Mt.Gox 재연? 최근 일본의 대규모 암호화폐 도난 사건에서 해커의 최신 사기 수법을 살펴보다

저자: 샤오자 팀

5월 31일, 제3자 블록체인 보안 위험 플랫폼의 모니터링 데이터에 따르면, 일본 슈퍼 재단 DMM 산하의 암호 자산 사업 자회사 DMM Bitcoin 거래소에서 "무단"으로 대규모 비트코인이 유출되었다. 현재 공식적으로는 어떤 조사 소식도 발표되지 않았지만, 체인 상의 데이터를 보면 기본적으로 이는 초대형 금액의 암호 자산 도난 사건으로 판단할 수 있으며, 범죄 용의자의 수법이 매우 신선하다. 공개된 채널의 정보에 따르면, 이번 사건의 금액은 약 3억 달러에 달한다.

샤오자 팀은 이번 사건이 어느 정도 몇 년 전 일본에서 발생한 Mt.Gox 암호 자산 플랫폼 도난 사건(즉, 일반적으로 "문턱 고 사건"이라고 불리는 사건)과 유사한 점이 있다고 생각한다. 현재 DMM Bitcoin 거래소는 신규 사용자 계좌 개설, 암호 자산 인출, 현물 거래 매수 등 서비스를 제한했으며, 플랫폼이 이번 사건으로 발생한 모든 손실을 부담할 것이라고 공개적으로 발표했다. 분명히 DMM에게 3억 달러의 손실은 감당할 수 있는 손실 위험 범위 내에 있으며, 이는 투자자에게는 불행 중 다행일 것이다.

오늘 샤오자 팀은 이번 사건을 바탕으로 최신 암호 자산 해킹 수법과 방지 방법을 자세히 설명하겠다.

01 거래소는 사용자 암호 자산을 어떻게 감독하는가

이번 도난 사건을 이야기하기 전에, DMM에 대해 잘 모르는 파트너들을 위해 간단한 지식 보급을 하겠다. DMM Bitcoin 거래소의 모회사 DMM, 전체 이름은 Digital Media Mart로, 일본에서 매우 국민적인 슈퍼 엔터테인먼트 거대 그룹이다. 초기 DMM은 특별한 산업으로 성장했지만, 전설적인 경영자 가메야마 케이지의 수년간의 경영 아래, 그 산하의 사업은 매우 광범위하게 발전했다.

2009년, DMM은 곧 파산할 온라인 증권사를 인수한 후 DMM FX로 이름을 바꾸고 일본 시장에 진출했다.

단 1년 만에 일본 거래량 1위의 외환 거래 플랫폼으로 도약했으며, 3년 후에는 세계 2위의 외환 중개업체가 되어 연간 거래량이 2조 달러를 초과했다. 이후 DMM은 일본 금융 산업에서 큰 성공을 거두었다. 최근 몇 년간 DMM은 기존의 특별 산업을 점차 분리하고 매각하며 종합적인 슈퍼 재단으로 전환하고 있으며, 빠르게 발전하는 암호 자산 시장에도 진출하게 되었다. 이것이 오늘 이야기의 주인공인 DMM Bitcoin 거래소의 탄생 배경이다.

특히 주목할 점은, 역사에 남을 암호 세계의 첫 번째 암흑 시기인 Mt.Gox 사건이 일본에서 발생했기 때문에, DMM은 선배들의 피와 눈물의 교훈을 바탕으로 상당히 엄격한 암호 자산 보호 및 감독 메커니즘을 구축했다. 제3자 플랫폼 Beosin의 DMM Bitcoin 거래소 출금 프로세스 분석에 따르면, DMM Bitcoin 거래소는 고객이 보유한 암호 자산을 물리적으로 분리하고 관리하고 있다. 극소수의 암호 자산을 제외하고, 95% 이상의 고객 자산은 DMM Bitcoin 거래소의 냉장 지갑에 보관되고 있다. 고객의 암호 자산을 냉장 지갑에서 핫 지갑으로 이동할 때, DMM Bitcoin 거래소는 여러 내부 부서의 검토 및 승인을 거쳐 마지막으로 2명으로 구성된 "출납" 팀이 이체를 수행해야 한다.

표면적으로 보면, DMM Bitcoin 거래소는 사용자 자산 관리에 있어 상당히 잘하고 있는 것처럼 보인다. 그렇다면 이 기이한 도난 사건은 도대체 어떻게 발생한 것일까?

02 이 3억 달러 암호 자산 도난 사건은 어떻게 발생했는가

DMM Bitcoin 거래소는 이 암호 자산 도난 사건의 구체적인 원인을 공개하지 않았지만, 체인 상의 데이터를 기반으로 DMM Bitcoin 거래소에 내부자가 있는 경우를 제외하면, 관련 거래 직원들이 최근 유행하는 가짜 주소 함정에 걸렸을 가능성이 높다. 간단히 말해, DMM Bitcoin 거래소에서 마지막으로 이체를 담당한 두 사람이 해커의 사기에 의해 암호 자산을 잘못된 주소로 이체한 것이다. 직원들이 이런 저급한 실수를 저지른 이유는 해커가 사기에 사용한 가짜 주소가 올바른 주소와 "충분히 유사하게" 보였기 때문이다.

