CZ, Bybit 해킹 조사 보고서 강력 비판… '핵심 설명 부족'

전 바이낸스 CEO 창펑 자오(CZ)가 바이트(Bybit) 해킹 사건에 대한 세이프월렛(Safe Wallet)의 조사 보고서를 강하게 비판했다. 그는 해당 보고서가 공격 수법에 대한 명확한 설명이 부족하며, 다중 서명 시스템의 취약점을 제대로 짚어내지 못했다고 지적했다.

이번 논란은 세이프월렛의 인프라가 해킹됐다는 감사 보고서가 발표된 후 불거졌다. 보고서에 따르면, 이번 해킹 사건은 거래소 자체 시스템이 아닌, 세이프월렛이 보유한 주요 개발자 계정이 해커에 의해 탈취되면서 비롯됐다.

세이프월렛 측은 조사를 거쳐 개발자의 기기가 손상됐으며, 이를 악용한 공격이 이루어졌다고 밝혔다. 또한 시스템 전반을 재구축하고 보안 강화를 완료했다고 주장했다. 하지만 CZ는 "세이프월렛의 대응이 미흡하다"며 문제의 원인을 정확히 파악하기 어려운 모호한 표현이 사용됐다고 비판했다.

그는 특히 "개발자 기기가 손상됐다는 표현이 정확히 무엇을 의미하는지 불명확하다"며 "소셜 엔지니어링 수법이 사용됐는지, 악성 코드가 유포됐는지, 개발자가 직접 서버에 접근할 수 있었는지 등 제대로 된 설명이 부족하다"고 지적했다. 또한 "레저(Ledger) 검증 우회가 어떻게 가능했으며, 시스템이 맹목적으로 서명을 승인하도록 설정됐는지 여부도 밝혀져야 한다"고 덧붙였다.

바이트는 이번 보안 사고 이후 시그니아(Sygnia) 및 베리체인(Verichains)과 협력해 정밀 감사 보고서를 발표했다. 이에 따르면, 세이프 개발자의 인증 정보가 유출되면서 시스템에 악성 코드가 삽입됐고, 이 코드가 특정 계약 주소에서 전송된 트랜잭션을 감지해 승인하도록 설정됐던 것으로 드러났다.

공격자는 해킹 직후 단 2분 만에 악성 코드를 삭제하고 사라졌으며, 추적을 피하기 위해 정교한 방법을 사용한 것으로 보인다. 다행히 바이트 자체 인프라는 해킹되지 않았다는 점이 공식 확인됐다. 현재 바이트는 보안 강화 조치를 시행하고, 유동성 확보를 위해 4만 ETH를 빌려 고객 자산 보전 조치를 마친 상태다.

이번 사건은 암호화폐 거래소뿐만 아니라, 멀티시그 기반 보안 솔루션 자체의 취약점도 다시금 부각시켰다. 한편, CZ의 날선 비판에 대해 세이프월렛 측이 추가 대응에 나설지 주목된다.