출처: 토큰포스트
지난 2월 디파이 대출 플랫폼 zkLend를 공격해 약 960만 달러(약 140억 원) 상당의 암호화폐를 훔친 해커가 최근 그 일부를 피싱 사이트에 잃었다고 주장했다. 해커는 zkLend 측에 이더스캔 메시지를 보내, 토네이도 캐시를 모방한 사기 사이트에 2,930이더리움(약 54억 원)을 보내 전액 손실을 입었다고 밝혔다.
해킹 자금을 세탁하려 시도하면서 발생한 이번 사건은 다수의 전송 기록으로 확인된다. 해당 해커는 100이더리움씩 여러 차례 전송한 뒤 마지막에는 10이더리움씩 세 번에 걸쳐 ‘Tornado.Cash: Router’라는 주소로 송금했다. 해커는 메시지에서 “자금을 비공개로 이동시키려다 피싱 경로를 이용했다”며 “모든 자산을 잃었고 매우 참담하다”고 언급했다.
zkLend 측은 해당 메시지에 응답하며, 아직 보유 중인 나머지 자산을 반환할 것을 요구했다. 그러나 그 직후 해커는 별도의 주소로 25이더리움을 추가 이체한 것으로 나타나, 자금 추적이 더욱 복잡해졌다. 해커는 또 다른 사용자가 피싱 사이트를 경고했지만 이미 늦었다는 취지의 답변도 남겼다.
앞서 zkLend는 지난 2월 11일 소규모 입금과 플래시 론을 조합한 공격으로 대출 누적치를 인위적으로 부풀리고, 이를 활용한 반복 예치와 인출 과정을 통해 자금을 탈취당했다. 당시 해커는 자산을 레일건(Railgun) 프로토콜로 옮기려 했으나, 정책 제한에 따라 자금이 원래 주소로 돌아오는 바람에 세탁에 실패한 바 있다.
이에 zkLend는 해커에게 자진 반환 시 전체 자산의 10%를 포상하고, 법적 책임을 면제하겠다는 제안을 내놓았다. 그러나 2월 14일 마감일까지 해커는 아무런 응답을 하지 않았고, 이후 프로젝트 측은 해커 체포와 자산 회수를 위한 유효 정보 제보자에게 50만 달러(약 7억 3,000만 원)의 포상금을 공지한 상태다.
블록체인 보안업체 서틱(CertiK)에 따르면, 2월 한 달간 발생한 암호화폐 피해 규모는 약 15억 3,000만 달러(약 2조 2천억 원)에 이르며, 이 중 북한의 해킹조직 라자루스 그룹이 소행으로 지목된 바이비트 공격이 가장 큰 비중을 차지했다. 이번 zkLend 해커의 실수는 해커 역시 보안에 취약할 수 있다는 점과 피싱 사이트의 실제 피해 규모가 상당하다는 점에서 업계에 경고를 주고 있다.
