지난 21일, 바이비트가 해킹 공격을 당한 후 진행된 별도 조사에서 이번 사건이 악명 높은 라자루스 그룹과 연계된 것으로 밝혀졌다.
바이비트가 공격 사실을 발표한 지 하루 만에 블록체인 보안 전문가 잭XBT(ZachXBT)가 이번 해킹이 북한 정부의 지원을 받는 해킹 그룹과 관련이 있다는 조사 결과를 공개했다.
블록체인 분석 기업 아캄 인텔리전스(Arkham Intelligence)는 X(구 트위터) 게시글에서 “오늘 19시 09분(UTC 기준), 잭XBT가 바이비트 해킹 공격이 라자루스 그룹의 소행이라는 결정적인 증거를 제출했다”고 발표했다. 이 기업은 잭XBT의 발견을 인정하며 포상금을 지급했다.
바이비트는 2024년 9월 기준, 전 세계 5,000만 명 이상의 사용자를 보유한 거래량 기준 세계 2위 암호화폐 거래소다.
공격 전 테스트 거래를 통해 연관성 확인
잭XBT는 해킹 직전 수행된 테스트 거래와 연계된 암호화폐 지갑에 대한 정밀 분석을 진행했다. 그는 해당 분석 결과를 그래프 및 시간별 분석과 함께 제출했으며, 아캄은 이를 X 게시글로 올렸다.
대규모 해킹이 발생하기 전, 공격자는 종종 소규모 테스트 거래를 수행해 보안 시스템의 탐지를 피할 수 있는지 확인한다. 보안 연구원들은 이러한 거래를 분석해 자금 흐름을 추적하고, 여러 암호화폐 지갑 간의 연관성을 파악할 수 있다.
또한, 그래픽 분석과 거래 타이밍 비교를 통해 동일한 주체가 관리하는 지갑 그룹을 식별하고, 자금 이동의 순서를 밝혀낼 수 있다.
잭XBT는 이번 분석 과정에서 최근 발생한 페멕스 및 빙엑스 해킹 사건과 관련된 주소들이 바이비트 해킹과 동일한 그룹에 속해 있음을 발견했다. 그는 “하루 종일 자금 세탁 경로를 추적하며 도난당한 주소를 분석했다”라고 밝히며, 바이비트 해킹과 연결된 주소들을 공개했다.
해커, 콜드월렛에 접근
바이비트는 토요일 공식 발표문을 통해 해킹 사실을 알렸다. 바이비트는 “2025년 2월 21일 12시 30분(UTC 기준)경, 정기적인 이체 과정에서 이더리움(ETH) 콜드월렛에서 비정상적인 활동이 감지됐다”라고 밝혔다. 여기서 말하는 콜드월렛이란 인터넷과 물리적으로 분리된(오프라인 상태) 암호화폐 지갑이다.
보안 기업 아크로니스의 수석 연구원 산티아고 폰티롤리는 CSO와의 인터뷰에서 “공격자는 전송을 승인하는 콜드월렛 서명자들에게 정상적인 주소를 표시하면서도, 실제로는 스마트 계약의 논리를 조작하는 기만적인 거래 방식을 사용했다”라며 “이 방식으로 해커는 콜드월렛에 대한 통제권을 확보했다”라고 설명했다.
바이비트는 40만 ETH 및 stETH, 총 15억 달러(약 2조 원) 이상의 자산이 미확인된 주소로 이동했다고 발표했다. 또한, 공격 확인 이후 출금 요청이 급증했으나 이미 70% 이상 처리가 완료됐다고 밝혔다.
바이비트는 발표문에서 “우리 플랫폼은 200억 달러(약 28조 원) 이상 가치의 자산을 보유하고 있으며, 필요할 경우 임시 단기 대출 제도(bridge loan)를 활용해 사용자 자산의 유동성을 보장할 것”이라고 강조했다.
CSO는 바이비트에 추가 질문을 보냈으나, 기사 작성 시점까지 공식적인 응답을 받지 못했다. 그러나 바이비트는 공식 발표에서 블록체인 포렌식 전문가들과 협력해 도난당한 자금을 추적하고 있으며, 문제 해결을 위해 최선을 다하고 있다고 전했다.
현재 거래소의 서비스 및 출금은 정상적으로 운영되고 있으며, 거래 상품, 카드 서비스, P2P 거래 등도 문제없이 이용 가능하다.
폰티롤리는 “이번 사건은 암호화폐 산업이 직면한 지속적인 보안 문제를 여실히 보여준다”라며, “점점 정교해지는 사이버 공격에 대비해 보안 체계를 강화할 필요가 있다”라고 밝혔다. 그는 “이번 사건은 암호화폐 역사상 최대 규모의 해킹 중 하나로 기록될 것”이라고 덧붙였다.
[email protected]
Read More from This Article: ‘전 세계 2위 거래소’ 바이비트서 15억 달러 암호화폐 사라져··· 북한 개입 확인
Source: News