이원영 기자
두바이에 본거지를 둔 암호화폐 거래소 바이비트(Bybit)에서 14억 6,000만 달러 상당 암호화폐가 도난당하는 사건이 발생했다. 블록체인 분석 회사 엘립틱(Elliptic)은 이 도난을 북한 위협 행위자 라자루스그룹(Lazarus Group) 소행이라고 지적했다.
바이비트에 따르면 이더리움 월렛 보안 기능이 악용되어 보관 중이던 암호화폐가 알 수 없는 주소로 전송됐다고 한다. 도난당한 금액은 14억 6,000만 달러 상당.
암호화폐 도난 사건으로는 2021년 암호화폐 플랫폼인 폴리네트워크(Poly Network)가 해킹을 당해 6억 1,100만 달러 상당이 도난당한 사례가 최대 피해였다고 여겨졌지만 이번 피해액은 그 2배 이상이 됐다.
한편 폴리네트워크 사건은 도난을 저지른 해커가 도난 다음날부터 반환을 시작해 2주 후에 전액 반환이 완료됐다.
바이비트는 거래량이 세계 2위인 암호화폐 거래소로 전 세계 사용자는 6,000만 명에 달한다. 창업자이자 CEO인 벤 초우는 이번 도난으로 인한 손실이 회복되지 않더라도 바이비트는 지급 능력이 있으며 고객 자산은 모두 1:1로 백업되어 있어 손실을 커버할 수 있다고 설명했지만 출금 요청이 증가하고 있다고 한다. 바이비트는 전문가에게 도난 금액 10% 포상금을 제공하며 자금 회수에 협력을 요청하고 있다고 한다.
한편 영국 블록체인 분석 회사 엘립틱은 도난 실행범으로 북한의 위협 행위자 라자루스 그룹을 언급했다. 엘립틱에 따르면 라자루스 그룹은 자금세탁 수법으로 훔친 토큰이 동결되지 않도록 즉시 이더리움이나 비트코인 등 네이티브 블록체인 자산으로 교환한 뒤 훔친 자산을 레이어화해 거래 흔적을 숨기려 한다고 한다.
Bybit detected unauthorized activity involving one of our ETH cold wallets. The incident occurred when our ETH multisig cold wallet executed a transfer to our warm wallet. Unfortunately, this transaction was manipulated through a sophisticated attack that masked the signing…
— Bybit (@Bybit_Official) February 21, 2025
이번 절도에서는 모두 이더리움 토큰인 stETH나 cmETH 등이 도난당한 뒤 즉시 이더리움으로 교환됐으며 정확히 레이어화 프로세스 중에 있는 것으로 보인다.
엘립틱 분석에 따르면 도난당한 자산은 도난 후 2시간 이내에 1만 ETH씩 나눠 50개 월렛으로 보내졌다고 한다. 2월 24일 21시 시점 도난당한 자산 중 14.5% 그러니까 1억 9,500만 달러 상당이 월렛에서 이동됐다고 한다.
라자루스 그룹은 암호화폐 세탁에 있어 가장 세련되고 자금력이 있는 그룹이며 훔친 자산 특정과 압수를 회피하기 위해 매일 기술을 개선하고 있다고 한다. 엘립틱은 바이비트에서 도난이 발생한 수분 뒤 바이비트 등과 함께 자금 추적을 시작했으며 북한이 이익을 얻지 못하도록 24시간 체제로 노력하고 있다고 보고했다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
