CZ는 최근 발생한 14억 달러 규모 해킹 사건에 대한 Bybit의 상세한 포렌식 보고서에 대해 반응을 보였습니다

Safe{Wallet}은 Bybit이 표적 대상이 된 것에 대한 성명을 발표했습니다. 해당 포렌식 보고서는 전 Binance CEO인 창펑 자오에게 해답보다는 더 많은 의문을 남겼고, 그는 보고서가 문제를 얼버무리기 위해 모호한 표현으로 작성되었다며 강하게 비판했습니다. 

Safe의 조사 보고서 에 따르면 , 라자루스 그룹이 바이빗(Bybit)을 대상으로 벌인 표적 공격에 대한 포렌식 분석 결과, 이 공격은 해킹당한 Safe 개발자 컴퓨터를 통해 이루어졌습니다. 해킹으로 인해 악의적인 거래가 위장되어 제안되었고, 해커들은 바이빗 지갑에서 자금을 인출했습니다.

보고서에 따르면 외부 보안 연구원들이 실시한 포렌식 감사 결과 Safe 스마트trac이나 프런트엔드 및 서비스 소스 코드에서 어떠한 결함도 발견되지 않았습니다. 

보고서에 따르면 Safe 팀은 철저한 조사를 진행했으며, 단계적 배포를 통해 Ethereum 메인넷에 Safe를 다시 도입했습니다. Safe 팀은 모든 인프라를 완전히 재구축하고 재구성했으며, 모든dent정보를 교체하여 공격 경로를 완전히 제거했습니다.

Safe 프런트엔드는 추가 보안 조치가 적용된 상태로 계속 운영됩니다. 그러나 보고서는 사용자들에게 거래 서명 시 극도의 주의를 기울이고 경계를 늦추지 말 것을 당부했습니다. 

CZ는 Safe의 포렌식 보고서가 충분히 상세하지 않다고 비판했습니다

평소에는 다른 업계 관계자들을 비판하지 않으려고 노력하지만, 가끔씩은 어쩔 수 없이 하게 되네요. 😂

Safe의 이번 업데이트는 그다지 좋지 않습니다. 모호한 표현으로 문제를 얼버무리고 있습니다. 오히려 읽고 나니 궁금한 점만 더 많아졌습니다.

1. "안전을 위협하는 것"이란 무엇을 의미합니까?… https://t.co/VxywHyzqXb

— CZ 🔶 BNB (@cz_binance) 2025년 2월 26일

해당 보고서는 Binance 창립자이자 전 CEO인 CZ로부터 강한 비판을 받았습니다. CZ에 따르면, 보고서는 모든 우려 사항을 해소할 만큼 상세하지 않으며, 사건 발생 경위에 대한 설명에 심각한 허점이 있다고 합니다. CZ는 우선 "안전한 개발자 컴퓨터를 해킹했다"는 것이 정확히 무엇을 의미하는지 의문을 제기했습니다. 또한 해커들이 어떤 방식으로 해당 컴퓨터를 해킹했는지, 사회공학적 기법인지, 바이러스인지, 아니면 다른 방법인지에 대해서도 의문을 제기했습니다. 

CZ는 개발자 컴퓨터가 거래소 계정에 접근한 방식에 대해서도 우려를 표명했습니다. 그는 개발자 컴퓨터에서 운영 환경으로 코드가 원격으로 배포되었는지 질문했습니다. 또한 해커들이 여러 서명자 단계에서 원장 검증 절차를 우회한 방식에 대해서도 우려를 나타냈습니다. 그는 서명자들이 제대로 검증하지 않았는지, 아니면 서명자들이 서명 내용을 숨기고 서명했는지에 대해 의문을 제기했습니다.

바이빗은 또한 블록체인 보안 회사인 시그니아(Sygnia)와 베리체인스(Verichains)와trac을 맺고 심층적인 포렌식 조사에 착수했습니다. 이 조사의 목표는 14억 달러 규모의 해킹 사건에 대한 후속 조치로 세 명의 서명자가 사용한 호스트를 집중적으로 파악하는 것이었습니다. 

CZ는 14억 달러 규모의 자금이 Safe를 이용해 관리되는 가장 큰 규모의 주소인지, 그리고 해커들이 다른 지갑을 표적으로 삼지 않은 이유는 무엇인지에 대해 의문을 제기했습니다. 또한 CZ는 이번 사태를 통해 다른 "자체 보관, 다중 서명" 지갑 제공업체와 사용자들이 어떤 교훈을 얻을 수 있는지에 대해서도 질문했습니다.

Sygnia의 조사 결과, 이번dent 의 원인은 Safe의 인프라에서 유출된 악성 코드인 것으로 밝혀졌습니다. 보고서는 Bybit의 인프라는 이번 공격으로 인해 어떠한 영향도 받거나 손상되지 않았다고 결론지었습니다. 또한, 보고서는 이번 조사 결과를 확인하기 위해 추가적인 심층 조사를 진행할 것이라고 강조했습니다.

Verichains의 예비 조사 결과에 따르면, 2월 19일 app.safe.global의 정상적인 JavaScript 파일이 Bybit의 Ethereum 멀티시그 콜드 월렛을 손상시키려는 악성 코드로 교체된 것으로 밝혀졌습니다. Verichains 조사관들은 근본 원인을 확인하기 위해 추가 조사를 진행할 것을 권고했습니다.

라자루스 그룹은 밈 코인을 이용해 바이빗 자금을 자금 세탁하는 것으로 알려졌다

아랍에미리트(UAE)에 본사를 둔 바이빗(Bybit) 거래소가 지난주 해킹 공격을 받아 15억 달러의 손실을 입었습니다. 거래소 CEO는 해당 자금이 바이빗의 콜드 멀티시그 월렛 중 하나에서 인출되었다고 밝혔습니다. 

온체인 데이터에 따르면, 이번 공격의 배후로 추정되는 북한 해킹 집단 라자루스 그룹(Lazarus Group)이 탈취 자금을 세탁하기 위해 밈코인을 이용한 것으로 나타났습니다. 사이버 보안 연구원 ZachXBT는 라자루스 그룹이 Pump.fun에서 여러 밈코인을 유통했다고 보고했습니다.

Binance 또한 사이버 범죄자들의 악의적인 공격에 영향을 받았습니다. 최근 홍콩에 기반을 둔 암호화폐 기업가 조 저우는 평소 Binance 인증 코드를 받는 자신의 계정이 북한에서 접근되었다는 메시지를 보냈다고 신고했습니다. 

조 저우는 해커들과 통화하면서 그들이 시킨 대로 다른 지갑으로 자금을 송금했습니다. 하지만 저우는 재빨리 대처하여 해커들이 자금을 cash하기 전에 대부분의 자금을 되찾을 수 있었습니다.