9월 20일 새벽, 싱가포르 암호화폐 거래소 BingX가 보안 침해가 있었다고 확인했습니다. 회사 당국에 따르면 이 사건은 "경미한 자산 손실"을 초래했으나 전문가들은 이미 수백만 달러가 도난당할 수 있었을 것이라고 말했습니다. 이런 대규모 암호화폐 거래소 해킹 사건은 몇 년간 이어지고 있습니다.

시장 가치가 급증하면서 관련된 위험도 증가했습니다. 해커들은 디지털 자산 세계로 들어가는 입구인 중앙화된 암호화폐 거래소를 노리고 있습니다. 이 플랫폼들은 수십억의 사용자 자금을 보유하고 있으며, 사이버 범죄자들에게는 과거의 전통적인 은행만큼 매력적입니다. 암호화폐는 탈중앙화되어 있고, 각 거래소들은 서로 다른 보안 수준을 가지고 있습니다. 이로 인해 역사상 가장 큰 도난 사건 중 일부가 발생했습니다.

거래소 해킹의 증가는 암호화폐에 대한 중요한 진실을 보여줍니다: 블록체인 기술은 안전하다고 찬양받지만, 사용자가 자산을 저장하고 거래하는 곳은 여전히 공격에 노출되어 있습니다. 많은 해킹이 보안 프로토콜의 취약점, 코드상의 실수, 혹은 직원의 부주의를 이용해 발생했습니다. 그 결과 수백만 달러가 도난당했고, 이는 공공 신뢰를 훼손시키고 암호화폐가 더 나은 인프라 없이는 대중적으로 사용될 수 있을지에 대한 의문을 불러일으켰습니다.

BingX 스캔들이 진행되는 동안, 지난 몇 년간의 10대 암호화폐 거래소 해킹 사건을 살펴보고, 기술적 결함, 금융적 영향, 교훈에 대해 이야기해 봅시다.

1. Mt. Gox (2014) – 거인의 몰락

일본의 Mt. Gox 거래소는 2010년대 초반 비트코인 거래를 지배했습니다. 이것은 아마도 암호화폐 역사상 가장 유명한 해킹 사건의 장소였습니다.

거래소는 한때 세계 비트코인 거래의 70% 이상을 처리했습니다. 2014년 2월 갑작스럽게 모든 거래가 중단되었을 때 많은 사람들이 두려워했습니다. 얼마 지나지 않아 거래소는 파산했고 85만 BTC, 당시 4억 5천만 달러 상당이 도난당했다고 발표했습니다. 오늘날의 돈으로 환산하면 수십억이 되는 금액입니다. 10년이 지난 지금도 이 이야기는 꽤나 무섭게 들릴 정도입니다.

공격은 여러 해에 걸쳐 전개되었습니다. 해커들은 Mt. Gox의 핫 월렛과 회사 내부의 보안 실습 문제를 이용하여 비트코인을 서서히 탈취했습니다. 주된 문제는 거래소의 거래 검증 시스템에 있는 약점이었습니다. "트랜잭션 변조 가능성(transaction malleability)"이라는 이 약점은 도둑들이 거래 ID를 변조하여 추적되지 않고 금액을 탈취할 수 있게 했습니다.

Mt. Gox의 CEO였던 마크 카펠레스(Mark Karpeles)는 나중에 체포되어 절도 혐의로 기소되었습니다. 이 해킹 사건은 나쁜 경영과 강력한 보안의 부재가 얼마나 위험할 수 있는지를 보여주며, 암호화폐 세계에서 교훈으로 기억되고 있습니다. 도난당한 비트코인 중 일부는 되찾았습니다.

2. 코인체크 (2018) – 5억 달러 NEM 강탈 사건

2018년 1월에 일본 기반의 거래소 코인체크에서 5억 달러 이상의 NEM (XEM) 토큰이 도난당했습니다.

NEM 거래는 비트코인 거래보다 복잡하며 여러 사람의 승인이 필요합니다. 그러나 그조차 충분하지 않았습니다. 어떻게 그렇게 됐을까요? 아쉽게도 코인체크는 대부분의 NEM을 "핫 월렛"에 보관했습니다. 온라인에 있으며 비교적 쉽게 해킹될 수 있는 것들이죠.

해커들은 코인체크의 서버에 침입하여 거래소의 핫 월렛에 접근하게 되었습니다. 이 거래소의 주요 보안 취약점은 돈에 대한 대량의 자산에 대해 다중 서명 지갑을 사용하지 않았다는 점이었습니다. 일단 안에 들어가자 해커들은 NEM을 여러 계좌로 이동시켰습니다. 블록체인 기술은 변경할 수 없지만, 코인체크는 NEM이 탈중앙화되어 있어 거래를 되돌릴 수 없었습니다.

