스테이블코인 결제 플랫폼 인피니, 5,000만 달러 해킹 피해… 내부자 소행 가능성

스테이블코인 결제 플랫폼 인피니(Infini)가 5,000만 달러(약 720억 원) 규모의 해킹 피해를 입었다. 보안 전문가들은 이번 공격이 프로젝트 개발 과정에서 관리자 권한을 유지한 개발자에 의해 실행된 것으로 보고 있다.

보안 업체 사이버스(Cyvers)에 따르면, 공격자는 인피니의 스마트 계약 개발자로 참여한 후 여전히 관리자 권한을 보유한 상태에서 이번 해킹을 단행했다. 해커는 토네이도 캐시(Tornado Cash)를 이용해 1 ETH를 세탁한 뒤, 지난해 11월 생성된 특정 스마트 계약을 활용해 인피니에서 4,952만 달러 상당의 USD 코인(USDC)을 탈취했다.

이후 도난당한 USDC는 즉시 다이(DAI)로 변환됐다. 다이는 중앙화된 발행사가 자산 동결 기능을 보유하지 않은 스테이블코인이기 때문에, 자금 추적이 더욱 어려워졌다. 해커는 이를 다시 17,696 ETH로 교환한 뒤, 공격 당시 마련한 또 다른 지갑으로 옮겼다.

인피니 팀은 해킹 직후에도 출금 기능을 중단하지 않았다. 크리스천 리(Christian Li) 인피니 창업자는 소셜미디어 X를 통해 "최악의 경우에도 피해 보상을 완료할 것"이라고 밝혔다. 그는 또한 해킹 이후 50만 달러 상당의 자금이 플랫폼에서 인출된 점을 제시하며 일부 이용자들의 불안감을 진정시키려 했다.

한편, 인피니 팀원 중 한 명인 크리스틴(Christine)은 현재 삭제된 게시글에서 “해커의 신원을 파악했으며 법적 조치를 진행 중”이라고 주장했으나, 코인텔레그래프의 확인 요청에는 "아직 조사가 진행 중"이라는 답변만 남겼다.

이번 공격은 최근 암호화폐 거래소 바이비트(Bybit)에서 발생한 14억 달러 규모의 대규모 해킹 직후 벌어졌다. 바이비트는 해킹 후에도 출금을 허용했고, 업계 파트너들로부터 대출을 받아 유동성 위기를 극복했다. 바이비트 CEO 벤 저우(Ben Zhou)는 2월 24일 해당 해킹으로 인한 ETH 손실을 완전히 복구했다고 발표했다.

한편 블록체인 분석가 잭XBT(ZachXBT)는 바이비트 해킹의 배후로 북한의 해킹 조직 라자루스 그룹(Lazarus Group)을 지목했다. 그는 이번 공격이 1월 발생한 페멕스(Phemex) 해킹, 빙엑스(BingX) 해킹과도 연결돼 있다고 분석했다.