엘립틱 "FTX 해킹 배후, 러시아 연계 조직 추정"

작년 암호화폐 거래소 FTX 붕괴 당시 발생한 거래소 해킹 사고의 배후에 러시아 조직이 있을 가능성이 높다고 블록체인 분석업체 엘립틱이 12일(현지시간) 발표했다.

엘립틱은 도난 자산의 온체인 이동에 대한 세부적인 타임라인을 공개하며 이 같이 추정했다.

FTX에서 탈취된 자산은 대부분 비트코인으로 이동했으며, 추적을 어렵게 만드는 믹싱 서비스 '칩믹서(ChipMixer)'를 통과했다.

엘립틱은 "추적 결과 도난 자산의 상당 부분이 랜섬웨어, 다크넷 마켓 같은 러시아 연계 범죄 조직의 자금과 함께 거래소로 보내졌다"면서 "이는 러시아와 관련된 브로커나 다른 중개자가 개입돼 있다는 것"이라고 설명했다.

FTX 설립자가 자금을 빼돌렸다는 내부 소행 의혹에 대해 의문을 제기했다. 분석업체는 "뱅크먼 프리드가 인터넷 접속 없이 법정에 있었던 이달 4일 오후 3시 41분(EST) FTX에서 도난당한 1500만 달러의 암호화폐가 이동했다"고 밝혔다.

해커는 FTX가 파산보호를 신청한 작년 11월 11일 9500ETH를 탈취했으며, 이후 팍스골드(PAXG), 테더(USDT), 랩트비트코인(WBTC) 등 총 4억7700만 달러의 자산을 훔쳤다.

당국이 일부 자산을 동결하는 데 성공했지만, 대부분은 며칠 만에 다른 암호화폐로 스왑되거나 다른 블록체인으로 옮겨졌다. 엘립틱은 "해커가 이 같은 방식으로 자산 추적을 더 어렵게 만들었고, 자금 세탁 서비스에 더 접근할 수 있었다"고 설명했다.

11월 20일 해커는 FTX 트레이딩 계열사 알라메다 리서치와 연계된 '렌브리지(RenBridge)'을 이용해 6만5000ETH을 비트코인으로 이동시켰으며, 이후 칩믹서로 자금을 옮겼다. 칩믹서는 올초 미국 법무부가 폐쇄했다.

9개월 이후 또 다른 7만2500ETH가 토르스왑(THORSwap)을 통해 비트코인으로 이동했다. 토르스왑은 이후 자금세탁을 우려해 인터페이스를 중단시켰다.

현재는 많은 자금이 '신바드(Sinbad)'를 통해 처리되고 있는데, 해당 서비스는 북한 해커 조직 라자루스 조력 혐의로 재무부 제재 대상에 올랐던 블렌더를 리브렌딩한 것으로 추정된다. 한편, 엘립틱은 "정교하지 않은 자금 세탁 수법이 사용됐다"면서 라자루스는 FTX 해킹 배후가 아닐 것이라고 말했다.

[email protected]