연 수입 백만 달러인데 계약에 빠져: “내부자”가 자작자연한 5000만 달러 도난 사건?

저자: 1912212.eth, Foresight News

3월 20일, 블록체인 데이터 플랫폼 Etherscan에 따르면, 스테이블코인 디지털 은행 Infini 팀이 체인 상 메시지를 통해 한 해커 주소(0xfc…6e49)에게 소송 통지를 보내고, 상세한 법원 소송 문서를 첨부했습니다. 이 사건은 4,951만 개 USDC에 달하는 자산 도난과 관련되어 있으며, 업계의 광범위한 관심을 불러일으켰습니다.

소송 원고는 Infini Labs의 전액 자회사 BP SG Investment Holding Limited의 CEO Chou Christian-Long이며, 피고 중 한 명은 중국 광둥성 포산에 거주하는 엔지니어 Chen Shanxuan(중국 이름: 천선현)입니다. 나머지 두 명에서 네 명의 피고 신원은 아직 확인되지 않았습니다.

올해 2월 말 Infini가 도난당한 지 한 달도 안 되어 공식적으로 용의자를 특정했나요? 사실 진실은 과연 무엇일까요?

관리자 권한을 무단으로 보유하고 거액 자금이 도난당하다

소송 문서에 따르면, Infini는 암호화폐와 전통 금융 서비스를 결합한 디지털 은행으로, 그 핵심 사업은 스테이블코인 USDC를 통해 결제 솔루션, 고수익 계좌 및 암호화폐 카드 서비스를 제공하는 것입니다. 원고 Chou Christian-Long는 문서에서 Infini가 BP Singapore와 협력하여 회사 및 고객 자금의 안전한 저장 및 이전을 관리하기 위한 스마트 계약을 개발했다고 밝혔습니다. 이 계약은 첫 번째 피고인 Chen Shanxuan이 주도하여 작성하였으며, 자금의 이전이 여러 승인된 인원의 승인을 받아야 하도록 다중 서명(multi-signature) 메커니즘을 설계하여 자금 안전성을 높였습니다.

그러나 스마트 계약이 메인넷에 배포된 후 상황은 극적으로 전환되었습니다. 소송에서는 Chen이 계약 배포 과정에서 슈퍼 관리자 권한을 무단으로 보유하고, 팀의 다른 구성원에게 해당 권한을 제거하거나 이전했다고 거짓말했다고 주장합니다.

2월 24일, 원고는 약 4,951만 개 USDC가 자금 풀에서 무단으로 이전되었음을 발견하였고, 자금은 여러 미지의 지갑 주소로 흘러갔으며 다중 서명 검증을 거치지 않았습니다. 초기 조사에 따르면, 이 자금은 이후 DAI로 교환되었고, 신속하게 17,696개의 이더리움(ETH)을 구매한 후 여러 주소로 분산되었습니다. 그 중 일부 자금 출처는 프라이버시 도구인 Tornado Cash로 추적할 수 있습니다.

호평받는 엔지니어, 연봉 백만 달러, 100배 계약 도박에 빠져 모든 것을 망치다

소송 문서에 따르면, 첫 번째 피고인 Chen Shanxuan은 Infini의 자회사 BP Singapore에 고용되어 있으나, 주로 중국 광둥성 포산에서 원격 근무를 하고 있습니다. 스마트 계약의 주요 개발자로서 Chen은 프로젝트에서 핵심 권한을 가지고 있습니다. 문서에서는 그가 회사에 합류한 지 오래되지 않았음에도 불구하고 자금 관리 계약에 대한 슈퍼 관리자 역할을 부여받았으며, 이 역할은 그에게 계약에 대한 절대적인 통제권을 부여한다고 지적합니다. 업계 전문가들은 Infini의 권한 배분에서의 소홀함이 이번 사건의 도화선이 되었을 가능성이 있다고 분석합니다.

또한, 원고는 선서 진술서에서 최근 Chen Shanxuan이 심각한 도박 습관을 가지고 있으며, 이로 인해 막대한 빚을 지고 있을 가능성이 있다고 언급했습니다. 문서에는 Chen이 다른 사람과의 대화에서 모든 것을 망쳤다고 털어놓고, 삶에 대한 절망감을 드러내며 가끔은 모든 것을 끝내고 싶다고 말한 여러 메시지 기록의 스크린샷이 첨부되었습니다.

