Key Takeaways

- 바이비트는 월렛 프론트엔드 인터페이스의 프론트엔드 취약점으로 인해 14억 달러 상당의 ETH를 잃는 크립토 역사상 최대 규모의 해킹을 경험했다.

- 크립토 커뮤니티는 신속하게 대응하였다. 중앙화 거래소들은 자금을 지원하고, 보안 연구원들은 도난당한 자금을 추적하며, 디파이 프로토콜들은 즉각적으로 보호 조치를 시행했다.

- mETH 프로토콜은 내장된 출금 지연 기능과 신속한 대응 덕분에 해커로부터 4,200만 달러 상당의 ETH를 성공적으로 복구했다.

- 이 사건은 위기 상황에서 다양한 주체들이 함께 협력하여 피해를 완화하는 크립토 업계에서만 가능한 협업을 보여주었다.

1. 크립토 역사상 최대 규모의 해킹 사건

바이비트가 크립토 역사상 가장 심각한 해킹을 겪어 약 14억 달러 상당의 크립토 자산을 도난당했다. 이는 바이비트 전체 보유고의 8.64%에 해당할 정도의 큰 규모였다. 이 해킹은 어떻게 발생했고, 해킹 이후에는 어떻게 대처가 되었을까?

Source: X (@Sina_21st)

1.1 해킹은 어떻게 발생했나?

Source: X (@arkham)

2025년 2월 21일 바이비트의 이더리움 멀티시그 콜드 월렛과 웜 월렛 간의 정기적인 이체를 하는 과정에서 해킹이 발생되었다. 바이비트 계정에서 해커 계정으로 401,347 ETH(14억 달러)가 이체되었으며 도난당한 ETH 자금은 바이비트 ETH 보유고의 약 75%에 해당하는 상당한 금액이였다.

해커들은 월렛 서명자들에게 정상적으로 보이는 주소와 서명 인터페이스를 보여줌과 동시에 기저 스마트 컨트랙트 로직을 몰래 조작하는 방식으로 트랜잭션을 조작했다. 서명자들이 일반적인 이체로 보이는 거래를 승인하도록 속여 해커들은 보안 프로토콜을 우회하여 자금을 자신들이 통제하는 주소로 빼돌릴 수 있었다.

1.2 해킹 이후에 어떤 일들이 발생했나?

Source: X (@arkham)

해킹 직후, 바이비트의 CEO인 벤 조우(Ben Zhou)는 해킹된 사실을 밝힘과 동시에 공격이 어떻게 발생했는지 X에 직접 바로 알렸다. 직후에 외부 보안 리서처 ZachXBT는 본 해킹은 악명이 높은 사이버 범죄 조직인 북한의 라자루스 그룹과 연관이 되어 있다고 밝혔다.

이후 바이비트의 대응은 신속했다. 조우는 사용자들에게 단 하나의 콜드 월렛만이 해킹을 당했고 다른 월렛들은 안전하며, 고객 자산은 1대1로 완전히 보장되어 있다고 안심시켰다. 이는 필요한 경우 바이비트가 손실을 매꿀 수 있다는 의미였다. 하지만 도난 규모가 막대해 대규모 출금 요청이 쇄도했고, 조우는 첫 10시간 동안 35만 건이 넘는 출금이 있었다고 공유했는데, 이는 평소 거래량의 약 100배에 달하는 수준이었다. 이러한 압박에도 불구하고 바이비트는 정상적으로 운영되었다.

Source: X (@Bybit_Official)

바이비트는 또한 이 사건을 법 집행 기관에 신고했으며 도난당한 자금을 추적하기 위해 온체인 분석 제공업체들과 협력하고 있다고 발표했다. 해커들은 ETH를 53개의 월렛으로 분산시켜 추적을 어렵게 만들었고, DEX에서 상당량의 stETH를 ETH로 스왑하여 약 2억 달러어치를 현금화했다. 업계내 관계자들은 바로 지원에 나섰는데 비트겟(Bitget)과 같은 거래소들은 바이비트에 대출을 제공했으며, 온체인 데이터 플랫폼 아캄(Arkham)은 해커를 식별하기 위해 ARKM 현상금을 걸었다.

2월 22일, 해킹 발생 약 12시간 후에 조우는 모든 출금 요청이 처리되었으며, 지연이나 금액 제한 없이 시스템을 완전히 회복했다고 발표했다. 2월 24일 기준으로, 바이비트는 대출과 장외 거래를 통해 해킹된 ETH 물량을 모두 확보하였다. 앞으로 더 지켜봐야 하겠지만, 1주일이 지난 지금으로 봤을때 크립토 역사상 최대 규모의 해킹 사건은 시장의 큰 패닉 없이 해결되었다.

