2025년 2월 21일 발생한 바이빗 해킹은 약 14억 달러(401,347 ETH) 규모의 자금이 탈취된 역대 최대 규모의 크립토 해킹 사건으로, 구글 클라우드 산하 Mandiant와의 조사 결과 북한 해커 집단 라자루스가 세이프 개발자 노트북에 침투해 AWS 인프라에 접근하고 사용자 인터페이스를 조작한 것으로 밝혀졌다.
해킹 이후 세이프 팀은 전체 인프라 초기화, 외부 접근 제한, 악성 트랜잭션 탐지 시스템 강화, 실시간 모니터링 확대 등 다양한 보안 강화 조치를 신속하게 취했으며, 'Safe Utils'와 같은 추가 검증 도구 도입 및 IPFS 호스팅 버전 인터페이스 개발 계획을 공개했다.
대규모 해킹에도 불구하고 세이프의 TVL이나 유출입 금액은 급격한 이탈 없이 비교적 안정적으로 유지되고 있으나, 공격의 핵심 루트로 사용된 Safe{Wallet} 인터페이스는 서비스 일시 중단 등의 이슈로 사용률이 크게 감소하는 변화가 나타났다. 현재 Safe{Wallet}은 모든 네트워크에 대한 연결과 서비스가 재개된 상태이다.
세이프는 멀티시그 지갑 솔루션으로서의 독보적 지위와 오픈소스 중심의 철학, 다양한 인터페이스 전략이 위기 상황에서도 탄탄한 보호막으로 작용했으며, 이번 사건을 통해 얻은 교훈을 바탕으로 업계 전체가 더 강력한 보안 체계를 구축해 나갈 것으로 기대된다.
Source: Digital Assets Brief: Bybit Hack Underlines Importance Of Cyber Resilience
2025년 2월 21일, 바이빗 거래소에서 크립토 산업 역사 상 가장 큰 규모의 해킹 사건이 발생했다. 바이빗 거래소는 북한의 해커 집단인 라자루스 그룹에 의해 40만 ETH, 약 14억 달러의 자금이 탈취 당했으며, 이는 바이빗의 전체 ETH 보유고의 75%에 해당하는 상당한 금액이었다.
과거에는 브릿지나 스마트 컨트랙트의 오류를 타겟한 해킹이 주로 이루어졌다면, 2024년 이후로는 지갑 개발자 등 개인의 취약점을 공략하는 해킹 방식이 성행했다. 대표적으로 라자루스 그룹 또한 개인을 타겟팅하는 공격 패턴을 자주 보였으며, 이번 바이빗 해킹 사건 또한 블록체인이나 스마트 컨트랙트의 취약점을 노린 것이 아닌, 정교하게 계획된 소셜 엔지니어링과 기반 인프라에 대한 조작이 결합된 복합적인 방식으로 이루어졌다.
