[디지털투데이 강주현 기자] 지난 10일 가상자산 거래소 지닥이 182억원 상당의 가상자산을 탈취당했다고 밝혔다. 이를 두고 거래소 핫월렛 비밀 키 유출보다 공격자가 내부 인프라 시스템을 침투해 해킹했을 가능성이 더 높다는 분석이 나왔다. 

11일 블록체인 보안 업체 티오리는 산하 체인라이트팀을 통해 이같은 내용의 지닥 거래소 자산 탈취 사고 분석 결과를 발표했다.  

앞서 지닥은 지난 9일 오전 7시경 비트코인 60개, 이더리움 350개, 위믹스 1000만개, 테더 22만개 등을 해킹당했다고 말했다. 이 때문에 위믹스 가격이 일시적으로 1달러 이하로 붕괴됐다.  이후 빗썸, 업비트, 코인원은 지닥 출금 서비스를 일시 중단했다. 

티오리 체인라이트팀은 지닥 핫월렛 비밀 키가 탈취당한 것이 아니라 내부 시스템에 있는 입출금 관련 응용프로그래밍인터페이스(API)를 공격자가 호출했을 가능성이 높다고 분석했다.

만약 공격자가 지닥의 모든 입금 주소의 비밀키를 탈취할 수 있었다면 거래소 핫월렛으로 1000만개의 위믹스를 모으는 게 아니라 곧바로 공격자 지갑으로 전송하는 데 효율적인데 그렇게 하지 않았기 때문이다. 

또 지닥 핫월렛에서 자산을 탈취할 때도 거래소 내부 시스템을 통해 트랜잭션을 생성했을 것이라고 추측했다. 

지닥의 ERC-20 핫월렛에는 아직까지 테더 8만개, 1억원 상당의 클레이 등 여러 이더리움 기반 토큰이 많이 남아 있다. 티오리 체인라이트팀은 이 점을 공격자가 핫월렛 비밀 키를 탈취해 해킹한 것이 아니라는 또 하나의 근거로 삼았다. 비밀 키를 탈취해 공격한 것이라면 공격자가 해킹한 이후에도 입금된 자산들을 더 가져가지 않고 남겨둘 가능성은 적기 때문이다. 

이어 비트코인, 이더리움, 위믹스를 제외한 가상자산에 전혀 손대지 않았기 때문에 "공격자가 비밀 키를 획득하지 못했을 확률이 높고 내부 API를 실행할 수 있는 인프라에 침투해 공격했을 가능성이 더 높다"고 말했다. 

티오리 체인라이트팀은 이와 같은 점들을 토대로 공격자가 "거래소 내 존재하는 내부 API 인프라를 해킹해 침투하고 이후 내부 API를 호출해 다양한 사용자 입금 주소로부터 핫월렛으로 자산을 모은 뒤 공격자 자신의 지갑으로 같은 방법으로 공격했을 것"이라고 추측했다.  

△디지털투데이 텔레그램 뉴스채널 구독하기(클릭)