Bybit에서 51만 개 이상의 ETH가 도난당한 후 시장에 어떤 영향을 미칠까요?

2025-02-24 09:05:12

수집

어제(2월 21일) 낮, 일부 친구들은 "소가 돌아왔다"는 기쁨에 젖어 있었는데, 비트코인이 다시 99,500 달러 근처로 반등하고 이더리움도 2,850 근처로 반등했기 때문이다. 어제의 반등이 유도 매수인지 아닌지는 차치하고, 어쨌든 이런 시장 상황이 일부 친구들에게 희망을 주는 것 같았다.

결과적으로…… 밤이 되자 시장은 블랙 스완 사건을 맞이했다: Bybit 거래소가 해킹을 당해 51만 개 이상의 ETH가 도난당했다(약 15억 달러 가치, 401,347 개 ETH, 90,376 개 stETH, 15,000 개 cmETH 및 8,000 개 mETH 포함).

너무 복잡한 공격 기술에 대해선 깊이 알 필요는 없고, 관심 있는 친구들은 인터넷에서 찾아볼 수 있다. 여기서는 간단히 설명하자면:

Bybit이라는 거래소가 있는데, 그들의 다중 서명 콜드 월렛은 장삼, 이사, 왕오라는 몇몇 형들이 일상적으로 관리하고 서명 권한을 부여한다. 어떤 거래든 이들이 동시에 서명해야만 완료된다. 그래서 해커는 특별한 수단을 통해 형들을 특정하고, 또 다른 특별한 수단으로 형들의 컴퓨터에 악성 소프트웨어를 심었다. 어느 날, 몇몇 형들이 동시에 500 ETH를 전송하라는 서명 요청을 받았고, 장삼은 조작 화면에 문제가 없다고 판단해 평소처럼 서명을 승인했다. 그리고 이사와 왕오도 같은 작업을 했다. 하지만 사실 형들이 본 서명 화면은 해커가 위조한 것이었고, 실제 결과는 형들의 동시 서명이 50만 개 ETH를 해커의 지갑 주소로 전송하게 만들었다.

Bybit 해킹 사건 발생 후, 인터넷에는 다양한 추측이 나돌았다. 예를 들어, 내부 직원의 자산 도난이라는 주장도 있었고, 북한 해커 조직의 소행이라는 주장도 있었다. 심지어 PI 커뮤니티의 사용자들이 이 사건에 책임을 지라고 떠들기도 했다…

하지만 현재 여러 전문가들의 분석 결과, 이번 공격은 북한 해커 조직인 Lazarus Group의 소행으로 대체로 확인된 것 같다. 공격 방식은 블라인드 서명으로, 바이러스에 감염된 장치가 사용자에게 보여주는 UI와 백그라운드에서 실제로 발생하는 UI가 다르다. 구체적인 과정은 위에서 설명한 것과 비슷하며, 더 전문적인 해석을 원하시는 분들은 Slow Mist에서 발표한 관련 상세 보고서를 참고하실 수 있다.

북한 해커 조직 Lazarus Group은 2010년 이후 여러 차례의 사이버 공격을 저질렀다고 지목받고 있으며, 소니 픽처스 해킹, 2016년 은행 도난 사건, "WannaCry" 랜섬웨어 공격, 암호화폐 및 제약 회사를 대상으로 한 여러 차례의 공격이 포함된다. 아래 그림과 같다.

아래는 Lazarus Group이 암호화 분야에서 저지른 몇 가지 공격 사례이다:

2024년 10월 Radiant Capital에서 5천만 달러의 자산이 도난당함

2024년 7월 WazirX에서 2억 3천만 달러의 자산이 도난당함

2023년 Atomic에서 1억 달러의 자산이 도난당함

2023년 CoinEx에서 7천만 달러의 자산이 도난당함

2023년 Stake에서 4천1백만 달러의 자산이 도난당함

2023년 Poloniex에서 1억 2천만 달러의 자산이 도난당함

2022년 Ronin Bridge에서 6억 2천5백만 달러의 자산이 도난당함

2022년 Horizon Bridge에서 1억 달러의 자산이 도난당함

등등…

이번 Bybit 해킹 사건은 역사상 가장 큰 도난 사건 중 하나로 보인다. 이번 블랙 스완 사건의 규모는 크지만, 사건 발생 후 전체 시장에 큰 타격을 주지 않은 것 같다. 본 글을 작성하는 시점에서 비트코인 가격은 여전히 96,000 달러 근처에 있으며, 이더리움 가격은 2,700 달러 근처에 유지되고 있다. 그 사이에 몇 가지 작은 사건이 발생했는데, 예를 들어:

MNT(즉 Bybit의 토큰)가 몇 분 만에 10% 하락했다. 아래 그림과 같다.
USDE가 5% 탈피했지만 곧 반등했다. 동시에 ENA도 먼저 하락한 후 상승하여 오늘 10% 정도 상승했다. 이는 Ethena의 PR이 잘 이루어졌기 때문일 수도 있다. 아래 그림과 같다.