Source: Bybit Hack by the Numbers - Kaiko - Research

2. 크립토가 보여준 크립토에서만 가능한 리스크 대응

2.1 공개적인 협업, 위기에 대응하는 크립토만의 방식

최대 규모의 중앙화 거래소 중 하나가 14억 달러 규모의 해킹을 당한 것은 시장을 패닉 상태로 만들기에 충분했다. 하지만 CEO가 신속하게 사용자들을 안심시켰고 다른 주요 중앙화 거래소들도 지원에 가세했다. 보안 리서처들은 도난당한 자금을 추적하기 시작했고, 관련 크립토 프로젝트들은 신속하게 해커의 자산을 동결했다. 다른 디파이 프로토콜들은 최악의 시나리오에 대비해 비상 체제에 돌입했으며, 리서처들과 데이터 분석가들은 해킹에 대한 실시간 정보를 공유했다.

이는 공식 업데이트만을 기다리며 형식적인 PR 성명을 내는 것이 아닌, 크립토에서만 볼 수 있는 공개적인 협업의 예시다. 위기 상황에서 크립토의 신속하고 개방적인 협업을 보여주었는데 어떠한 주체들이 본 사건에 어떻게 대응했는지 살펴보자.

2.1.1 세이프(Safe): 즉각적인 조치

해당 해킹은 피해자들이 세이프(Safe) 프론트엔드 인터페이스에서 올바른 트랜잭션으로 보여지는 것을 승인한다고 보였지만, 실제로는 조작된 트랜잭션에 서명했기에 발생하였었다. 해킹 소식이 퍼지자 세이프는 즉각적으로 상황을 조사하기 시작했다. 세이프의 CTO Lukas Schor는 서비스를 대대적으로 검토하고 있으니 팔메라(Palmera), 프로토(proto)와 같은 다른 프론트엔드를 사용할 것을 권장했다.

최근 바이비트에서 공개한 해킹에 대한 포렌식 보고서에 따르면 app.safe.global 프론트엔드에 삽입된 악성 코드가 침해의 원인이였음이 밝혀졌다. 해당 보고서와 세이프의 성명서에 따르면 세이프의 스마트 컨트랙트는 영향을 받지 않았지만, 자세한 근본 원인은 아직 조사 중이다.

Source: X (@SchorLukas)

2.1.2 CEX - 시장에 유동성을 공급

해킹 이후 첫 24시간 내에 쿠코인(KuCoin), MEXC, OKX, 비트겟은 바이비트에 대한 지원을 발표했다. 이러한 신속한 조치로 출금 중단이나 ETH 시장에 대한 영향을 방지할 수 있었다. 룩온체인(lookonchain)에 따르면, MEXC와 비트겟으로부터 바이비트에 대규모 이체가 이루어졌다.

Source: X (@lookonchain)

2.1.4 보안 리서처 - 온체인 데이터 추적

해킹 사고 직후, ZachXBT는 화이트햇 해커와 거래소 컴플라이언스 팀 네트워크를 활용하여 사고에 대한 지휘관 역할을 하였다. 체인어뷰즈(Chainabuse) 플랫폼을 통해 해커들과 관련된 지갑 주소들을 공개함으로써, 크라우드소싱 분석을 가능하게 했다. 또한, 보안 얼라이언스(SEAL)는 거래소 핫월렛을 노리는 북한 해커들의 전술에 대해 대응할 수 있는 방법들에 대해 밝혔다.

2.1.3 프로토콜 - 해킹 손실을 복구

해킹에 대응하기 위하여 여러 프로젝트가 즉각적인 조치를 취했다: mETH 프로토콜은 출금 지연을 활용하고 해커의 주소를 블랙리스트에 올려 4,200만 달러 상당의 ETH를 복구했다. 또한, 테더는 181,000 USDT를 동결했고, 체인플립은 프론트엔드 서비스를 비활성화하고 모니터링을 강화했다. 이러한 조치들은 보안 리서처들이 해커의 주소를 공개하고 프로토콜들이 해킹에 대한 후속 조치를 취함으로써 가능했다.

Source: X (@Bybit_Official)

2.1.5 디파이 프로토콜 - 상황에 적극적 대응

해킹에 대응하여 주요 디파이 프로토콜들 또한 신속한 조치를 취했다. 에테나 랩스(Ethena Labs)의 CEO인 가이(Guy)는 시장을 안심시키며 에테나가 역대 최대 규모의 단일 상환을 성공적으로 처리했고 뉴스가 터진 지 한 시간 만에 바이비트에 대한 모든 미실현 수익을 청산했다고 밝혔다. 이후 에테나는 본 상황에 대응한 전체 과정을 상세하게 발표하였다.

