바이빗 14억 달러 해킹…CZ, 보안 해명에 강한 의문 제기

최근 14억 달러(약 2조160억 원) 규모의 바이빗(Bybit) 해킹 사건을 두고 보안 업계의 논란이 커지고 있다. 다중서명 월렛 솔루션인 세이프(Safe)의 개발사 측이 사고의 원인을 해킹된 개발자 컴퓨터라고 설명했으나, 바이낸스 공동 창업자 창펑 자오(CZ)는 이에 대한 대응에 강한 불만을 나타냈다.

세이프는 포렌식 분석 결과 스마트 계약이나 프런트엔드 코드 자체의 취약점이 아닌, 한 개발자의 기기가 악성 코드에 감염되면서 공격자가 바이빗의 세이프 월렛을 조작할 수 있었다고 전했다. 그러나 CZ는 해당 발표가 기술적으로 모호하다고 지적하며, 해커가 어떻게 다중 서명 검증을 우회했는지, 개발자 컴퓨터가 바이빗 시스템에 접근할 수 있었던 경위, 다른 자산은 공격 대상에서 제외된 이유 등에 대한 추가 설명이 필요하다고 주장했다.

이와 관련해, 세이프의 모기업인 그노시스(Gnosis) 공동 창업자 마르틴 쾨펠만(Martin Köppelmann)은 해커가 여러 서명자의 승인을 받도록 거래를 조작했을 가능성이 있다며, 특정 자산만 공격 대상이 된 것은 노출을 최소화하기 위한 전략일 수 있다고 분석했다.

보안 기업 시그니아(Sygnia)와 베리체인스(Verichains)의 포렌식 조사에 따르면, 내부 개발자의 인증 정보가 유출되면서 공격자가 세이프 인프라에 무단으로 침입하는 것이 가능했다. 해커는 결과적으로 다중 서명 프로세스를 교묘히 속여 악성 거래를 승인받는 데 성공한 것으로 드러났다.

한편, 북한이 연계된 것으로 의심받는 라자루스 그룹이 이번 해킹으로 탈취한 자금의 세탁 과정을 진행 중이라는 정황도 포착됐다. 온체인 데이터 분석에 따르면, 이들은 24시간 동안 약 4만5,900 이더리움(ETH), 약 1억1,300만 달러(약 1,627억 원)를 이동시켰으며, 현재까지 약 13만5,000 ETH(약 3억3,500만 달러, 4,828억 원) 이상을 세탁한 것으로 추정된다.

바이빗과 블록체인 분석 업체 일립틱(Elliptic)은 라자루스 그룹이 자금을 분산시킨 1만1,000개 이상의 지갑을 추적하고 있으며, 암호화폐 시장 참여자들이 자금세탁에 연루되지 않도록 주의를 기울여야 한다고 경고했다.