사실 지난 10시간 이상의 상황을 되돌아보면, 현재까지 Bybit의 PR 처리도 잘 이루어지고 있다. 예를 들어 사건 발생 30분 내에 Bybit CEO가 X 플랫폼에서 응답했고, 이후 10분 내에 Bybit 공식 계정도 공식 성명을 발표했다. 그리고 CEO는 라이브 방송을 통해 커뮤니티의 질문에 답변하기도 했다. 이러한 처리 속도와 태도는 시장 감정의 일시적인 안정에 도움이 되었다.

하지만 현재 인터넷에는 여전히 다양한 메시지와 추측이 넘쳐나고 있다. 제 개인적인 조언은 여러분이 최소한 침착함을 유지하고, 피싱을 피하기 위해 무작정 링크를 클릭하지 말라는 것이다. 이미 누군가는 이 핫 이슈를 이용해 사기 지갑을 홍보하며 사용자 자산 안전을 이유로 다운로드를 유도하고 있다. 만약 자신의 자산이 안전하지 않다고 걱정된다면, Binance, OKX와 같은 대형 거래소로 임시로 자산을 옮기는 것을 고려해볼 수 있다.

해커가 북한 조직이기 때문에 도난당한 자산을 되찾을 확률은 낮아 보인다. 이 부분의 손실은 아마도 Bybit이 스스로 감당해야 할 것이다. 구체적으로 어떻게 감당할지는, Bybit이 ETH를 구매해 이 구멍을 메울 것인지 등은 앞으로 Bybit의 최신 공식 발표를 주목하면 된다.

이번 사건이 앞으로 시장에 미칠 영향에 대해 일부 KOL들은 시장이 곧 곰장어 시장으로 접어들 것이라고 말하고, 또 다른 사람들은 Bybit이 다음 FTX가 될 것이라고 주장한다. 개인적으로는 그렇게 비관적이지 않다. 몇 가지 상황을 나누어 보자면:

1) 만약 Bybit이 이 사건을 잘 처리하고, 특히 사용자 인출 문제를 잘 해결한다면, 몇 달 후에는 다시 회복할 수 있을 것이다. 하지만 이번 사건 이후 많은 고객을 잃을 것으로 보이며, 앞으로 며칠 동안 다른 거래소들이 고객 자원을 빼앗으려 할지도 모른다. 다른 거래소의 대장들도 오늘 X 플랫폼에서 연대하겠다고 발언했지만, 실제로는 자신의 이익을 최우선으로 둘 것이다.

2) 만약 Bybit이 다음 두 주 동안 이 사건을 잘 처리하지 못하거나 새로운 부정적인 연쇄 반응이 발생한다면, 시장 감정은 새로운 충격을 받을 수 있으며, ETH가 추가로 조정될 가능성도 배제할 수 없다. ETH가 대규모로 조정되면, 알트코인도 추가로 큰 타격을 받을 것이다.

다음으로 시장에 긍정적인 시나리오는 (여기서는 그냥 상상해보는 것일 뿐이다): Bybit이 ETH를 구매해 구멍을 메우고, 북한 해커가 특별한 방법으로 ETH를 BTC로 교환하는 것이다(USDT로 직접 교환하지 않는 이유는 테더가 동결될 수 있기 때문이다). 이렇게 하면 서로 상쇄되고 ETH의 현재 흐름을 안정시킬 수 있으며, BTC의 단기 시장도 자극할 수 있다. 그리고 BTC를 얻은 해커는 몇 년, 심지어 더 오랜 시간 동안 특별한 경로를 통해 천천히 현금화할 가능성이 있다. Lazarus Group의 역사적 방법과 습관에 따르면, 그들은 도난 자산을 빠르게 현금화하는 데 서두르지 않는 것 같다(예를 들어, 현재 이 조직은 2016년에 도난당한 수천만 달러의 자산을 여전히 보유하고 있다).

현재는 다수의 이해관계자 간의 게임 과정인 것 같다. 우리는 그 변화를 지켜볼 수밖에 없다. 아래는 해커의 지갑 주소 모음이며, 관심 있는 친구들은 도난 자금의 동향을 관찰할 수 있다. 아래 그림과 같다.

안전 문제는 여전히 중대한 과제이며, Bybit이 자신의 실수에 대한 책임을 진정으로 질 수 있기를 바라며, 고객에게 자신의 실수를 전가하지 않기를 바란다.