1.1 바이빗 해킹 사건 타임라인
2월 4일: 복한 라자루스 그룹으로 추정되는 ‘TraderTraitor’ 해커 그룹이 Safe{Wallet}의 핵심 개발자의 노트북에 침투
2월 5일 ~ 17일: 해커들은 12일 간 AWS 환경을 정찰하며 공격 계획 및 탈취 자금 세탁 계획 수립
2월 17일: 해커들이 Safe{Wallet}의 AWS 저장소에 악성 자바스크립트 코드 주입
2월 19일: 인터넷 아카이브에 악성코드가 삽입된 Safe{Wallet}의 웹사이트가 기록됨
2월 21일 14시 13분: 바이빗 멀티시그 지갑에서 해커 주소로 401,347 ETH 이체 발생
2월 21일 14시 15분: 출금 직후 해커들이 Safe{Wallet} 웹사이트에서 악성 코드 제거
1.2 바이빗 거래소만을 노린 Safe{Wallet} 해킹 방식
바이빗의 해킹은 여지껏 Web3에서 일어난 주요 해킹 사례에서 찾아보기 어려운 정교하고 교묘한 방식으로 이루어졌다는 점에서, 대규모의 자금을 다루는 모든 크립토 업계의 주체들에게 경각심과 우려를 안겼다. 세이프(Safe) 팀에서 최근 발표한 해킹 사후 분석 보고서에 따르면, 바이빗 해킹은 다음과 같은 과정을 통해 발생했다:
1) 최초 침투 - 세이프 개발자의 노트북 장악
해커들은 Safe{Wallet}의 핵심 개발자가 악성 코드가 담긴 주식 투자 시뮬레이션 프로그램을 설치하도록 유인
개발자가 해당 프로그램을 다운로드하고 실행하면서 해커가 노트북에 침투할 수 있는 통로 생성
2) 클라우드 서버 접근
감염된 개발자의 컴퓨터를 통해 Safe{Wallet}의 클라우드 서버(AWS) 접근 권환 획득
해커들은 개발자의 활동 시간에 맞춰 세션 토큰을 가로채 서버에 접속하는 방식으로 다중 인증(MFA) 우회 및 흔적 최소화
3) Safe{Wallet} 웹사이트 인터페이스 변조
AWS에 접근해 Safe{Wallet}의 웹사이트의 코드를 수정하여 바이빗 거래소의 특정 지갑만을 노린 악성 코드를 삽입
해당 코드는 바이빗의 특정 지갑을 사용할 때만 활성화 되었으므로, 일반 사용자들은 영향을 받지 않아 탐지에 더욱 어려움
4) 눈속임을 통한 변경된 트랜젝션 실행
Safe{Wallet}의 웹사이트 상에서 트랜젝션에 서명하는 화면에는 정상적인 거래(바이빗의 콜드 월렛에서 핫 월렛으로 이체)가 표시되나, 실제로는 전혀 다른 거래가 실행됨
해커는 세이프 트랜젝션의 파라미터를 수정하여 단순 이체 모드에서 위임 실행(delegateCall)로 변경해, 자금을 처분할 수 있는 권한을 획득
5) 블라인드 서명 악용
하드웨어 지갑은 화면 크기 제약으로 인해 상세한 거래 내용 대신 트랜젝션 해시만 표시하는 경우가 많아, 실제로 서명자가 승인하는 내용을 명확히 확인하기 어려움
바이빗 CEO 벤 저우가 사후 확인한 내용에 따르면, 서명 과정에서 하드웨어 지갑에는 명확한 목적지 주소 대신 "복잡한 코드"로만 표시되어, 실제 거래 내용을 직관적으로 파악할 수 없는 상태에서 일상적인 거래로 판단하고 위장된 트랜잭션에 서명하게 됨
6) 자금 탈취 및 흔적 제거
도난된 자금은 즉시 50개 이상의 지갑으로 빠르게 분산 시켜 추적 및 자금 동결을 어렵게 했으며, 다시 여러 개의 지갑으로 재분산 시켜 자금을 세탁
자금 탈취 직후 해킹에 사용된 악성 코드를 제거해 공격 방식 노출 및 증거를 제거함
결론적으로 이번 공격은 세이프의 스마트 컨트랙트나 핵심 시스템 자체의 취약점을 노린 것이 아닌, 클라우드 서버에 접근 권한을 가진 개발자의 컴퓨터에 침투하는 소셜 엔지니어링을 동반한 방식으로 이루어졌다. 이번 사건은 블록체인 자체의 보안만으로는 충분하지 않으며, 개발 환경, 클라우드 인프라, 그리고 사용자 인터페이스까지 포함하는 포괄적인 보안 규범과 모니터링이 필요함을 시사한다.
2.1 해킹 이후 세이프 팀의 대응
역사상 최대 규모의 암호화폐 해킹 사태가 발생한 이후, 사람들의 관심은 자연스럽게 Safe가 어떻게 대응할 것인지로 쏠렸다. 해당 사건은 세이프의 핵심 프로토콜이나 스마트 컨트랙트의 취약점이 아닌, 개발자의 장비 침투와 인프라에 대한 접근을 통해 일어났다는 점에서 세이프 프로토콜이나 지갑의 구조적 안전성 자체를 의심할 만한 사건은 아니었다. 그럼에도 세이프는는 이번 사건을 엄중하게 받아들이고, 투명하고 신속한 대응을 통한 신뢰 회복에 총력을 기울였다.