NEM 블록체인의 개방성 덕분에 경찰은 도난당한 자금 중 일부를 찾을 수 있었지만, 많은 자금은 여전히 행방 불명 상태로 남아 있습니다. 이 해킹 덕분에 코인체크는 피해를 입은 사용자들에게 자비로 보상해야만 했으며, 이는 일본 정부에 의해 거래소에 대한 감독을 강화하기에 이르렀습니다.

3. 비트피넥스 (2016) – 다중 서명의 딜레마

2016년 8월, 비트피넥스는 약 7억 2천만 달러, 즉 12만 BTC를 도난당한 해킹 사건의 대상이 되었습니다.

블록체인 보안 기업 BitGo는 비트피넥스에 다중 서명 지갑 시스템을 공급했습니다. 그러나 이 시스템은 해킹으로 인해 취약점이 있었음이 밝혀졌습니다.

해커들은 비트피넥스의 보안을 무너뜨리고 핫 월렛에 접근했습니다. 이어지는 조사에서 불충분한 키 관리 및 다중 서명 구현 내의 코딩 실수가 해커들이 접근할 수 있던 이유로 밝혀졌습니다.

이 사건의 금융적 영향과 그 이후의 처리는 주목할 만합니다. 거래소는 잃어버린 자금을 대표하는 토큰 (BFX)를 만들어, 사용자들이 거래하거나 거래소의 재정이 회복될 때까지 보유할 수 있었습니다. 비트피넥스는 영향을 받은 고객들을 보상했으나, 사건은 중앙화된 거래소의 보안과 다중 서명 지갑의 유용성에 의문을 던졌습니다.

4. 바이낸스 (2019) – 실패할 수 없을 만큼 큰 타겟

2019년 5월, 거래량 기준으로 가장 큰 암호화폐 거래소 중 하나인 바이낸스에서 주요 해킹 사건이 발생했습니다. 공격 당시 약 4천만 달러 상당의 비트코인 7,000 BTC가 도난당했습니다. 이는 암호화폐 산업에 주요한 사건이었습니다.

해커들은 피싱, 바이러스, 기타 정교한 기법들을 조합하여 대량의 사용자 API 키, 2FA 코드 및 다른 정보를 포착해 거대한 암호화폐 거래소의 내부로 침투하려 했습니다.

정교한 방법이 사용됨으로써 바이낸스 해킹 사건은 특출났습니다. 해커들은 매우 조직적으로 공격을 수행하여 하나의 빠른 거래로 비트코인을 인출하여 경고음을 울리게 했습니다.

출금은 즉시 중지되고 바이낸스는 비상 대응 조치를 실행했습니다. 운 좋게도 사용자들은 SAFU (Secure Asset Fund for Users)라는 비상 금고를 통해 손실을 보증받았습니다.

비록 플랫폼의 보안 시스템이 타격을 받았지만, 바이낸스의 프로토콜은 피해를 최소화하고 빠르게 회복할 수 있게 했습니다. 바이낸스의 CEO Changpeng Zhao는 나중에 사건에 대해 언급했습니다.

이 사건은 지속적으로 변화하는 사이버 공격으로부터 안전할 수 있는 플랫폼은 없다는 것을 보여주었습니다.

5. 쿠코인 (2020) – 2억 7천 5백만 달러 도난 사건

2020년 9월 싱가포르 거래소 쿠코인에서 해킹 사건이 발생했고, 약 2억 7천 5백만 달러 상당의 이더리움, 비트코인 및 ERC-20 토큰이 도난당했습니다.

거래소의 핫 월렛이 또다시 침투당했으며, 이는 대량의 자산을 온라인에 보관하는 위험성을 강조했습니다.

도난당한 양과 쿠코인의 신속한 대응으로 인해 공격은 눈에 띄었습니다. 거래소는 프로젝트 팀 및 블록체인 기업과 협력하여 도난당한 자금 중 상당 부분을 즉각적으로 동결했습니다. 결국 약 2억 달러 이상의 도난당한 자금이 반환되었습니다.

쿠코인의 대응은 특히 도난당한 자금의 이전을 중단하거나 되돌리기 위한 블록체인 프로젝트와의 협력 능력을 통해 암호화폐 보안 조치가 얼마나 발전하고 있는지를 보여줍니다.

하지만 중앙화된 거래소의 위험성을 담론으로 불러일으키고 핫 월렛 보안의 개선 필요성을 강조했습니다.

6. 나이스해시 (2017) – 6천 4백만 달러 채굴 해킹

슬로베니아의 암호화폐 채굴 시장인 나이스해시는 2017년 12월에 해킹을 당해, 당시 약 6천 4백만 달러였던 4,700 BTC가 도난당했습니다.

나이스해시에서 자금을 도난한 후, 범죄자들은 사회 공학 기술을 이용해 회사의 내부 시스템에 접근했을 가능성이 높습니다.

더 전형적인 해킹 사례들과 달리, 이번 공격은 채굴 플랫폼을 노린 것이었습니다.

