[디지털투데이 강주현 기자] 블록체인 데이터 분석 기업 체이널리시스가 국가정보원과 협력해 북한 연계 해커 조직의 ‘큐빗’ 해킹 내역을 20일 공개했다. 

큐빗은 바이낸스체인을 기반으로 구축된 국내 디파이 대출 프로토콜이다. 큐빗은 큐브리지라는 관련 프로토콜을 통해 사용자가 다른 체인의 자산을 바이낸스체인으로 이동하지 않고도 큐빗에서 빌릴 수 있도록 한다.

사용자는 담보로 잡고 싶은 자산을 해당 자산의 체인에 있는 큐브리지 스마트 계약으로 보내고, 큐브리지는 바이낸스체인에 해당 자산을 생성한다. 

많은 크로스체인 브리지 해킹 사건과 유사하게 해커들은 큐브리지를 관리하는 코드에서 취약점을 발견했다. 이로 인해 큐브리지의 보유 자산 중 약 8000만달러(약 1000억원) 상당의 자금이 유출됐다. 이는 지난해 국내에서 발생한 최대 규모의 가상자산 해킹 범죄다.

체이널리시스는 이번 공격이 2022년 다른 많은 대규모 디파이 해킹과 마찬가지로 북한과 연계된 해커들의 소행이라고 분석했다.

큐빗 해커들은 이더리움 블록체인에서 이체된 이더리움을 뜻하는 ‘qXETH’를 이더리움 예치 없이 큐브리지에서 무제한으로 발행했다. 해커들은 도난 당시 프로토콜이 보유한 약 1000억원 상당의 바이낸스코인과 BEP-20 토큰을 빌리기 위해 무제한 발행한 qXETH를 담보로 사용했다. 이후 확보한 자금을 바이낸스체인에서 이더리움 블록체인에 연결해 탈취했다. 

북한 해커들은 지난해 자주 쓰던 자금 세탁 수법을 사용했다. 디파이 프로토콜에서 자금을 탈취해 자금 동결이 불가능한 블록체인에 연결하고 믹싱한 후 중앙화 거래소로 이동시킨 것이다.  

먼저 북한 해커들은 탈취 자금은 가상자산 믹싱 서비스 토네이도 캐시 믹서로 보냈다. 체이널리시스는 이를 자체 블록체인 분석 툴인 리액터, 스토리라인을 통해 파악했다. 

해커들은 토네이도 캐시에서 믹싱된 이더리움을 받았고, 그 중 일부를 탈중앙화 거래소로 보내 다른 ERC-20 토큰으로 교환 후 나머지는 다양한 중앙화 거래소의 예금 주소로 이동시켰다. 큐빗 해킹의 경우 체이널리시스는 국가정보원 산하 국제범죄정보센터(TCIC)와 협력해 도난당한 자금을 추적할 수 있었다.

북한 연계 해커의 가상자산 탈취는 증가하고 있지만 사법기관과 국가안보기관의 대응 능력 역시 시간이 갈수록 향상되고 있다. 일례로 작년에 북한 해커들이 탈취한 액시 인피니티 로닌 브리지 피해 금액 중 3000만 달러(약 368억원) 상당의 가상자산을 회수한 바 있다.

백용기 체이널리시스 한국 지사장은 “체이널리시스는 국가정보원 산하 국제범죄정보센터와 함께 큐빗 해킹 사례를 분석하고 추적했으며 향후 더 많은 해킹 사례를 수사할 수 있도록 긴밀한 협력을 계속할 것”이라며 “앞으로도 블록체인의 고유한 투명성을 통한 가상자산 시장의 신뢰 재건을 위해 최선을 다하겠다”고 말했다.

△디지털투데이 텔레그램 뉴스채널 구독하기(클릭)