Source: X(@koeppelmann)
해킹 사건이 발생한 직후, 세이프 팀은 즉각적으로 Safe{Wallet} 인터페이스와 연관된 네트워크 및 서비스를 중단하고 긴급 조사에 착수했다. 그들은 구글 클라우드의 보안 전문 기업인 Mandiant와 협력하여 해킹의 원인과 경로를 추적했으며, 지난 7일 그 결과를 투명하게 공개했다. 해킹 이후 Safe{Wallet}이 취한 주요 보안 강화 조치는 다음과 같다:
전체 인프라 초기화: 모든 인증 정보 교체, 클러스터 재설정, 키 및 비밀 정보 교체, 새로운 개발자 장비 제공, 빌드 업데이트 및 컨테이너 이미지 재배포
외부 접근 제한: 트랜잭션 서비스에 대한 외부 접근을 일시적으로 제한하고 내부 통신만 허용. 추가로 외부 서비스에 대한 방화벽 규칙 강화
악성 트랜잭션 감지 개선: Blockaid와 협력하여 악성 트랜잭션 감지 시스템을 업그레이드하고, Safe 계정의 마스터 컨트롤 업그레이드에 대한 위험 표시를 추가
실시간 모니터링 강화: 모든 계층에서 로깅 및 실시간 위협 감지 강화로 가시성 향상 및 대응 시간 단축
대기 트랜잭션 초기화: 잠재적 보안 위험을 방지하기 위해 데이터베이스의 모든 대기 중인 트랜잭션을 제거
UI 개선: Safe{Wallet}은 트랜잭션 해시를 독립적으로 확인할 수 있는 "Safe Utils"이라는 검증 도구를 도입했음, 추후 IPFS에 호스팅 된 버전의 Safe{Wallet} 프론트엔드 또한 제공 계획
이외에도 다양한 저수준의 보안 강화 조치가 이루어졌으나, 악성 해커에게 내부 인프라에 대한 정보를 과다 노출하지 않기 위해 구체적으로 밝히지 않고 있음을 알렸다.
Source: Methods to Access Your Safe Account Onchain
또한 세이프의 오픈소스 중심 철학과 다양한 접근 인터페이스를 구축해온 전략은 위기 상황에서 진가를 발휘했다. 공격의 주요 루트로 작용했던 Safe{Wallet}에 대한 복구가 이뤄지는 동안에도, 사용자는 다양한 대안 인터페이스를 통해 자신의 자산에 즉시 접근할 수 있었고, 이는 뱅크런이나 사용자 우려를 증폭시키는 것을 방지하는 데 큰 역할을 했다. 앞서 보안 개선 조치에서 밝힌 바와 같이, 향후 자체적으로 제공하는 인터페이스 이외에도 IPFS에 호스팅 된 인터페이스 또한 공식적으로 제공할 예정이며, 민감도가 높은 사용자는 로컬 환경에서 동작하는 Safe CLI 또한 적절한 대안이 될 수 있다.
일시적인 서비스 중단 조치 이후, Safe{Wallet}은 보안성을 최우선으로 고려하며 단계적으로 각 네트워크와의 연결을 복구해나갔고, 해킹 발생 후 2주 만에 모든 네트워크 연결을 완전히 복구하는 성과를 이루어냈다. 해킹 사건 발생 이후 조사 및 복구 과정에서 세이프 팀은 사용자들에게 상황을 지속적으로 업데이트하며 소통을 유지했을 뿐 아니라, 다각적인 위험 대응 방안을 도입함으로써 사용자 신뢰를 유지하기 위한 각고의 노력을 기울였다.