사실, 블록체인에 대한 기본적인 지식을 가진 사람들은 해커의 이 수법이 신비롭고 저급하게 들린다는 것을 알고 있다. 컴퓨터 시스템의 취약점을 기반으로 하지도 않고, 놀라운 특별한 기술도 없지만, 이렇게 소박한 함정이 3억 달러를 훔치는 데 성공했다.

잘 알려진 바와 같이, 비트코인은 설계 초기부터 특별한 해시 알고리즘(SHA-256 암호 해시 함수)을 사용했다. 이 해시 알고리즘은 단방향 해시 함수 h=H(x)로, 임의 길이의 데이터(x)를 입력하면 고정 길이의 출력 결과(h)로 변환된다. 이 출력 결과는 일반적으로 해시 값이라고 불린다. 해시 알고리즘의 특징은 해시 값을 통해 입력 값을 역추적할 수 없으며, 출력된 해시 값의 충돌 확률이 극히 낮다는 것이다.

충돌 확률이란 서로 다른 입력 값이 동일한 해시 값을 생성하는 경우를 말한다. 해시 알고리즘의 특성상 입력 데이터는 고정되지 않은 무한한 집합이지만, 출력 데이터의 길이는 고정되어 있어 입력 데이터 x는 무한하고 출력 데이터 h는 유한하다. 두 개의 서로 다른 입력 데이터 x가 동일한 출력 데이터 h를 생성하는 경우를 "해시 충돌"이라고 한다.

비트코인이 사용하는 해시 알고리즘의 이론적 충돌 확률은 2의 130제곱의 무작위 입력을 시도할 경우 99.8%의 확률로 충돌이 발생한다. 2의 130제곱은 엄청난 숫자로, 해커가 접근할 수 있는 기존 컴퓨터의 계산 능력으로는 사실상 강제로 해독하는 것이 불가능하다.

간단히 이해하자면, 해시 알고리즘의 입력 값은 사용자의 개인 키이고, 출력된 해시 값은 사용자의 주소(공개 키)이다.

이번 DMM Bitcoin 거래소 도난 사건에서 해커는 거대한 계산 능력을 가진 컴퓨터를 이용해 거래소의 개인 키를 강제로 역추적할 수는 없었지만, 대신 컴퓨터를 이용해 대량의 공개 키 주소를 생성했다. 비트코인 체인의 데이터는 공개적이고 투명하기 때문에, DMM Bitcoin 거래소가 자주 사용하는 이체 주소는 이미 비밀이 아니다.

구체적으로 말하자면, DMM Bitcoin 거래소는 사용자 암호 자산을 냉장 지갑에 보관하기 위해 자주 온라인의 암호 자산을 1B6rJ6ZKfZmkqMyBGe5KR27oWkEbQdNM7P라는 이 냉장 지갑 주소로 이동해야 한다. 매우 우연히도, 해커가 대량으로 생성한 주소 중 하나가 비트코인 거래소의 자주 사용하는 주소와 매우 유사한 시작과 끝을 가지고 있다. 이를 통해 여러분이 느낄 수 있도록 하겠다:

DMM Bitcoin 거래소의 지갑 주소:

1B6rJ6ZKfZmkqMyBGe5KR27oWkEbQdNM7P

해커가 생성한 지갑 주소:

1B6rJRfjTXwEy36SCs5zofGMmdv2kdZw7P

따라서 DMM Bitcoin 거래소의 이체 담당자는 아마도 주소의 시작과 끝만 확인하고 이체를 진행했을 가능성이 있으며, 이로 인해 대규모 암호 자산이 도난당한 것이다.

03 마무리하며

현재 제3자 회사가 DMM Bitcoin 거래소에서 도난당한 암호 자산이 10개의 주소로 흘러갔음을 확인했으며, 이 주소들은 사건 관련 주소로 표시되었다. DMM Bitcoin 거래소는 일본 경찰에 사건을 신고했으며, 사건은 조사 중이다.

샤오자 팀은 암호 자산 도난으로 파산하여 사용자 자산에 심각한 손실을 초래한 Mt.Gox와 비교할 때, DMM이 사용자 손실을 부담하겠다고 자발적으로 발표하고 여론의 영향을 최소화한 조치가 시장 신뢰를 크게 안정시키고, 발작 위험을 방지했으며, 현재 암호 자산 거래소가 긴급 상황을 처리하는 능력이 크게 향상되었음을 보여준다고 생각한다. 이는 정부의 감독 능력 향상 덕분이며, 암호 자산 플랫폼의 규정 준수 구축이 지속적으로 개선된 덕분이다.