WIRED: FTX 파산 당일의 “기이한 해킹 사건” 조사

원문 제목：FTX의 밤샘 경주: 10억 달러 암호화폐 도난을 막기 위한 노력

원문 저자：Wired

원문 번역：우설 블록체인

작년 11월 11일 저녁, FTX의 직원들은 회사의 짧은 역사에서 가장 끔찍한 하루를 겪고 있었다. 불과 10개월 전, 세계 최고의 암호화폐 거래소 중 하나가 된 이 회사는 파산을 선언했다. 오랜 노력 끝에 경영진은 회사의 CEO인 샘 뱅크먼-프리드를 설득하여 존 레이 3세에게 권력을 넘기게 했고, 새로운 CEO의 임무는 회사를 악몽 같은 부채의 수렁에서 구하는 것이었다. 그러나 회사는 이러한 부채를 상환할 방법이 없어 보였다.

FTX는 바닥에 떨어진 것 같았다. 그러던 중 누군가—정체가 불분명한 도둑 한 명 또는 여러 명이—특정 순간을 선택하여 상황을 더욱 악화시켰다. 그 금요일 저녁, 지친 FTX 직원들은 Etherscan에서 회사의 암호화폐가 신비롭게 유출되는 것을 보기 시작했고, 수억 달러의 암호화폐가 실시간으로 도난당하고 있었다.

"이런 일이 다 있었는데, 우리가 또 해킹당했어?" 한 전 FTX 직원이 회상했다. 그는 회사 내부 문제에 대해 이야기할 권한이 없기 때문에 익명을 요청했다.

FTX의 자체 기록에 따르면, 이 회사는 결국 그 미지의 도둑들로 인해 4억 1500만 달러에서 4억 3200만 달러의 암호화폐 자산을 잃게 될 것이며, 이 숫자는 파산 절차의 일환으로 공개적으로 확인되었다. FTX가 이전에 밝히지 않았던 것은, 더 많은 손실을 입을 뻔했는지에 대한 것이었다—직원들과 외부 고문들은 10억 달러 이상의 암호화폐를 더 안전한 저장소로 급히 이동시키기 위해 분주히 움직였다. 심지어 한때는 도둑의 손에 넘어가는 것을 막기 위해 한 고문 사무실의 물리적 USB 드라이브로 거의 5억 달러를 보내기 위해 서두르기도 했다.

"초대: 긴급"

FTX의 불명예스러운 창립자 샘 뱅크먼-프리드의 재판이 두 번째 주로 접어들면서, 암호화폐 커뮤니티의 많은 사람들은 거래소가 그의 통제를 벗어난 지 몇 시간 만에 어떻게 이렇게 재앙적으로 털렸는지에 대한 단서를 얻기 위해 법정 사건을 주의 깊게 지켜보고 있었다. 누가 그 도둑질을 했는지—그리고 도둑이 FTX의 내부자였는지 외부 해커였는지가 가장 중요한 질문이었다. 이 수수께끼는 아직 풀리지 않았고, 뱅크먼-프리드와 다른 FTX 고위 경영진은 그 도둑질로 인해 기소되지 않았다.

하지만 이제 WIRED는 FTX가 그 공포의 밤에 도난으로 인한 피해를 제한하기 위해 노력한 사건들을 밝혀낼 수 있다—그리고 10자리 수의 도난 사건을 막기 위한 노력도 포함된다. 새로운 FTX 리더십 팀은 새로운 CEO 레이의 지휘 아래 이 사건에 대한 인터뷰를 거부했다. 그러나 WIRED는 재구성 회사인 Alvarez & Marsall이 제출한 FTX 파산 사건에 대한 상세한 청구서, 도난에 즉각 반응한 개인들과의 인터뷰, 그리고 암호화폐 추적 회사 Elliptic이 제공한 블록체인 분석을 통해 위기 대응의 시시각각의 세부 사항을 알게 되었다.

이 대응은 11월 11일 밤 10시경에 시작되었고, FTX 자회사 LedgerX의 CEO인 잭 덱스터는 FTX의 남은 20명 이상의 직원, 파산 변호사, 고문 및 컨설턴트에게 Google Meet 초대를 보냈다. 초대의 제목은 "긴급"이었다.

소수의 직원들이 곧 그 Google Meet 영상 통화에 참여했으며, 그 통화는 이후 12시간 동안 수십 명의 참여자가 있게 되었다. 그들은 모두 Etherscan에서 FTX 지갑이 비워지는 것을 실시간으로 볼 수 있었다. 그러나 거의 아무도 FTX가 암호화폐를 어디에 보관하고 있는지, 또는 그 지갑의 키를 어떻게 관리하는지 알지 못했다. 이 정보는 소수의 FTX 엘리트—뱅크먼-프리드와 그의 핵심 그룹만이 알고 있었다. 현장 소식통에 따르면, 뱅크먼-프리드는 회의에 나타나지 않았지만, FTX의 공동 창립자이자 CTO인 게리 왕이 통화에 참여했다.

