- 암호화폐 거래소 Bybit이 약 14억 6천만 달러 규모의 "의심스러운 출금"을 겪었음
- 문제의 지갑은 401,346 ETH(약 11억 달러) 및 stETH(staked ETH) 등을 새 지갑으로 전송함
- 새로운 지갑은 현재 mETH 및 stETH를 탈중앙화 거래소에서 청산 중이며, 현재까지 약 2억 달러 상당의 stETH를 판매한 것으로 확인됨
- Bybit CEO, Ben Zhou는 X를 통해 "특정 ETH 콜드월렛이 해커에게 장악당해 모든 ETH가 전송되었다" 고 밝힘
- 하지만 "다른 콜드월렛은 안전하며, 모든 출금이 정상적으로 진행되고 있다"고 덧붙였음
- 14억 6천만 달러 규모의 손실은 역대 가장 큰 암호화폐 해킹 사건으로 기록될 가능성이 있음
- 과거 주요 해킹 사례와 비교:
- Mt. Gox 해킹(2014년): 4억 7천만 달러 손실
- CoinCheck 해킹(2018년): 5억 3천만 달러 손실
- Ronin Bridge 해킹(2022년): 6억 5천만 달러 손실
- 해킹 소식 이후 비트코인(BTC)은 1.5%, 이더리움(ETH)은 2% 이상 하락함
Bybit CEO의 공식 발표 내용 과 댓글의 설명 포함
- Bybit CEO가 X에서 ETH 멀티시그 콜드월렛이 웜월렛으로 전송을 수행했다고 발표
- 그러나 이 특정 트랜잭션이 "마스킹(masked)" 되어, 서명자들이 보게 된 UI에는 올바른 주소가 표시되었음
- URL도 안전한 서명 서비스인
@safe (https://safe.global/wallet)로 표시
- 그러나 실제 서명 메시지는 ETH 콜드월렛의 스마트 컨트랙트 로직을 변경하는 것이었으며, 결과적으로 해커가 콜드월렛을 장악하여 모든 ETH를 전송함
- 대부분의 하드웨어 월렛은 EVM 스마트 컨트랙트 트랜잭션을 해석할 수 없음
- 하드웨어 월렛은 "블라인드 서명(blind signing)" 방식을 사용하며, 서명자가 보게 되는 화면과 실제 서명하는 바이너리 데이터가 일치한다고 가정함
- CEO에 따르면 올바른 URL을 확인했고, 여러 명의 서명자가 서로 다른 위치에서 다른 기기를 사용해 서명했음
- 그러나 모든 서명자의 UI가 조작되었으며, 이는 정교한 공격이었음을 시사함
- 가능한 공격 방식에 대한 예측
-
서명 링크 변조
- 서명 링크가 전달되는 과정에서 변조되어 IDN 동형 이형(homograph) 도메인을 사용한 피싱 페이지로 연결되었을 가능성
- 혹은 실제
safe.global 사이트가 스크립트 인젝션 공격에 취약하여 조작된 UI를 제공했을 가능성
-
서버 측 공격
- Bybit의 서버가 해킹되어 서명자들에게 조작된 페이지를 제공했을 가능성
-
클라이언트 측 공격
- 악성코드(Malware) 가 서명자들의 브라우저에 심어져 UI를 조작했을 가능성
-
네트워크/DNS 공격
- DNS 하이재킹 또는 잘못 발급된 TLS 인증서를 이용해 사용자를 가짜 사이트로 유도했을 가능성
- 결론: 정교한 장기적 공격 가능성
- 이번 해킹은 Bybit의 내부 시스템을 장기간 모니터링하며 프로세스를 분석한 후 실행된 것으로 보임
- 단순한 피싱 공격이 아닌, 기업 내부 서명 프로세스를 정확히 이해한 후 맞춤형 공격이 수행된 정황
- 향후 공식적인 해킹 분석 보고서가 공개될 경우 더욱 상세한 공격 방식이 밝혀질 것으로 예상됨