 이후 북한과 연계된 해커들은 60억 달러 이상의 암호화폐 자산을 훔쳤으며, 이는 북한의 탄도미사일 프로그램에 사용된 것으로 추정됩니다.

라자루스 그룹은 표적 조직을 해킹하여 암호화폐 자산을 훔칠 뿐만 아니라 수천 건의 블록체인 거래를 통해 훔친 돈을 세탁하는 강력하고 정교한 공격 능력을 개발했습니다. 도난 사건 이후, 엘립틱은 바이비트, 암호화폐 서비스 제공업체 및 기타 수사기관과 24시간 내내 협력하여 도난당한 자금을 추적하고 청산을 막기 위해 노력했습니다. 세계 최고의 암호화폐 자산 거래 및 지갑 검사 솔루션 제공업체인 엘립틱의 소프트웨어는 전 세계 고객에게 이번 도난으로 인해 도난당한 자금을 수령했는지 여부를 묻는 알림을 보내고 있습니다. 이로 인해 이미 바이비트에서 도난당한 자금 중 일부가 동결되었습니다.

이미지 src="https://img.jinse.cn/7351376_watermarknone.png" title="7351376" alt="rPdMbA5OKnbgIHppYl2VbxPJg5iZXqQeAGPo78Cj.png">< /p>

라자루스 그룹의 자금 세탁 프로세스는 일반적으로 일반적인 패턴을 따릅니다. 첫 번째 단계는 도난당한 모든 토큰을 이더리움과 같은 "기본" 블록체인 자산으로 변환하는 것입니다. 토큰에는 경우에 따라 도난당한 자산이 포함된 지갑을 "동결"할 수 있는 발행자가 있는 반면 이더나 비트코인에는 그렇게 할 수 있는 중앙화된 기관이 없기 때문입니다.

바이비트 도난 사건 직후 수억 달러에 달하는 수억 개의 도난 토큰이 이더리움으로 교환되었을 때 공격자들은 중앙화된 거래소를 통해 자금 세탁을 할 때 발생할 수 있는 자산 동결을 피하기 위해 탈중앙화 거래소(DEX)를 사용했습니다.

자금 세탁 과정의 두 번째 단계는 거래 경로를 위장하기 위해 훔친 자금을 "레이어링"하는 것입니다. 블록체인의 투명성은 이러한 거래 경로를 추적할 수 있다는 것을 의미하지만, 이러한 레이어링 전술은 추적 과정을 복잡하게 만들고 자금 세탁업자에게 현금화할 수 있는 귀중한 시간을 벌어줄 수 있습니다. 레이어링 프로세스는 다음과 같은 다양한 형태를 취할 수 있습니다.

• 다수의 암호화폐 지갑을 통해 자금 이체

• 크로스 체인 브리지 또는 거래소를 사용하여 다른 블록체인으로 다른 블록체인으로

• 탈중앙 거래소, 토큰 교환 서비스 또는 거래소를 사용하여 암호화폐 자산 간 전환

• 토네이도 캐시 또는 크립토믹서와 같은 "코인 믹서" 사용

>

라자루스 그룹은 현재 자금 세탁의 두 번째 단계에 있습니다. 도난 후 2시간 이내에 도난당한 자금은 각각 약 10,000 이더리움을 보유한 50개의 다른 지갑으로 전송되었으며, 이 지갑들은 체계적으로 비워지고 있습니다. 2월 23일 오후 10시(UTC) 기준, 도난당한 자산의 10%(현재 1억 4천만 달러 상당)가 이 지갑들에서 이체된 것으로 확인되었습니다. .

이 지갑에서 자금이 이동되면 탈중앙화 거래소, 크로스 체인 브리지, 중앙 집중식 거래소 등 다양한 서비스를 통해 자금이 세탁됩니다. 그러나 eXch라는 암호화폐 거래소가 이러한 자금 세탁의 주요 조력자로 부상했습니다. eXch는 사용자가 익명으로 암호화폐를 교환할 수 있는 기능으로 유명하며, 북한의 여러 절도를 포함한 범죄 활동에서 수억 달러의 암호화폐를 교환하는 데 사용되었습니다. 해킹 이후 바이비트가 도난당한 수천만 달러 상당의 암호화폐가 eXch를 통해 거래되었습니다. eXch는 바이비트의 직접적인 요청에도 불구하고 이러한 활동을 차단하지 않았습니다.

도난당한 이더리움은 eXch와 다른 서비스를 통해 점차 비트코인으로 전환되고 있습니다. 과거의 자금 세탁 패턴을 따른다면, 거래 경로를 더욱 난독화하기 위해 코인 믹서를 사용할 수도 있습니다. 하지만 훔친 자금의 규모가 워낙 크기 때문에 이는 쉽지 않을 수 있습니다.

북한의 라자루스 그룹은 현존하는 가장 '전문적이고' 풍부한 자원을 갖춘 암호화폐 자산 세탁 조직으로, 훔친 자산의 식별과 압수를 피하기 위해 끊임없이 기술을 개선하고 있습니다. 바이비트 도난 사건 직후부터 엘립틱 팀은 바이비트, 고객, 다른 수사기관과 함께 24시간 내내 자금을 추적하고 북한 정권이 이 자금을 통해 이익을 얻지 못하도록 막고 있습니다.