카오스 랩스(Chaos Labs)와 아베(AAVE)는 USDe가 디페그될 경우 아베에 미칠 잠재적 위험을 평가하기 위해 비상 체제에 돌입했다. 주요 우려사항은 USDe의 디페그로 인한 아베가 받을 피해였다. 해킹 이후 USDe는 지급능력을 유지했지만, 오프체인 가격 피드가 온체인 가격과 달랐기 때문에 오라클이 아베에서 부당한 청산을 발생시켰다. 따라서 카오스 랩스의 CEO인 오메르 골드버그는 여기에 대한 핵심 교훈으로 온체인과 오프체인 가격, 준비금 증명 데이터는 극단적인 상황에서는 디파이 시스템이 안정성을 유지하기 위해서는 서로 연계되어 작동해야 한다고 주장했다.

Source: Ethena and Exchange Risk: Bybit Case Study — Ethena Labs

2.2 $42M 복구 - mETH 프로토콜의 신속한 대응

Source: mETH Protocol Update Regarding Bybit Security Incident | mETH Protocol

mETH 프로토콜은 해커로부터 4,200만 달러 상당의 ETH를 회수했으며, 이는 전체 해킹 금액의 약 3%에 해당한다. 이는 비상상황에 대비해 프로토콜 팀이 사용자의 요청을 8시간 뒤에 처리하는 정책으로 인하여 가능했다. 이 지연으로 인해 해커가 15,000 cmETH를 즉시 이동시키지 못했고, 프로토콜이 대응할 시간을 확보할 수 있었다. 의심스러운 활동을 감지한 후, 프로토콜은 cmETH 컨트랙트를 중지하여 출금을 중단시켰다. 이러한 보안 조치는 해킹 시도 중 자금의 급속한 유출을 방지하기 위한 디파이 프로토콜의 일반적인 조치이다.

또한 영향을 더욱 완화시키기 위해 추가적인 조치들이 이루어졌다.

​1. 주소 블랙리스팅: 공격자의 지갑 주소를 블랙리스트에 올려 것은 해커를 고립시키기 위한 직접적인 대응이었다. 프로토콜은 해커가 스왑을 하거나 cmETH를 이동시키려는 시도를 할 수 없도록 하였다.

2. 유동성 감소: 맨틀 네트워크에서 cmETH 유동성을 감소시킨 것은 토큰의 거래 가능성을 제한하기 위한 추가적인 조치였다. 이 조치는 해커가 mETH를 ETH로 스왑하려는 움직임이 목격되었기에, 해커가 DEX에서 cmETH를 판매하는데 영향을 주어 잠재적 위험을 억제하는 데 도움이 되었다.

3. 다음 단계

해킹이 어떻게 발생했는지에 대한 보고서가 발표된 이후, 이를 어떻게 예방할 수 있었는지에 대한 토의가 많이 이루어졌다. 이는 제3자의 프론트엔드 버그와 운영 문화 문제로 인한 것이었기 때문에, 더 철저한 조치가 이러한 사고를 예방할 수 있었을 것이다. 예를 들어, 로컬 호스팅 프론트엔드를 갖추고 운영 측면에서 더욱 여러 사람이 검증을 하는 구조를 갖고 있었다면 해킹이 안 발생했을 수도 있다.

이미 일어난 일은 일어난 일이다. 모든 거래소, DAO 및 온체인 트레이더들이 교훈을 얻고 경각심을 가져야 한다. 본 해킹 이후에 이런 종류의 사고를 예방하는 방법에 대한 많은 가이드가 제시되었다. 모포(Morpho)는 세이프(Safe)를 통한 트랜잭션을 더 안전하게 서명하는 코드를 공유했고, 보안 전문가인 존 라이징(John Rising)은 자산 관리 시스템을 어떻게 더 잘 구축될 수 있는지에 대해 제안을 하였다.

본 해킹에서 발견된 긍정적인 측면은 크립토 업계가 공개적으로 소통하고 조율하는 모습을 보여주었다는 점이다. 이는 크립토 분야에서만 볼 수 있는 특징이다. 모든 참여자들이 서로 지원하며 업계에 대한 잠재적 피해를 최소화하는 데 집중했다. 결과적으로 이번 해킹의 피해는 컸지만, 러그풀과 같은 미성숙한 행태가 자주 목격되는 크립토 업계가 더 협력적이고 전문적인 시스템을 구축하는 성숙한 방향으로 발전하고 있음을 보여주었다.