출처: 토큰포스트
스테이블코인 전문 은행 인피니(Infini)가 보안 침해로 인해 4,900만 달러(약 705억 6,000만 원) 상당의 USDC를 도난당하는 사건이 발생했다. 이번 해킹은 관리 권한을 악용한 내부 개발자에 의해 진행된 것으로 파악됐다.
블록체인 보안 업체 서티크(CertiK)는 24일(현지시간) 기존 인피니와 연결된 이더리움 스마트 계약에서 비정상적인 자금 이동을 감지했다고 발표했다. 이후 온체인 데이터 분석업체 룩온체인(Lookonchain)은 공격자가 탈취한 USDC를 즉시 DAI로 변환한 뒤, 이를 활용해 1만 7,696 ETH를 매입했다고 밝혔다. 해당 자금은 새롭게 생성된 지갑으로 이동됐다.
이번 사건에 대해 사이버스 얼러츠(Cyvers Alerts)는 공격자의 지갑 주소를 추적한 결과, 이 해킹을 저지른 인물이 인피니의 초기 개발자로 밝혀졌다고 전했다. 해당 개발자는 프로젝트가 완료되어 운영을 다른 팀에 넘긴 후에도 관리 권한을 은밀히 유지했으며, 100일 이상 잠적한 끝에 토네이도캐시(Tornado Cash)를 이용해 범행 자금을 세탁한 것으로 드러났다.
펙쉴드(PeckShield)는 이번 보안 침해가 내부자의 악의적 행위뿐만 아니라 개인 키 유출로 인해 발생했을 가능성도 제기했다. 그러나 인피니의 공동 창립자 크리스티안 리(Christian Li)는 자신의 개인 키가 유출됐다는 의혹을 부인하며, “운영권 이전 과정에서 발생한 실수로 인해 이번 사건이 발생했다”고 인정했다. 또 다른 공동 창립자인 크리스틴은 고객들에게 피해 보상을 약속하며 “회사가 손실을 보전할 충분한 자금을 보유하고 있다”고 밝혔다.
한편, 인피니는 2024년 출범한 디지털 기반 네오뱅크로 전통 금융과 암호화폐 금융을 연결하는 서비스를 제공하고 있다. 이번 보안 침해 사건은 최근 암호화폐 업계를 강타한 해킹 사례의 연장선상에 있다. 지난 21일에는 암호화폐 거래소 바이빗(Bybit)이 15억 달러(약 2조 1,600억 원) 규모의 해킹을 당했으며, 이 사건의 배후로 북한 해킹 조직 라자루스 그룹(Lazarus Group)이 지목됐다.
업계 전문가들은 중앙화된 관리 시스템을 가진 암호화폐 프로젝트가 내부자의 악의적 행위에 취약하다는 점을 지적하며, 보다 강력한 보안 조치와 분산화된 거버넌스 구조 도입이 필요하다고 강조하고 있다.
