Safe Wallet, 15억 달러 규모 Bybit 해킹 사건 관련 업데이트 및 새로운 보안 강화 사항 발표

지음

데릭 H. 앤더슨

읽는 데 3분 소요 , 2025년 3월 6일

Safe Wallet, 15억 달러 규모 Bybit 해킹 사건 관련 업데이트 및 새로운 보안 강화 사항 발표

이번 해킹은 특정 대상을 겨냥한 것이었으며, Safe의 스마트trac에는 영향을 미치지 않았습니다.
해커들은 작업을 마친 후 자신들의 활동 기록을 모두 지웠습니다.
Bybit은 Safe 소프트웨어의 무료 버전을 사용하고 있었습니다

지난 2월 21일 15억 달러 규모의 바이비트(Bybit) 해킹 사건의 중심에 있었던 멀티시그니처 지갑 플랫폼 세이프(Safe)는 사이버 보안 회사 맨디언트(Mandiant)와 협력하여 진행한 해킹 조사 결과를 발표했습니다. 또한 이번 해킹에서 얻은 교훈과 암호화폐 커뮤니티 전반의 보안 강화를 위해 필요한 조치들을 자세히 설명했습니다.

미국 연방수사국(FBI)은 이번 해킹의 배후로 북한의 고도화된 지속적 위협(APT) 그룹인 트레이더트래터(TraderTraitor)를 지목했습니다. FBI는 .dent2022 에 이 그룹을 라자루스 그룹(Lazarus Group) 등 여러 이름으로 불리는 그룹과 동일하다고 밝혔습니다. 보안 분석 업체 맨디언트(Mandiant, UNC4899) 역시 3월 6일자 Safe 기사에서 FBI의 배후 지목을 확인했다고 전했습니다 이 해커들은 북한 정부의 지원을 받고 있습니다.

이번 해킹은 치밀하게 계획되었다

공격자들은 "업무 수행을 위해 더 높은 접근 권한을 가진" Safe 개발자의 노트북을 해킹했습니다. 또한 AWS 세션 토큰을 탈취하여 다단계 인증을 우회했습니다.

수사팀은 공격자들이 컴퓨터를 해킹한 후 어떤 행동을 했는지 파악하기 위해 계속 노력하고 있습니다. 공격자들이 작업을 마친 후 악성코드를 삭제하고 Bash 실행 기록까지 지워버린 탓에 수사가 더욱 복잡해지고 있습니다. Bash는 UNI계열 운영체제에서 프로그래머들이 사용하는 명령줄 인터페이스입니다.

Safe 측은 개발자의 컴퓨터가 2월 4일에 해킹당했으며, 공격자들이 다음 날 Safe의 AWS 환경에 접근했다고 밝혔습니다. 2월 19일까지 Safe 웹사이트에 악성 JavaScript 코드가 삽입되었고, 2월 21일 14시 13분(UTC)에 Bybit 공격이 발생했습니다. 악성 코드는 1분 후 제거되었고, Bybit 탈취 거래는 그로부터 1분 후에 이루어졌습니다.

해당 컴퓨터는 Docker 프로젝트를 통해 해킹당했습니다. Docker는 애플리케이션 개발에 사용됩니다. 해커들은 이전에도 Docker 프로젝트를 이용해 악성코드를 심은 적이 있습니다. 이번 공격은 특히 표적으로 삼았습니다 Bybit 멀티시그 콜드 이더리움 지갑의 다음 거래를

Bybit의 CEO인 벤 저우는 Safe로부터 위조된 링크를 받은 후 콜드 스토리지에 보관된 ETH 일부를 핫 월렛으로 옮기려는 운명의 거래를 직접 승인했습니다.

바이빗은 라고 설명했습니다 해킹 당일 "이번 거래는 서명 인터페이스를 숨기고 올바른 주소를 표시하는 동시에 기본 스마트 계약 로직을 변경하는 정교한 공격을 통해 조작되었습니다trac"

공격자들은 이번 해킹에서 Safe의 보안 시스템 중 최소 5단계를 우회했습니다. Safe는dent된 위협을 제거하고 보안을 강화하기 위해 여러 차례 시스템 재설정 및 개선 조치를 시행했다고 밝혔습니다. Safe 스마트trac지갑과 소스 코드는 이번 해킹의 영향을 받지 않았습니다.