원고는 이로 인해 도박 빚이 Chen의 자산 도난의 주요 동기일 수 있다고 추측합니다. Colin Wu에 따르면, Chen은 이전에 거래소 기술 직원으로서 지식을 공유하는 모범 사례로 알려져 있었습니다. 비록 연봉이 백만 달러에 달했지만, 그는 여전히 다양한 사람들에게 돈을 빌리고, 100배 계약을 열며, 온라인 대출을 점점 더 많이 받으며 결국 되돌릴 수 없는 길로 나아갔습니다. 그러나 Chen의 구체적인 개인 배경, 교육 이력, 경력 등은 소송에서 더 이상의 세부 사항이 제공되지 않았으며, 그의 진짜 동기는 법원이 추가 조사를 통해 밝혀야 할 사항입니다.

홍콩 법원, 3월 27일 청문회 개최 예정

이 사건의 후속 발전은 여러 측면을 포함할 수 있습니다. 원고의 주요 목표는 도난당한 자산을 동결하고 손실을 회수하는 것입니다. 홍콩 법원은 이 사건을 접수하였으며, 2025년 3월 27일 오전 9시 30분에 Lok 판사가 청문회를 주재할 예정입니다. 이때 금지 명령에 대한 검토가 이루어질 것입니다. 만약 Chen이나 다른 피고가 출석하지 않을 경우, 법원은 불출석 상태에서 판결을 내릴 수 있습니다.

블록체인의 투명성은 자산 추적을 용이하게 하지만, 해커가 혼합 서비스(예: Tornado Cash)를 통해 자금을 세탁할 경우 회수의 난이도가 크게 증가할 것입니다. 이전에 Infini는 체인 상 메시지를 통해 해커에게 경고하고 일부 자금을 동결했다고 밝혔습니다(약 4,300만 달러). 그러나 남은 자금이 규제를 받지 않는 주소로 이전된다면 회수의 희망은 희박해질 것입니다.

또한, Chen 본인의 처지도 주목받고 있으며, 그는 홍콩과 싱가포르의 법률 체계 하에서 형사 고발에 직면할 수 있습니다. 만약 그의 도박 빚 문제가 사실이라면, 경찰은 그의 자금 출처 및 다른 범죄 활동과의 연관성을 추가로 조사할 수 있습니다. 분석가들은 Chen이 이미 구금되었다면 사건이 법정 심리 단계로 빠르게 진행될 수 있다고 지적합니다.

다중 서명 지갑 권한 설정의 위험

Infini의 이번 도난 사건은 고립된 사례가 아닙니다. 2025년 초, 암호화폐 산업에서는 2월 21일 Bybit 거래소의 14억 달러 해킹 사건과 같은 보안 사고가 연이어 발생하여, 산업이 빠르게 발전하는 가운데 여전히 존재하는 보안 취약점을 부각시켰습니다. Infini는 2024년 출시 이후 혁신적인 스테이블코인 결제 서비스와 고수익 제품으로 많은 사용자를 끌어모았으나, 이번 사건은 내부 관리 및 기술 검토의 취약점을 드러냈습니다.

블록체인 보안 전문가들은 소송의 주장이 사실이라면, Chen Shanxuan의 행동은 전형적인 내부 공격에 해당하며, Infini가 스마트 계약을 출시하기 전에 충분한 탈중앙화 보장 조치를 시행하지 않은 것이 사건 발생의 중요한 원인이라고 분석합니다. 한 업계 관계자는 "이렇게 중요한 권한을 신입 원격 직원에게 부여하고 엄격한 감독을 하지 않은 Infini의 경영진은 책임을 면할 수 없다"고 평가했습니다.

Infini가 Chen을 상대로 제기한 소송은 다시 한번 업계에 보안 경각심을 일깨우고 있습니다. 블록체인 기술이 금융 시스템에 점점 더 통합되고 있는 지금, 권한 관리, 감사 및 교차 검증 설정, 계약의 광란 플레이어가 중요한 권한을 쥐지 않도록 하는 것, 제로 트러스트 아키텍처에 에너지를 분배하는 것 등은 창립자들이 반드시 직면해야 할 중요한 주제입니다.

소송이 진행됨에 따라 사건의 더 많은 세부 사항이 드러날 것으로 예상되며, 그때 Chen의 도난 뒤에 숨겨진 완전한 진실이 밝혀질 수 있을 것입니다.