# Bybit, 해킹으로 $1.5B(2.1조원) 피해. CEO "손실 보전 가능" > Clean Markdown view of GeekNews topic #19380. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=19380](https://news.hada.io/topic?id=19380) - GeekNews Markdown: [https://news.hada.io/topic/19380.md](https://news.hada.io/topic/19380.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2025-02-23T10:10:05+09:00 - Updated: 2025-02-23T10:10:05+09:00 - Original source: [tradingview.com](https://www.tradingview.com/news/coindesk:cda1c390e094b:0-bybit-ceo-confirms-exchange-was-hacked-for-1-46b-says-his-firm-can-cover-the-loss/) - Points: 1 - Comments: 2 ## Topic Body - 암호화폐 거래소 Bybit이 약 14억 6천만 달러 규모의 "의심스러운 출금"을 겪었음 - 문제의 지갑은 401,346 ETH(약 11억 달러) 및 stETH(staked ETH) 등을 새 지갑으로 전송함 - 새로운 지갑은 현재 **mETH 및 stETH를 탈중앙화 거래소에서 청산** 중이며, 현재까지 약 **2억 달러 상당의 stETH를 판매**한 것으로 확인됨 - Bybit CEO, Ben Zhou는 X를 통해 **"특정 ETH 콜드월렛이 해커에게 장악당해 모든 ETH가 전송되었다"** 고 밝힘 - 하지만 "다른 콜드월렛은 안전하며, 모든 출금이 정상적으로 진행되고 있다"고 덧붙였음 - 14억 6천만 달러 규모의 손실은 **역대 가장 큰 암호화폐 해킹 사건**으로 기록될 가능성이 있음 - 과거 주요 해킹 사례와 비교: - Mt. Gox 해킹(2014년): 4억 7천만 달러 손실 - CoinCheck 해킹(2018년): 5억 3천만 달러 손실 - Ronin Bridge 해킹(2022년): 6억 5천만 달러 손실 - 해킹 소식 이후 **비트코인(BTC)은 1.5%, 이더리움(ETH)은 2% 이상 하락**함 ### Bybit CEO의 공식 발표 내용 과 댓글의 설명 포함 - Bybit CEO가 X에서 **ETH 멀티시그 콜드월렛이 웜월렛으로 전송을 수행**했다고 발표 - 그러나 **이 특정 트랜잭션이 "마스킹(masked)" 되어**, 서명자들이 보게 된 UI에는 올바른 주소가 표시되었음 - URL도 안전한 서명 서비스인 `@safe` (https://safe.global/wallet)로 표시 - 그러나 실제 서명 메시지는 **ETH 콜드월렛의 스마트 컨트랙트 로직을 변경**하는 것이었으며, 결과적으로 해커가 콜드월렛을 장악하여 모든 ETH를 전송함 - 대부분의 하드웨어 월렛은 EVM 스마트 컨트랙트 트랜잭션을 해석할 수 없음 - 하드웨어 월렛은 **"블라인드 서명(blind signing)"** 방식을 사용하며, 서명자가 보게 되는 화면과 실제 서명하는 바이너리 데이터가 일치한다고 가정함 - CEO에 따르면 **올바른 URL을 확인했고, 여러 명의 서명자가 서로 다른 위치에서 다른 기기를 사용해 서명했음** - 그러나 **모든 서명자의 UI가 조작**되었으며, 이는 정교한 공격이었음을 시사함 - 가능한 공격 방식에 대한 예측 - **서명 링크 변조** - 서명 링크가 전달되는 과정에서 변조되어 IDN 동형 이형(homograph) 도메인을 사용한 피싱 페이지로 연결되었을 가능성 - 혹은 실제 `safe.global` 사이트가 스크립트 인젝션 