소식통에 따르면, 이 시점에서 왕은 레이에 접근하는 많은 사람들로부터 신뢰를 잃었다. FTX가 붕괴되는 과정에서 왕은 처음에 뱅크먼-프리드 편에 서 있었지만, 회사 내부의 다른 사람들의 며칠 간의 설득 끝에 그는 전 CEO와 거리를 두게 되었다.

왕은 긴급 회의에서 비워지고 있는 지갑의 키를 단순히 변경함으로써 진행 중인 도난을 막을 수 있다고 처음 제안했지만, 이는 그의 어떤 비판자들의 지지를 얻지 못했다. 전 FTX 직원은 당시 이렇게 하는 것이 무의미하다고 느꼈다고 기억하며, 네트워크 접근 권한을 가진 사람이 누구든지 새로운 키를 쉽게 가져가 도난을 계속할 수 있다고 말했다. "여우가 이미 닭장에 들어갔는데, 이제 닭장 열쇠를 바꿔야 하냐?" 전 직원은 당시 그렇게 생각했다고 기억했다. 왕은 나중에 뱅크먼-프리드가 현재 직면하고 있는 동일한 형사 기소에 대해 유죄를 인정했으며, 그에게 보내진 변호사에 대한 논평 요청에는 응답하지 않았다.

그러나 Google Meet 통화가 시작되었을 때, LedgerX의 덱스터는 FTX의 자금을 보호하기 위한 다른 방법을 탐색하기 시작했다. 도난이 발생하기 전 주에, 디지털 자산 신탁 회사인 BitGo는 FTX 파산 절차를 감독하는 법률 회사인 Sullivan & Cromwell과 협상하여 회사의 남은 암호화폐 자산을 인수하기로 했다. 따라서 덱스터는 이제 BitGo에 전화를 걸어 Sullivan & Cromwell과 시작한 긴 법적 계약 프로세스를 우회하려고 했다. 대신, 덱스터는 BitGo에 즉시 "콜드 스토리지" 지갑을 생성해 줄 것을 요청했다—이 지갑은 오프라인 환경에서 안전하게 보관될 것이며—FTX는 모든 남은 자금을 안전한 피난처로 이 지갑으로 이동할 수 있었다. 덱스터는 논평 요청에 응답하지 않았다.

BitGo는 약 30분 후에 이 지갑을 준비할 수 있다고 말했다. FTX의 직원들은 이것이 여전히 너무 느리다고 우려했다. 그때까지 도둑이 회사의 지갑에서 수억 달러의 암호화폐를 더 가져갈 수 있었기 때문이다.

Google Meet 통화 중 누군가가 BitGo가 준비되기 전에 자신의 하드웨어 지갑이 있는지 물었다. 뉴욕 교외의 집에서 통화에 참여한 Alvarez & Marsall의 FTX 고문인 쿠마난 라마나탄이 자발적으로 도움을 제공했다. 그는 자신의 집 사무실에 Ledger Nano—USB 하드웨어 지갑—가 있으며, 이를 취약한 자금의 임시 피난처로 설정할 것을 제안했다.

11월 11일 동부 표준시 저녁 10시 30분경, 라마나탄은 그의 Ledger Nano에서 새 지갑을 설정했다. 전 FTX 직원은 그가 그 지갑을 위해 만든 비밀번호를 확인하고 다시 확인하는 모습을 보았다고 기억했다. 왕은 FTX의 자금을 이 지갑으로 보내기 시작했고, 곧 라마나탄은 그의 웨스트체스터 카운티 집에 있는 USB 드라이브에서 회사의 4억에서 5억 달러의 암호 자산을 보유하게 되었다.

심야 911 전화

몇 분 후, BitGo는 FTX 직원들에게 지갑이 준비되었다고 알렸고, 그들은 라마나탄의 Ledger 장치가 아닌 BitGo의 콜드 스토리지로 수억 달러의 암호화폐를 더 이동시키기 시작했다. 그 불면의 밤 나머지 시간 동안 직원들은 FTX 자금 저장의 모든 지갑을 검색하고 그들이 찾을 수 있는 모든 동전을 BitGo로 이동시켰다. "그들은 다양한 시스템을 정리하며 다양한 개인 키가 어디에 있는지, 자산이 어디에 저장되어 있는지를 찾으려고 했다,"라고 대응 작업에 참여한 또 다른 비공식 발언자가 말했다. "혼란스러웠다."

FTX 직원들이 경영진에게 이러한 잠재적으로 취약한 자금 이체를 승인하도록 집중하고 있을 때, 라마나탄은 왕이 처음으로 그의 Ledger 지갑으로 이전한 암호화폐를 보유하게 되었다. 이는 한 개인이 실제로 FTX 회사의 약 5억 달러에 해당하는 자금을 소유하게 되는 이상한 상황을 초래했으며, 이는 고유한 법적 및 보안 위험을 초래했다. 그 밤, FTX의 총 법률 고문인 라이언 밀러가 라마나탄의 집으로 급히 달려가 이를 보관하는 데 도움을 주었다. 라이언 밀러는 이 이야기에 대해 논평을 거부했으며, 라마나탄도 논평 요청에 응답하지 않았다.

