암호화폐 거래소 바이비트(Bybit)를 해킹한 해커들이 플랫폼에서 훔친 자금을 세탁하는 작업을 재개했습니다. 보도에 따르면, 이들은 훔친 자금을 점진적으로 세탁하는 과정에서 약 1억 3,800만 달러 상당의 이더리움(ETH) 62,000개를 이동시켰습니다.
지난 2월 21일 발생한 14억 달러 규모의 거래소 해킹 사건의 배후로 지목된 라자루스 그룹이 현재 이동시켜야 할 이더리움(ETH)은 156,500개만 남았다고 익명의 분석가가 전했다.
X 플랫폼 사용자 EmberCN의 제보에 따르면, 해당 그룹은 플랫폼에서 훔친 499,000 ETH 중 총 343,000 ETH를 이미 이동시켰 으며, 나머지 금액도 향후 며칠 내에 자금 세탁될 것으로 예상됩니다. 이동된 343,000 ETH는 전체 자금의 약 68%를 의미하며, 이는 보고된 54%보다 증가한 수치입니다.
바이비트 해킹으로 자금 이체, FBI 우려 표명
이전 보도에 따르면, 미국 연방수사국(FBI)이 노드 운영자, 암호화폐 거래소, 브리지 및 기타 플랫폼에 해당 그룹과 관련된 거래를 차단하도록 경고한 후 자금 세탁 활동이 다소 둔화되었습니다. FBI는 "무역 배신자"가 수행한 이번 해킹이 북한과 연관되어 있음을 확인했습니다.
FBI는 보고서를 , TradeTraitor가 라자루스 그룹, APT38, 블루노로프, 스타더스트 촐리마 등의 암호명이라고 언급했습니다. FBI는 "TraderTraitor 관련자들은 신속하게 움직이며, 훔친 자산의 일부를 Bitcoin 및 기타 가상 자산으로 전환하여 여러 블록체인 상의 수천 개 주소에 분산 보관하고 있다"고 밝혔습니다.
FBI는 당시 바이빗 해킹 그룹과 연관되거나 그들이 운영하는 약 51개의 Ethereum 주소를 공개했습니다. 블록체인 분석 업체 엘립틱(Elliptic) 또한 해당 그룹과 연관된 11,000개 이상의 암호화폐 지갑 주소를 발견했습니다. 엘립틱은 당시 "바이빗 공격과 관련된 주소는 발표 후 단 30분 만에dent되어 검사가 가능해졌으며, 고객들이 반복적인 수동 검사를 할 필요 없이 보호받을 수 있게 되었습니다."라고 밝혔습니다.
자금세탁 활동 중 trac지우려는 해커들
암호화폐 포렌식 업체 체인애널리시스에 따르면, 해커들은 자금 세탁 활동을 하면서 trac지우기 위해 훔친 Ethereum 일부를 Bitcoin으로 바꾸는 시도를 했습니다. 또한, 자산의 일부는 DAI 스테이블코인이나 다른 자산으로 변환하여 탈중앙화 거래소, 크로스체인 브리지, 그리고 신원 확인(KYC) 절차 없이 즉시 스왑 서비스를 이용해 이동시켰습니다.
라자루스 그룹이 훔친 자금을 세탁하는 데 도움을 준 플랫폼 중 하나로 지목된 것은 크로스체인 자산 교환 프로토콜인 THORChain. 이 프로토콜 개발자들은 북한과 연계된 해커들이 사용한 상당 부분의 자금 이체를 용이하게 했다는 이유로 이해관계자들과 암호화폐 커뮤니티로부터 거센 비난을 받았습니다. 이로 인해 플랫폼 내에서 해커와 관련된 모든 거래를 되돌릴지 여부를 묻는 투표가 진행되기도 했습니다.
이번 투표 결과로 THORChain 개발자인 플루토(Pluto)는 프로토콜 탈퇴를 발표했고, 또 다른 검증자 역시 탈퇴 의사를 밝혔습니다. 플루토는 당시 "검증자, 개발자, 커뮤니티 구성원 여러분께: 저는 오늘부로 THORChain에 더 이상 기여하지 않겠습니다."라고 말했습니다. 그는 또한 프로토콜에서 자신을 대체할 사람을 찾을 때까지 필요한 기간 동안 남아 책임을 인계받겠다고 덧붙였습니다.
한편, 토르체인(THORChain) 창립자 존 폴 토르비욘센은 더 이상 해당 크로스체인 프로토콜에 관여하지 않는다고 밝혔습니다. 그는 또한 FBI나 미국 재무부 해외자산통제국(OFAC)의 블랙리스트에 오른 지갑들은 해당 프로토콜과 상호 작용한 적이 없다고 덧붙였습니다. 14억 달러 규모의 바이비트(Bybit) 해킹 사건은 암호화폐 업계 역사상 최대 규모로, 2023년 3월 로닌 브리지(Ronin Bridge) 해킹 사건으로 인한 6억 5천만 달러의 두 배에 달하는 금액입니다.
