ELLIPTIC에서 Bybit 해킹 보고서를 공개했습니다. 역사상 가장 규모가 큰 해킹 이라고 하네요.
2025년 2월 21일, 두바이 기반의 암호화폐 거래소 바이빗에서 약 1,460억 달러 상당의 암호화폐 자산이 도난당한 사건이 발생했습니다. 이는 역대 최대 암호화폐 해킹 사건으로, 2021년 폴리 네트워크에서 발생한 611억 달러의 도난 사건을 초과합니다. 이 사건은 역사상 가장 큰 도난 사건 중 하나로, 이전에는 사담 후세인이 2003년 이라크 전쟁 직전에 이라크 중앙은행에서 100억 달러를 훔친 사건이 가장 큰 도난 사건으로 기록되었습니다.
엘립틱은 이 해킹 사건을 북한의 라자루스 그룹(Lazarus Group)과 연결 지었으며, 이는 도난된 암호화폐 자산의 세탁 과정 분석을 통해 이루어졌습니다. 북한 관련 단체는 2017년 이후 약 6,000억 달러 상당의 암호화폐 자산을 훔쳤으며, 이 자금은 대포 미사일 프로그램에 사용되었다고 보고됩니다.
라자루스 그룹은 암호화폐 자산을 훔치고 세탁하는 데 매우 정교한 능력을 가지고 있으며, 도난된 자산을 수천 건의 블록체인 거래를 통해 세탁합니다. 이 해킹 사건 이후, 엘립틱은 바이빗, 암호화폐 서비스 제공업체 및 다른 조사자들과 협력하여 도난된 자금을 추적하고 현금화되는 것을 방지하기 위해 노력하고 있습니다. 이미 일부 자금이 압수되었습니다.
라자루스 그룹의 세탁 과정은 특정 패턴을 따릅니다. 첫 단계는 도난된 토큰을 이더리움과 같은 "네이티브" 블록체인 자산으로 교환하는 것입니다. 이는 토큰의 발행자가 도난된 자산을 포함한 지갑을 동결할 수 있지만, 이더리움이나 비트코인은 중앙 당국이 동결할 수 없기 때문입니다.
해킹 직후, 수백만 달러 상당의 도난된 토큰(stETH, cmETH 등)이 이더리움으로 교환되었습니다. 이를 위해 탈중앙화 거래소(DEX)가 사용되었으며, 이는 중앙화 거래소에서 자산 동결을 피하기 위한 조치로 보입니다.
두 번째 단계는 도난된 자금을 여러 계층으로 나누어 거래 흔적을 숨기려는 시도입니다. 블록체인의 투명성 덕분에 거래 흔적을 추적할 수 있지만, 이러한 계층화 전략은 추적 과정을 복잡하게 만들고, 자금을 현금화하는 데 시간을 벌어줍니다. 이 과정에는 여러 암호화폐 지갑을 통해 자금을 보내기, 크로스체인 브리지나 거래소를 사용하여 다른 블록체인으로 자금을 이동시키기, DEX나 코인스왑 서비스를 통해 다른 암호화폐로 전환하기, 믹서(Tornado Cash, Cryptomixer 등)를 사용하는 것이 포함됩니다.
라자루스 그룹은 현재 두 번째 단계에 있으며, 해킹 후 2시간 내에 도난된 자금이 50개의 지갑으로 분산되었고, 각 지갑에는 약 10,000 이더리움이 들어 있었습니다. 이 지갑들은 체계적으로 비워지고 있으며, 2월 23일 오후 10시 기준으로 도난된 자산의 10%가 이동되었습니다(현재 약 1억 4천만 달러 상당).
이 지갑에서 자금이 이동된 후, DEX, 크로스체인 브리지, 중앙화 거래소 등을 통해 세탁되고 있습니다. 특히 eXch라는 암호화폐 거래소가 주요 세탁 장소로 작용하고 있으며, 이 거래소는 사용자들이 익명으로 암호화폐를 교환할 수 있도록 허용하고 있습니다. 이로 인해 여러 해킹 사건에서 도난된 자산이 수백만 달러 규모로 교환되었습니다. 바이빗의 요청에도 불구하고 eXch는 이러한 활동을 차단하지 않고 있습니다.
도난된 이더리움은 eXch와 다른 서비스를 통해 비트코인으로 점진적으로 전환되고 있습니다. 이전의 세탁 패턴을 따를 경우, 믹서를 사용하여 거래 흔적을 더욱 복잡하게 만들 가능성이 있습니다. 그러나 도난된 자산의 규모가 너무 커서 이는 어려울 수 있습니다.
북한의 라자루스 그룹은 가장 정교하고 잘 자금을 세탁하는 단체로, 지속적으로 기술을 발전시켜 도난된 자산의 식별과 압수를 피하고 있습니다. 해킹 직후부터 엘립틱 팀은 바이빗, 고객 및 다른 조사자들과 협력하여 자금을 추적하고 북한 정권이 이익을 얻는 것을 방지하기 위해 노력하고 있습니다.
원본 링크:
https://www.elliptic.co/blog/bybit-hack-largest-in-history