나이스해시의 사용자들은 자신의 컴퓨팅 파워를 다른 사람들에게 대여하여 비트코인을 받았고, 큰 손실을 입었습니다. 이에 나이스해시는 모든 운영을 중단하고 철저한 조사를 시작했습니다.

나이스해시는 결국 피해를 입은 사용자들에게 보상했으나, 사건은 채굴 플랫폼을 포함한 전체 암호화폐 생태계가 얼마나 취약한지를 시사했습니다.

7. 리퀴드 (2021) – 9400만 달러 익스플로잇

일본 거래소 리퀴드는 2021년 8월에 해킹을 당해 9천 4백만 달러 이상의 비트코인, 이더리움 및 기타 암호화폐를 도난당했습니다.

해커들은 리퀴드의 핫 월렛에 접근하여 자산을 여러 주소로 이동시켰습니다. 더 많은 돈을 잃을 가능성을 깨달은 후 거래소는 자금을 콜드 월렛으로 옮겼습니다.

그 이후 리퀴드는 다른 거래소와 협력하여 모든 거래를 중단하고 도둑을 식별하여 가능하다면 도난당한 자금을 회수하려고 노력했습니다. 일부 자금은 회수되었지만, 이번 사건은 핫 월렛의 취약성에 대한 지속적인 우려와 실시간 디지털 자산 보안의 어려움을 상기시켰습니다.

8. 크립톡피아 (2019) – 작은 거인의 몰락

뉴질랜드에 기반한 중소형 암호화폐 거래소 크립톡피아는 그 사용자들 사이에서 높은 평가를 받았습니다.

2019년 1월에 해킹이 발생하여 교환소는 약 1천 6백만 달러 상당의 암호화폐를 도난당했습니다. 해킹 이후 크립톡피아는 모든 운영을 중단해야 했고, 결국 파산했습니다.

교환소는 피해자들에게 보상할 자금이 적었기 때문에, 해킹은 특히 피해자들에게 치명적이었습니다. 여러 사용자는 자신의 모든 자산을 잃었습니다. 조사 후 드러난 여러 보안 허점을 통해 거래소의 내부 절차와 리스크 관리가 비난을 받았습니다.

9. 자이프 (2018) – 6천만 달러 해킹

일본 암호화폐 거래소 자이프에서 2018년 9월 발생한 해킹 사건은 약 6천만 달러 상당의 비트코인, 비트코인 캐쉬, 모나코인 도난으로 이어졌습니다.

해커들이 거래소의 핫 월렛을 터뜨린 후 자금을 이동시키는 데 성공했습니다. 본 문서를 영어에서 한국어로 번역하겠습니다. 마크다운 링크는 번역하지 않고 그대로 유지하겠습니다.

내용: 누군가 알아차리기 전까지 잠시 동안.

손실을 회복하기 위해 Zaif의 모기업인 테크 뷰로(Tech Bureau)는 일본의 또 다른 금융 서비스 제공업체인 Fisco에게 자사의 지배 지분을 매각했습니다. 해킹의 결과로 Zaif는 운영을 일시적으로 중단해야 했고, 일본 정부는 암호화폐 거래소에 대한 규제를 강화하기 시작했습니다.

10. Bitmart (2021) – 1억 5천만 달러 핫월렛 침해

2021년 12월, 전 세계적으로 알려진 비트코인 거래소 Bitmart에서 대규모 해킹 사건이 발생했습니다. 이 공격으로 사용자 자금 약 1억 5천만 달러가 도난당했습니다. 바이낸스 스마트 체인(BSC) 및 이더리움(ETH) 토큰의 핫 월렛이 해킹의 취약점이었습니다. 해커가 거래소의 월렛 키를 손에 넣자 Bitmart의 월렛에 저장된 암호화폐를 마음대로 조작할 수 있게 되었습니다.

공격자들의 더 복잡한 트릭 중 하나는 Safemoon, Shiba Inu(SHIB) 등의 다양한 토큰에 대한 자동 인출을 설정한 것이었습니다.

보안 회사 PeckShield가 이상한 거래를 처음으로 포착하고 이를 알렸습니다. 곧이어 Bitmart CEO Sheldon Xia는 해킹을 인정하고 피해를 평가할 때까지 사이트에서 인출 및 입금을 중단했습니다.

Bitmart는 신속하게 사용자의 손실을 자체 비용으로 보상하겠다고 발표했습니다.

다른 해킹과 마찬가지로, Bitmart 해킹은 핫 월렛 저장의 주요 보안 문제에 대해 주목을 받게 했습니다. 항상 인터넷에 연결되어 있는 것은 공격에 취약합니다.

하지만 여기서 그치지 않습니다.

이와 같은 공격은 중앙화된 거래소의 신뢰성과 사용자 자금을 안전하게 보관할 수 있는 능력에 대한 의문을 제기합니다.

이 사건으로 인해 많은 사람들은 보안을 강화하고 유사한 문제가 발생하지 않도록 콜드 월렛 저장소의 인기가 높아져야 한다는 결론을 내리게 되었습니다.