바이비트와 세이프, 15억 달러 해킹 책임 공방… 해킹 자금 세탁 정황도 포착

암호화폐 거래소 바이비트(Bybit)와 디지털 자산 보관 서비스 세이프(Safe)가 15억 달러 규모의 해킹 사건을 두고 책임 공방을 벌이고 있다. 양측은 서로의 보안 취약점을 문제 삼으며 이번 사건의 책임이 상대방에게 있다고 주장하고 있다.

바이비트는 최근 발표한 포렌식 분석 보고서를 통해 이번 해킹이 거래소의 시스템 취약점 때문이 아니라, 세이프 월렛 인프라의 보안 침해에서 비롯됐다고 결론 내렸다. 바이비트는 "세이프 개발자의 인증 정보가 유출되면서 라자루스(Lazarus) 해킹 그룹이 세이프 월렛에 무단으로 접근했고, 이후 바이비트 직원들을 속여 악성 거래에 서명하도록 유도했다"고 설명했다.

반면, 세이프 측은 자사의 스마트 컨트랙트와 핵심 코드에는 보안 취약점이 발견되지 않았다고 반박했다. 세이프는 공식 성명을 통해 "해킹은 세이프 월렛 개발자의 기기가 타깃이 된 것이며, 이는 바이비트가 운영하는 계정에 영향을 미쳤다"면서 "외부 보안 연구진이 진행한 포렌식 검토에서도 세이프의 스마트 컨트랙트나 프런트엔드 서비스에 취약점이 없다는 결론이 나왔다"고 주장했다.

하지만 해킹 과정을 잘 아는 익명의 관계자는 코인데스크에 "이번 사건의 핵심 문제는 바이비트가 스마트 컨트랙트 트랜잭션을 제대로 검토하지 않고 '블라인드 서명(blind signing)'을 했다는 점"이라며, 해킹이 가능했던 이유가 단순히 세이프 월렛의 보안 문제 때문만은 아니라고 지적했다.

이번 책임 논쟁은 지난해 7월, 인도 거래소 와지르X(WazirX)와 디지털 자산 수탁업체 리미널 커스터디(Liminal Custody) 간의 2억 3,000만 달러 해킹 사건과 유사한 양상을 보이고 있다. 당시에도 양측은 서로의 보안 문제를 탓하며 공방을 벌인 바 있다.

한편, 블록체인 보안 전문가 잭XBT(ZachXBT)가 분석한 온체인 데이터에 따르면, 이번 해킹의 배후로 지목된 라자루스 그룹은 탈취한 자금을 세탁하기 위해 920개 이상의 지갑으로 분산시킨 것으로 나타났다. 일부 자금은 이전에 해킹 피해를 입은 폴로닉스(Poloniex)와 피멕스(Phemex)에서 유출된 자금과 섞여 있어, 라자루스 그룹이 이 세 건의 해킹을 모두 주도했을 가능성이 제기되고 있다.