2.2 바이빗 해킹 이후 세이프 사용자 변화
Source: Safe across chains (Dune Analytics)
세이프의 예치 금액(TVL)은 해킹 발생 이전인 $72B에서 현재는 $55B 수준으로 약 25% 가량 감소해 작년 중순 경의 금액 수준으로 회귀했다. 하지만 3월에 들어서면서 이더리움 가격이 지난 달 대비 28% 가량 감소하는 등 전체 암호화폐 시장의 가치 하락 및 전반적인 온체인 활동 감소 수준을 고려할 때 대대적인 사용자와 자금 이탈 보다는 시장 침체에 따른 자연스러운 감소 수준으로 볼 수 있다.
Source: Safe TVP (Dune Analytics)
세이프 지갑의 입출금 동향을 보면 해킹이 발생했던 2025년 2월에 비교적 큰 순유출이 발생했다. 지난 달에는 총 입금액 276억 달러 및 총 출금액 352억 달러를 기록해, 세이프 지갑으로부터 약 75억 달러의 순 유출이 일어났다. 이는 해킹 이전 세이프의 전체 예치량의 10%에 달하는 수치이다. 하지만 일시적이었던 자금 유출 증가세 또한 세이프 팀의 적극적인 대응 및 보안 조치, 그리고 바이빗의 탈취 자금 복구 노력 등이 이루어지면서, 3월 들어서부터는 비교적 정상화된 것으로 보인다. 작성 시점 기준, 3월 이후 일어난 순 유출 금액은 11억 달러 가량으로, 평년 수준에 그치고 있다.
Source: Safe TVP (Dune Analytics)
하지만 이번 해킹의 핵심 경로였던 Safe{Wallet} 인터페이스는 해킹 이후 사용 비중이 크게 감소한 것으로 나타났다. 일반적으로 전체 세이프 트랜잭션 중에서 적게는 40%에서 많게는 70% 가량을 차지하던 Safe{Wallet}의 사용 비중이 작성 시점 기준 3월 거래량에서 3% 수준으로 급락한 양상을 보이고 있다. 해킹 직후 이번 7일 모든 체인에 대한 복구가 완료되기 까지 Safe{Wallet}의 사용이 제한되었던 데다가, 인터페이스에 대한 우려가 점유율 감소에 기여한 것으로 보인다.
앞서 해킹 분석 결과에서 설명했듯이, 공격자들은 Safe{Wallet}의 인터페이스를 통해 사용자들이 보는 화면과 실제 실행되는 트랜잭션 사이에 불일치를 만들어냈다. 비록 이번 공격이 바이빗의 특정 주소를 타겟팅했지만, 동일한 방식으로 Safe{Wallet}을 사용하는 어떤 사용자도 공격받을 가능성이 있었다는 점이 사용자들의 우려를 증폭시켰다. 결국 사용자들은 세이프의 핵심 기술은 계속 신뢰하면서도, 웹 인터페이스라는 접점에 대해서는 더 신중한 접근을 취하고 있는 것으로 풀이된다.
3.1 최대 규모의 해킹 사건으로부터의 교훈
바이빗 해킹 사건은 크립토 역사상 최대 규모의 자금 탈취로 기록되었지만, 동시에 블록체인 업계 전체가 보안에 대한 인식을 재정립하는 분수령이 되었다. 특히 이번 사건은 산업 전체 참여자에게 블록체인 기술 자체만으로는 완벽한 보안을 보장할 수 없으며, 개발 환경, 인프라, 사용자 인터페이스, 그리고 인적 요소에 이르기까지 총체적인 보안 접근법이 필요하다는 교훈을 남겼다.
특히나 세이프의 코어 프로토콜이 아닌, 개발자 장비와 AWS 인프라 침투를 통해 이루어진 이번 해킹은 블록체인 보안이 코드 감사만으로는 충분하지 않다는 점을 명확히 보여주었다. 아무리 완벽한 감사가 이루어진 스마트 컨트랙트라도 인프라와 인적 요소가 취약하다면 보안 체인은 끊어질 수밖에 없다. 따라서 디지털 자산을 다루는 모든 조직에게는 전체 기술 스택에 걸쳐 엄격한 보안 프로토콜을 구현하는 것이 필수적임을 의미한다.