공격에 취약하여 조작된 UI를 제공했을 가능성 - **서버 측 공격** - Bybit의 서버가 해킹되어 서명자들에게 조작된 페이지를 제공했을 가능성 - **클라이언트 측 공격** - 악성코드(Malware) 가 서명자들의 브라우저에 심어져 UI를 조작했을 가능성 - **네트워크/DNS 공격** - DNS 하이재킹 또는 잘못 발급된 TLS 인증서를 이용해 사용자를 가짜 사이트로 유도했을 가능성 - 결론: 정교한 장기적 공격 가능성 - 이번 해킹은 **Bybit의 내부 시스템을 장기간 모니터링하며 프로세스를 분석한 후 실행된 것으로 보임** - 단순한 피싱 공격이 아닌, **기업 내부 서명 프로세스를 정확히 이해한 후 맞춤형 공격이 수행된 정황** - 향후 **공식적인 해킹 분석 보고서**가 공개될 경우 더욱 상세한 공격 방식이 밝혀질 것으로 예상됨 ## Comments ### Comment 34982 - Author: xguru - Created: 2025-02-23T10:13:03+09:00 - Points: 1 [2조원 규모 Bybit 해킹: 운영 보안 실패의 시대가 도래하다](https://news.hada.io/topic?id=19375) ### Comment 34981 - Author: neo - Created: 2025-02-23T10:10:05+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=43130143) - Trail of Bits의 블로그에서 이 사건의 보안 실패에 대한 관련 정보가 있음 - 두 개의 기사에서 정보와 추측이 있지만, 기술적인 세부사항을 알고 싶음 - 예를 들어, 클라이언트 소프트웨어가 손상되었는지, 멀티시그 키홀더가 사회 공학에 굴복했는지, 서명자가 에어갭 머신이나 하드웨어 장치를 사용했는지 궁금함 - Bybit가 15억 달러의 손실을 어떻게 메울 수 있는지 의문임 - 그들이 정말로 그렇게 많은 이익을 가지고 있는지, 아니면 MtGox 스타일로 이를 해결하려는 것인지 궁금함 - 암호화폐 거래소가 어떻게 작동하는지 모름 - 누군가가 쉽게 설명해 줄 수 있는지 궁금함 - 콜드 스토리지 지갑에 사용자의 ETH가 포함되어 있었는지 궁금함 - 그렇다면, 왜 암호화폐 거래소가 사용자의 승인 없이 거래를 실행할 수 있는 지갑에 사용자의 ETH를 보관하는지 의문임 - 일반적으로 거래소를 운영하기 위해 왜 그렇게 큰 콜드 스토리지 지갑이 필요한지 궁금함 - 그들이 이 손실을 메울 수 있는 자산을 어떻게 가지고 있는지 궁금함 - Bybit에 대한 다른 정보들이 있음 - Bybit는 캐나다에서 합법적이지 않음 - Bybit는 싱가포르에서 시작되었으며, 싱가포르는 암호화폐와 블록체인 기술의 글로벌 허브임 - Bybit가 안전하다고 하는 정보와 그렇지 않다고 하는 정보가 혼재되어 있음 - 거래소에 연결되어 있다면 콜드 월렛이 아님 - "최종 거래"와 같은 것이 있어야 하며, 이는 첫 번째 거래가 채굴된 후 송신자와 수신자가 모두 서명해야 함 - 서명되지 않으면 자금이 반환됨 - 키 유출을 방지하지는 못하지만, 잘못된 주소로 보내는 것을 방지할 수 있음 - 암호화폐를 믿지만, 15억 달러를 아무런 경고 없이 다른 계정으로 옮길 수 있는 시스템은 심각하지 않음 - Bybit가 실제로 무엇인지 설명할 수 있는 사람이 있는지 궁금함 - 해킹이 발표되었을 때 검색했지만 혼란스러웠음 - 대부분의 정보가 "사기"라고 말함 - "다른 모든 콜드 월렛은 안전하니 안심하라"는 말이 있음 - 믿기 어려움 - 암호화폐 거래소 WazirX가 약 3억 달러 해킹당함 - 2024년 7월 해킹 이후 CEO에 대한 조치가 없음 - 그는 두바이에 있으며, 싱가포르 대법원에서 자금을 평균화하여 사용자에게 분배하라는 승인을 받음 - 회사/CEO에 대한 조치가 없으며, 다른 회사/거래소를 시작할 준비를 하고 있음