페멕스 암호화폐 거래소 770억원 해킹, 북한 소행 추정

23일 싱가포르 소재 암호화폐 거래소 페멕스(Phemex)가 7000만 달러 규모의 해킹 피해를 입은 가운데, 다수의 블록체인 보안 전문가들이 북한 해커 조직의 소행일 가능성을 제기했다.

23일(현지시간) 더 블록에 따르면, 페멕스는 블록체인 보안 업체들로부터 의심스러운 활동 경고를 받고 출금을 중단했다. 당시 3000만 달러가 유출됐으나, 이후 추가 토큰이 도난당해 피해 규모가 확대됐다.

페데리코 바리올라(Federico Variola) 페멕스 최고경영자는 X를 통해 핫월렛을 조사 중이며 콜드월렛은 안전하다고 밝혔다.

이번 공격은 다른 주요 암호화폐 거래소 해킹과 유사한 위협 패턴을 보였다.

테일러 모나한(Taylor Monahan) 메타마스크(MetaMask) 수석 보안 연구원은 "모든 도난이나 사기는 체인상에서 고유한 행동 패턴을 보이며, 이를 통해 발생 상황과 관련자 수, 위협 행위자의 경험 수준을 파악할 수 있다"고 설명했다.

모나한은 "이번 사례에서는 다수의 체인에서 동시다발적으로 다양한 자산이 유출됐으며, 동결 가능한 스테이블코인부터 시작해 가치 순으로 토큰을 즉시 네이티브 자산으로 교환했다"고 덧붙였다.

많은 공격과 마찬가지로 해커들은 비트코인(BTC), 이더리움(ETH), 솔라나(SOL) 등 메이저 토큰과 스테이블코인을 우선 탈취했다. 특히 동결될 수 있는 USDC와 USDT 수백만 달러를 빠르게 ETH로 바꿨다.

시간이 지나면서 공격자들은 덜 알려진 토큰들을 노렸다. 마지막 3건의 거래는 ARPA 1000달러, ZRC 997달러, NKN 1020달러 규모였다. 아르캄(Arkham)에 따르면 공격자들은 거래소 지갑에 수 페니 상당의 소규모 알트코인만 남겼다.

모나한은 "모든 활동이 동시에 일어났지만 스크립트로 작성된 건 아니다"며 "자산이 수동으로 새로운 주소로 전송돼 교환되고 완료되면 다른 새 주소로 이전된다. 이후 실제 자금 세탁팀이 다음 주나 다음 달에 이를 수거해간다"고 설명했다.

모나한은 거래 건수와 표적이 된 블록체인의 광범위한 범위를 고려할 때 이번 공격이 "이전에 여러 차례 유사한 공격을 감행한 위협 행위자 그룹"의 소행일 가능성이 높다고 분석했다.

암호화폐 위협 조사관을 자처하는 익명의 소마XBT.eth는 북한 연계 또는 북한 기반 조직이 이번 공격의 배후일 가능성이 높다며 "공격 방식이 이들의 공격과 유사하다. 다른 체인에서는 이런 활동을 본 적이 없다"고 말했다.

익명을 요구한 또 다른 보안 연구원은 이번 공격이 일본 거래플랫폼 DMM을 대상으로 3억800만 달러를 탈취한 북한 국가 지원 해커 그룹 트레이더트레이터(TraderTraitor)의 수법과 유사하다고 지적했다.

이더스캔(Etherscan) 기준 EVM 체인 관련 거래만 275건에 달했다. 이 그룹은 이더리움 메인체인에서만 최소 8개의 자산 유출용 주소를 보유했으며, 아비트럼(Arbitrum), 베이스(Base), 폴리곤(Polygon), 옵티미즘(Optimism), 제트케이싱크(zkSync) 등 레이어2 체인용 주소도 있었다.

공격과 연관된 주요 지갑(0x5b34)을 통해 최소 4400만 달러가 유출됐다. 이 지갑은 아발란체(Avalanche), 바이낸스 스마트 체인(Binance Smart Chain), 폴카닷(Polkadot), 솔라나, 트론(Tron) 자산 유출용 주소도 보유했다.

다양한 블록체인 익스플로러에 따르면 최소 솔라나 1600만 달러, XRP 1200만 달러, 비트코인 500만 달러 상당이 도난당했다.

페멕스는 여전히 약 18억 달러 상당의 암호화폐 자산을 보유하고 있다. 이 중 대부분은 거래소 토큰 PT로 11억 달러에 달하며, 그 다음으로 비트코인 3억5500만 달러, USDT 2억900만 달러 순이다.

거래량 기준 55위, 코인게코(CoinGecko) 신뢰도 점수 기준 37위인 페멕스는 해킹 피해자들을 위한 보상 계획을 마련 중이라고 밝혔다.

해킹 관련 주소들의 거래는 미 동부시간 오전 10시, 평양 시간 자정 무렵 중단된 것으로 나타났다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기