바이비트, 1조9천억원 규모 이더리움 해킹 피해 확인...창업자 "위장 거래 탓" 해명

암호화폐 거래소 바이비트의 창업자 벤 저우가 14억달러(약 1조9천억원) 규모의 이더리움 해킹 피해 사실을 확인했다. 이는 최근 발생한 보안 사고 중 최대 규모다.

온체인렌즈에 따르면 바이비트의 이더리움 콜드월렛을 겨냥한 이번 공격으로 401,347 ETH(11억2천만달러), 90,376 stETH(2억5,300만달러), 15,000 cmETH(4,400만달러), 8,000 mETH(2,300만달러)가 유출됐다.

바이비트 보안 사고 상세 내용

저우는 이번 공격이 바이비트의 멀티시그 월렛 인터페이스를 조작해 서명자들이 모르는 사이에 사기성 스마트 계약 업데이트를 승인하도록 속인 것이라고 설명했다.

그는 "해당 거래가 위장됐던 것으로 보인다. 모든 서명자들이 위장된 UI를 보았고, URL도 세이프(Safe)에서 온 것이었다"며 "하지만 서명 메시지는 우리 이더리움 콜드월렛의 스마트 계약 로직을 변경하는 것이었다"고 밝혔다.

바이비트 팀은 실수로 계약 수정을 승인했고, 이로 인해 공격자들이 콜드월렛을 완전히 장악해 모든 자금을 알 수 없는 주소로 이체할 수 있게 됐다.

영향과 대응

저우는 이번 사고에도 불구하고 다른 콜드월렛들은 안전하며 출금도 정상적으로 이뤄지고 있다고 강조했다. 그러나 대규모 도난 자금이 외부 월렛으로 이체된 것과 관련해 탈중앙화 금융(DeFi) 플랫폼이나 프라이버시 중심 믹서를 통한 자금 세탁 가능성이 우려되고 있다.

"바이비트의 핫월렛, 웜월렛, 그리고 다른 모든 콜드월렛은 이상 없다. 해킹된 것은 이더리움 콜드월렛 하나뿐이며, 모든 출금은 정상적으로 이뤄지고 있다"고 그는 말했다.

바이비트는 현재 블록체인 조사관과 사이버보안팀과 협력해 도난 자산을 추적하고 있다. 저우는 "도난 자금 추적에 도움을 줄 수 있는 팀이 있다면 감사하겠다"고 밝혔다.

저우는 추가 성명을 통해 바이비트가 지급여력을 갖추고 있으며, 해킹 손실이 회수되지 않더라도 모든 손실을 충당할 수 있다고 재확인했다.

블록체인 추적 전문가 ZachXBT에 따르면, 공격자는 10,000 ETH를 39개 주소로 분할했으며, 거래소나 서비스 제공업체들에게 모든 EVM 체인에서 이 주소들을 블랙리스트에 올려줄 것을 요청했다.

시장 영향

지난해 5월 31일 일본 거래소 DMM 비트코인은 약 3억500만달러 상당의 4,502.9 비트코인을 도난당해 2024년 최대 규모의 암호화폐 해킹 사고를 기록했다.

TRM 랩스는 당시 개인키 도난이나 주소 포이즈닝 등이 원인일 수 있다고 분석했다.

2023년 9월 23일에는 홍콩 기반의 믹신 네트워크가 클라우드 서비스 제공업체의 데이터베이스가 해킹되면서 2억달러의 손실을 입었다. 이는 2023년 최대 규모의 암호화폐 해킹으로, 개인키가 유출된 것으로 추정된다.

또한 DeFi 프로토콜 율러 파이낸스는 2023년 3월 13일 스마트 계약 취약점을 이용한 플래시론 공격으로 1억9,700만달러의 손실을 입었다. 해커는 토큰 환율을 조작했으나, 협상 후 대부분의 자금을 반환하고 작은 보상금만 가져간 것으로 알려졌다.