Safe{Wallet}, $14억 Bybit 해킹의 원인으로 지목되다

최근 Bybit 해킹 사건에 대한 포렌식 조사 결과, 공격자들이 Safe{Wallet}의 개발자 기기를 침해하여 악성 코드를 삽입함으로써 Bybit의 콜드 월렛을 속였다는 사실이 밝혀졌습니다.

Key Notes:

• Bybit 해킹은 Safe{Wallet}의 개발자 기기가 침해된 것이 원인으로 밝혀졌으며, Bybit 내부의 침해가 아닙니다.
• 해커들은 Safe{Wallet} 앱에 악성 JavaScript를 삽입하여, Bybit의 보안 레이어를 뚫고 들어왔습니다.
• Safe{Wallet}은 현재 인프라를 재구축하고 운영을 단계적으로 재개했습니다.

Bybit의 CEO인 Ben Zhou는 $14억 해킹 사건의 초기 조사 결과를 발표했습니다. 사이버 보안 기업인 Sygnia Labs와 Verichains에서 제공한 보고서에 따르면, 공격은 Safe{Wallet}의 침해된 인프라에서 발생했다고 합니다.

보고서에 따르면, 해커들은 Safe{Wallet} 개발자의 자격 증명에 무단으로 접근하여 악성 JavaScript를 Safe{Wallet} 앱에 삽입하였습니다. 이 악성 코드는 2025년 2월 19일에 app.safe.global 웹사이트에 삽입되었으며, Bybit의 일상적인 거래가 이루어진 2월 21일에 작동하게 되었습니다.

Bybit 해킹 포렌식 보고서 링크

해킹 시, 서명자들은 정상적인 계약 주소가 표시되는 것을 보았지만, 배경에서 JavaScript가 제출을 변경하여 해커가 제어하는 지갑으로 자금을 유도하게 만들었습니다. 이는 정교한 계획이 수립된 작전임을 시사하며, 조사 결과 악명 높은 북한 연계 집단인 Lazarus Group과의 강한 연관성이 나타났습니다.

Safe{Wallet}의 대응

이번 해킹 사건을 통해 Safe{Wallet}의 인프라가 원인이 되었다는 사실이 밝혀지자, 암호화폐 커뮤니티 내에서는 논란이 일고 있습니다. 일부 사용자는 Safe가 'Unsafe'로 재브랜딩해야 한다고 비꼬았으며, 거래 확인에서 더 강력한 보안 조치를 요구하기도 했습니다.

이에 대해 Safe{Wallet}은 공식 성명을 발표하며, 자사의 스마트 계약과 프론트엔드 서비스는 타격을 받지 않았다고 설명했습니다. 그들은 해킹이 침해된 개발자 기기에서 시작되었으며, 해커들이 위장된 악성 거래를 삽입할 수 있었다고 밝혔습니다.

Safe{Wallet}은 이미 전체 인프라를 재구축하고 보안 조치를 강화하였으며, Ethereum 메인넷에서 단계적으로 운영을 재개하고 있습니다. 조사가 완료되면 전체 포스트 모템 보고서가 발행될 것으로 예상됩니다.

Bybit의 회복력

역사상 가장 큰 암호화폐 해킹 사건 중 하나를 겪었음에도 불구하고 Bybit은 빠르게 도난당한 $14억 에테르를 복구하는 모습을 보여주었습니다. Bybit은 해커들에 대한 강력한 대응에 나섰으며, 현재 11,000개 이상의 암호화폐 지갑에 분산된 자금을 추적하고 회수하려고 노력하고 있습니다.

또한 Bybit은 블랙리스트 지갑 API를 도입하여 플래그가 붙은 주소에서의 거래를 방지하고, Web3 보안 기업 ZeroShadow를 통해 도난된 자금을 추적하고 있습니다. Bybit은 도난 자산의 동결 또는 회수에 관한 정보를 제공한 경우 최대 $1억 4천만 달러의 보상을 제공하는 프로그램도 발표했습니다.