동부 표준시 저녁 10시 59분, 라마나탄은 경찰에 전화를 걸어 진행 중인 도난 사건을 신고하고 그가 피해자의 대량 자금을 보유하고 있음을 설명하며 경찰이 그의 집으로 와서 이를 보호해 줄 것을 요청했다. 결국, 그 당시 아무도 (또는 지금도) 누가 다른 자금을 도난당했는지, 그리고 그들이 라마나탄이 보유한 자금에 물리적으로 접근하려고 할 가능성이 있는지 알지 못했다. WIRED가 입수한 뉴 로셸 경찰서의 경찰 보고서에 따르면, 라마나탄은 911 운영자에게 "현재 대규모 암호화폐 공격이 발생하고 있으며, 많은 돈이 이 주소로 전송되고 있다"며 "이 집이 목표가 될까 걱정된다"고 말했다.

경찰이 도착한 후에도 FTX의 총 법률 고문인 밀러는 여전히 라마나탄의 집에서 대부분의 밤을 보냈다. 라마나탄의 시간 기록에 따르면, 그는 밀러와 함께 11월 12일 새벽 2시경부터 새벽 5시까지 그의 집에서 거의 3시간 반을 보냈다.

라마나탄이나 그의 집은 실질적인 위협을 받지 않았다. 실제로, 자금이 라마나탄의 Ledger 지갑으로 이동할 때 FTX의 자금 도난은 이미 중단되었다. "그는 개인의 Ledger로 엄청난 위험을 감수했다,"라고 전 FTX 직원이 말했다. "그는 정말 대단했다. 우리가 이 Ledger의 묘기를 하지 않았다면 우리는 더 많은 돈을 잃었을 것이라는 강한 느낌이 들었다." 결국, 11월 12일 토요일 새벽 5시경, 라마나탄의 집 사무실의 자금이 BitGo로 이전되었다. 이 회사는 결국 남은 FTX 자금 11억 달러를 보유하게 되었다.

토요일 늦게, 뱅크먼-프리드와 왕은 4억 달러 이상의 자금을 바하마 정부가 관리하는 계좌로 이전하여 보관하게 되었으며, 이는 포브스에 보도되었고 법원 문서에 기록되었다. 한동안 바하마로 자금을 이전하는 행위는 도난 사건 자체로 오해되기도 했다. 도난 발생 일주일 후, 일부 언론은 도난당한 자금이 실제로 바하마 정부에 의해 압수되었다고 잘못 보도했다. 반대 증거로, Elliptic 및 Chainalysis와 같은 암호화폐 추적 회사는 실제 도난당한 자금의 일부가 세탁에 자주 사용되는 "믹서" 서비스인 Railgun 및 크로스 체인 암호화폐 교환 서비스인 THORChain으로 전송된 것을 관찰했으며, 이는 대규모 암호화폐 도난을 실행하는 도둑의 전형적인 행동이다.

보호 없음, 로드맵 없음

11월 11일의 절망적인 구조 작업 이후, FTX 파산 절차를 담당하는 새로운 팀은 도난을 가능하게 한 심각한 보안 결함을 공개적으로 비난했다.

FTX 파산 절차의 일환으로 발표된 4월 보고서는 이른바 이러한 태만의 예를 나열했다: 이전 FTX 팀에는 독립적인 최고 정보 보안 책임자나 실제 전문 보안 팀이 없었으며; 직원들은 공개적으로 최대 10%의 암호화폐만이 핫 월렛(인터넷에 연결된 컴퓨터의 지갑)에 저장되어 있다고 주장하도록 지시받았지만, 사실상 모든 암호화폐를 핫 월렛에 저장했다; 암호화폐 키를 암호화하지 않거나 자금을 잠금 해제하는 데 필요한 여러 키의 보안 시스템을 제대로 설정하지 못했다; 자금을 이동하는 사람과 시간을 기록하는 로그 시스템조차 부족했다는 등 여러 문제들이 있었다.

이 보고서는 또한 11월 11일 새로운 FTX 팀이 직면한 복잡한 상황을 설명했다. 이 팀은 첫날부터 이미 심각하게 붕괴된 네트워크를 인수하게 되었다. "FTX 그룹이 암호 자산을 보호하기 위한 효과적인 통제를 결여했기 때문에, 채무자는 언제든지 수십억 달러의 추가 자산을 잃을 위험에 직면해 있다,"고 보고서는 적었다. "채무자는 '로드맵' 없이 암호 자산을 식별하고 접근하기 위해 노력하면서, 그들이 식별한 여러 유형의 자산을 콜드 월렛으로 이동하기 위한 기술 경로를 설계해야 했다."

이러한 명백한 보안 및 조직 혼란을 고려할 때, FTX가 역사상 가장 비용이 많이 드는 암호화폐 도난 사건의 목표가 된 것은 아마도 놀라운 일이 아닐 것이다. 그러나 그런 혼란 속에서 몇 가지 빠른 결정을 내리지 않았다면, 지금 상황은 더 나빴을 것으로 보인다.

"정말 매우 미친 밤이었다,"고 전 FTX 직원이 말했다. "우리는 문제를 해결하기 위해 노력했고, 임무를 완수했으며, 많은 고객의 돈을 지켰다."