블록체인 데이터 분석 기업 체이널리시스(Chainalysis)가 북한 해커 ‘큐빗’의 해킹 사례를 공개했다.
큐빗(Qubit)는 BNB 체인을 기반으로 구축된 대한민국의 디파이 대출 프로토콜이다. 큐빗은 큐브리지(QBridge)라는 관련 프로토콜을 통해 사용자가 다른 체인의 자산을 BNB 체인으로 이동하지 않고도 큐빗에서 빌릴 수 있도록 한다. 사용자는 담보로 잡고 싶은 자산을 해당 자산의 체인에 있는 큐브리지 스마트 계약으로 보내고, 큐브리지는 BNB 체인에 해당 자산을 생성한다.
많은 크로스 체인 브리지 해킹 사건과 유사하게 해커들은 큐브리지를 관리하는 코드에서 취약점을 발견했고, 큐브리지의 보유 자산 중 약 8000만 달러(약 1000억 원) 상당의 자금이 유출돼 2022년 한국 최대의 가상자산 탈취가 이뤄졌다. 체이널리시스는 이번 공격이 2022년에 다른 많은 대규모 디파이 해킹과 마찬가지로 북한과 연계된 해커들의 소행이라는 것을 공개했다.
큐빗 해커들은 이더리움 블록체인에서 브리징 된 이더리움을 나타내는 자산 ‘qXETH’를 이더리움 예치 없이 큐브리지에서 무제한으로 발행했다. 해커들은 도난 당시 프로토콜이 보유한 약 8000만 달러 상당의 자산(대부분 BNB 코인과 몇 개의 BEP-20 토큰)을 빌리기 위해 무제한 발행한 qXETH를 담보로 사용한 후 그 자금들을 이더리움 블록체인에 연결했다.
자금을 BNB 체인에서 이더리움으로 연결한 이후, 북한 해커들은 그 당시에 자주 쓰던 자금 세탁 수법을 사용했다. 탈취 자금은 토네이도 캐시 믹서(Tornado Cash)로 보내졌다. 이 활동은 체이널리시스 블록체인 분석 툴인 리액터(Reactor), 스토리라인(Storyline)을 통해 확인됐다.
해커들은 토네이도 캐시에서 믹싱된 이더리움을 받았고, 그중 일부를 탈중앙화 거래소로 보내 다른 ERC-20 토큰으로 교환 후 나머지는 다양한 중앙화 거래소의 예금 주소로 이동시켰다. 이러한 큐빗 해킹은 전형적인 북한 해킹 전략을 보여준다. 디파이 프로토콜에서 자금을 탈취해 자금 동결이 불가능한 블록체인에 연결하고 믹싱한 후 중앙화 거래소로 이동시키는 과정을 말한다. 큐빗 해킹의 경우 체이널리시스는 국가정보원 산하 국제범죄정보센터(TCIC)와 협력해 도난당한 자금을 추적할 수 있었다.
북한 해커는 특유의 치밀함으로 가상자산 생태계에 중대한 위협이 되고 있지만 사법 기관과 국가안보기관의 대응 능력 역시 시간이 갈수록 향상되고 있다. 일례로 작년에는 북한 해커들이 액시 인피니티 로닌 브리지(Axie Infinity Ronin Bridge) 해킹 피해액 중 3000만 달러 (약 368억 4900만 원) 상당의 가상자산을 회수한 사례를 들 수 있다.
체이널리시스는 모든 거래가 온체인에 기록되고 수정할 수 없는 등 블록체인의 고유한 투명성 덕분에 앞으로 가상자산 회수와 같은 사례가 더 많이 나올 것이라 예상한다. OFAC와 같은 수사기관이 자금 세탁 서비스를 가상자산 생태계에서 차단하려는 노력과 더불어 이들의 역량이 강화된다면, 가상자산 해킹은 해가 갈수록 더 성공하기 어려워질 것으로 보인다.
백용기 체이널리시스 한국 지사장은 “체이널리시스는 국가정보원 산하 국제범죄정보센터와 함께 큐빗 해킹 사례를 분석하고 추적했으며 향후 더 많은 해킹 사례를 수사할 수 있도록 긴밀한 협력을 계속할 것이다. 앞으로도 블록체인의 고유한 투명성을 통한 가상자산 시장의 신뢰 재건을 위해 최선을 다하겠다”고 말했다.