최근 A16Z에서 내놓은 바이빗 해킹 분석에서는 대량의 디지털 자산을 관리하는 조직이 고려할 수 있는 다양한 보안 원칙들을 소개했다:
분산화(Decentralize) - 단일 보안 시스템에 의존하기보다 여러 독립적인 시스템과 기관에 책임과 검증 프로세스를 분산시켜야 한다. 이러한 접근 방식은 다양한 기술적, 조직적 경계에 걸쳐 확장된 멀티시그 지갑과 같이 기능하며, 공격을 훨씬 더 어렵게 만든다.
구획화(Compartmentalize) - 대량의 자산을 보관하는 지갑을 격리하고 여러 지갑에 자금을 분산함으로써 단일 침해로 인한 잠재적 손실을 제한할 수 있다. 이는 공격자가 성공적으로 한 보안 계층을 침해하더라도 치명적인 단일 지점 장애를 방지한다.
정적 인터페이스(Static Interfaces) - 외부 소스에서 코드를 가져올 수 없는 인터페이스의 로컬 사본을 사용하면 Safe{Wallet}을 손상시킨 것과 같은 유형의 공격으로부터 보호할 수 있다. 여기에는 로컬 배포, 브라우저 확장 프로그램 또는 비즈니스 운영과 완전히 분리된 장치의 애플리케이션이 포함될 수 있다.
최소화(Minimize) - 상당한 자산을 관리하는 장치의 경우, 불필요한 기능과 애플리케이션을 제거하면 공격 표면이 크게 줄어든다. 수십억 달러 규모의 거래에 서명하는 장치는 해당 기능에 필요한 최소한의 소프트웨어만 포함해야 한다.
분리(Decouple) - 높은 수준의 보안을 요구하는 시스템과 일상적인 기술 환경 사이의 완전한 분리를 유지하면 교차 오염을 방지할 수 있다. 북한의 공격자들은 공유된 연결이 있는 환경 간의 연결 고리를 찾는 데 능숙하기 때문에, 중요한 자산을 보유한 경우 이러한 분리가 더욱 중요해진다.
3.2 세이프의 미래
이번 사건은 지난 2017년 처음 공개된 이후, 한 차례도 해킹된 전적이 없던 Safe{Wallet} 및 모든 세이프의 서비스에 대해 브랜드와 사용자 신뢰도를 훼손할 만큼 치명적인 사건임에 분명했다. 하지만 대규모 해킹 사건에도 불구하고, 대규모 사용자 이탈이나 뱅크런이 발생하지 않은 것은 그들이 지난 시간 동안 크립토 시장 내에서 구축한 탄탄한 브랜드와 독보적인 지위를 때문이다.
세이프는 멀티시그 지갑 솔루션으로서 사실 상 독점적인 지위를 구축하고 있으며, 실질적인 경쟁자를 찾기 어려울 정도의 높은 신뢰도와 제품 완성도를 구축하고 있었다. 다른 멀티시그 지갑이 존재하기는 하나, 세이프만큼의 기능성과 사용자 경험, 생태계 호환성을 갖춘 대안을 찾기 어려운 상황이 세이프의 입지가 여전히 공고하다는 것을 방증하고 있다.
Source: Smart Accounts Landscape (Dune Analytics)
결국 세이프에게 이번 사건은 분명 큰 도전이었지만, 그들의 신속하고 투명한 대응은 위기를 기회로 전환할 수 있는 가능성을 보여주었다. 특히 Safe가 오랜 시간 구축해온 오픈소스 중심의 철학과 분산화된 접근 방식은 위기 상황에서도 탄탄한 보호막으로 작용했다.
세이프를 비롯한 크립토 업계 전체가 이번 사건에서 얻은 교훈을 바탕으로 더 강력한 보안 체계를 구축해 나가야 할 것이며, 장기적으로 산업 전체의 신뢰도와 안정성을 높이는 촉매제가 될 것으로 기대한다.
