출처: 토큰포스트
글로벌 블록체인 보안 기업 서틱 리서치(CertiK Research)는 최근 보고서를 통해 바이비트(Bybit)의 이더리움 콜드 월렛이 악성 계약 업그레이드로 인해 해킹을 당하며 약 14.6억 달러 상당의 자금이 탈취됐다고 밝혔다. 이번 사건은 피싱 공격을 통한 다중 서명 월렛의 보안 취약점을 악용한 사례로, Web3 역사상 가장 큰 규모의 보안 사고로 기록될 전망이다.
2025년 2월 21일(UTC) 바이비트의 콜드 월렛(0x1db92e…)이 해커들의 표적이 됐다. 서틱 리서치는 공격자가 Safe 지갑 인터페이스에서 정상적인 거래처럼 보이도록 위장해, 서명자들을 유인했다고 분석했다. 해커는 이를 통해 세 개의 유효한 서명을 확보하고, Safe 멀티 서명 월렛의 구현 계약을 악성 스마트 컨트랙트로 교체해 자금을 탈취하는 데 성공했다.
해킹 과정에서 공격자는 거래 내역을 변조하는 고도의 기술을 적용했다. 특히 Safe 월렛의 ‘delegatecall’ 기능을 활용해 마스터 카피(MasterCopy) 주소를 변경함으로써, 월렛 내 모든 자산을 이동할 수 있도록 조작한 점이 핵심이었다. 해당 거래는 정상적인 송금 요청처럼 보였지만, 실제 서명이 Ledger 하드웨어 월렛으로 전송되면서 악성 코드가 주입되는 방식이었다.
현재까지 도난된 자금은 401,346 ETH, 15,000 cmETH, 90,375 stETH 등으로 확인됐다. 서틱 리서치는 이 사건이 개인 또는 단순 해킹 그룹이 아닌 대규모 사이버 범죄 조직에 의해 계획적으로 실행됐을 가능성이 높다고 보고 있다. 온체인 분석가 @zachxbt는 이번 공격이 북한의 ‘라자루스 그룹(Lazarus Group)’의 소행일 가능성을 제기하며, 특정 주소 패턴과 과거 공격 방식 간의 유사성을 언급했다.
바이비트 측은 사건 발생 직후 즉각적인 대응을 시작했다. CEO 벤 저우(Ben Zhou)는 X(구 트위터)를 통해 “거래 서명 과정에서 의심할 만한 요소를 발견하지 못했다”고 밝히며, “Ledger 하드웨어 월렛을 이용한 서명 검증 절차를 보다 강화할 것”이라고 말했다. 하지만, 공격자가 Safe{Wallet} 인터페이스 자체를 변조했을 가능성이 제기되며, 이번 해킹이 단순한 내부 보안 절차 미비가 아니라 보다 정교한 사이버 공격이라는 주장이 힘을 얻고 있다.
이번 사건은 Web3 보안 업계에 중요한 교훈을 남겼다. 서명자가 블라인드 서명(Blind Signing)을 수행할 경우, 거래 세부사항을 정확히 확인하지 못해 치명적인 피해를 입을 가능성이 크다는 점이 다시 한번 입증됐다. 이에 따라 전문가들은 하드웨어 월렛 사용 시 화면을 통한 거래 내역 재검토와 멀티 디바이스 검증 절차를 도입해야 한다고 강조하고 있다.
Web3 보안 전문가들은 해킹 수법이 점점 정교해지고 있으며, 거래소들과 기관들은 대규모 공격에 대비한 보안 시스템을 전면적으로 재검토해야 한다고 지적한다. 서틱 리서치는 “이번 사건은 앞으로도 DeFi 및 중앙화 거래소(CEX)를 대상으로 한 유사한 공격이 지속될 가능성을 시사한다”며 “대형 해킹 사건을 방지하기 위해서는 보안 교육 강화 및 다중 인증 프로세스 개선이 필요하다”라고 분석했다.
