[IGLOO]사상 최대 규모의 가상자산 탈취 사건 분석
지난 2월 21일, 세계 2위 규모의 가상자산(암호화폐) 거래소인 바이비트(Bybit)가 역대 최대 규모의 해킹 피해를 입었다. 해킹으로 14억 6,000만달러(한화 약 2조 1,000억원) 상당의 가상자산을 탈취당했는데, 이는 역대 일어난 단일 가상자산 유출 사건 중 최대 규모인 것으로 파악됐다. 바이비트가 해킹 이전에 보유하고 있던 자산은 162억달러(한화 약 23조 1,200억원)로, 이번에 도난당한 금액은 바이비트 총자산의 약 9%에 해당한다. 해커들은 이더리움(ETH)과 이더리움 기반 가상자산을 탈취했으며, 도난된 자산은 자금세탁 과정을 거쳐 비트코인(BTC)으로 전환되었다.
이번 해킹 사건은 피해 규모와 함께 해킹 유형으로 많은 이목이 집중됐다. 그 이유는 바이비트 해킹 사건이 콜드월렛에서 핫 월렛으로 자산을 이체하는 과정에서 자산 탈취가 발생했기 때문이다.
콜드 월렛(cold wallet) : 보안성을 높이기 위한 오프라인 지갑
핫 월렛(hot wallet) : 입출금이 빠른 온라인 지갑
웜 월렛(warm wallet) : 콜드 월렛과 핫 월렛의 장점을 결합한 지갑
이용자들을 자산의 80%정도를 콜드 월렛에, 나머지를 핫 월렛에 보관
공격 성공까지 소요되는 평균 시간은 꾸준히 감소하고, 공격 횟수는 더 잦아졌다. 또한, 북한 해커들이 탈취한 암호화폐의 금액은 지난해 전체 가상자산 해킹 피해액의 61%를 차지했다.
공격자는 지갑 보안 솔루션 회사 Safe[Wallet]의 개발 환경을 악용한 프론트엔드 코드를 변조한 뒤. 바이비트의 멀티시그 트랜잭션을 조작했다. 이 과정에서 바이비트의 멀티시그(다중서명) 트랜잭션이 변조되었고, 거래소 운영자가 app.safe.global을 이용해 트랜잭션을 서명할 때 UI에는 정상적인 주소가 표시되나, 실제 전송된 트랙잭션 데이터는 공격자의 주소로 변경되는 방식으로 해킹하였다.
이용자들과 거래소들이 콜드 월렛을 사용하는 이유는 인터넷을 차단해 둔 상태로 만들 수 있기 때문이다. 평소에 인터넷 연결이 안 돼있고, 입출금 시에만 사용하기 때문에 해킹이 매우 어렵다. 하지만 해커가 키 보유자의 과반수가 승인해야 코인 전송이 되는 2중 보호장치 기능을 가진 관리자의 UI 전체를 가로채서 승인시켰다.
해커들은 pump.fun 플랫폼을 이용해 밈코인을 발행한 후 밈코인을 거래하면서 자금세탁을 했다.