2023년 가장 큰 암호화폐 해킹 및 사기 10가지
암호화폐 시장이 형성된 이래, 사이버 범죄자들은 탈중앙화된 디지털 자산을 악용하여 투자자와 기업을 속이는 다양한 방법을 모색해 왔습니다. 2023년 한 해 동안 암호화폐 관련 해킹 및 사기 사건이 끊임없이 발생하며, 수억 달러 상당의 암호화폐 자산이 불법적으로 탈취되었습니다. 언론 헤드라인을 장식한 몇몇 주목할 만한 절도 사건은 개인 투자자는 물론 관련 플랫폼들의 자금에도 심각한 타격을 입혔습니다.
이제 2023년에 발생한 가장 큰 규모의 암호화폐 해킹 사건들을 자세히 살펴보겠습니다.
1. 오일러 파이낸스 해킹 사건
2023년 3월, 오일러 파이낸스(Euler Finance)는 대규모 해킹 공격을 받아 플랫폼에서 약 2억 달러에 달하는 암호화폐를 도난당하는 사건이 발생하여 암호화폐 업계 전체에 큰 파장을 일으켰습니다.
해킹 사실은 PeckShield라는 보안 회사가 X(이전 트위터)에 올린 게시물을 통해 처음 알려졌습니다. 해당 게시물에서 PeckShield는 오일러 파이낸스 측에 비정상적으로 의심스러운 다수의 거래 내역을 확인해 볼 필요가 있다는 메시지를 전달했습니다. 그 결과, 이러한 거래들이 대규모 해킹 공격의 결과였으며, 약 1억 9,700만 달러 상당의 암호화폐가 도난당했다는 사실이 밝혀졌습니다.
하지만 놀랍게도, 해킹을 주도한 범인은 해킹 발생 후 불과 몇 주 만에 훔친 자금을 다시 반환했습니다. 더욱 흥미로운 사실은 반환 과정에서 범인이 이더스캔에서 볼 수 있듯이 반환 거래 중 하나에 사과 메시지를 함께 첨부했다는 점입니다.
2. 믹스인(Mixin) 정보 유출 사건
2023년 9월, 암호화폐 플랫폼 믹스인(Mixin)도 해커들의 공격을 받아 약 2억 달러 상당의 암호화폐를 도난당하며 오일러 파이낸스와 비슷한 불운을 겪었습니다. 이번 공격은 믹스인의 클라우드 서비스 제공 업체의 데이터 유출을 통해 발생했습니다. 믹스인은 해킹 사실을 X 게시물을 통해 발표했으며, 한 사용자는 해당 공격으로 인해 10만 달러의 손실을 입었다고 주장했습니다.
현재까지 믹스인은 공격자를 추적하거나 도난당한 자금을 회수하지 못하고 있습니다. 하지만 믹스인 측은 모든 사용자에게 손실된 자산의 절반을 보상할 것이라고 약속했습니다.
3. 코인스페이드 피싱 사기
피싱 공격은 사이버 범죄자들이 사용하는 대표적인 사회 공학적 기법 중 하나이며, 암호화폐 업계에도 많은 피해를 입히고 있습니다. 2023년 8월에는 암호화폐 결제 처리업체인 코인스페이드(CoinsPaid)가 가짜 채용 제안을 통해 직원을 유인하는 악의적인 공격으로 인해 3,700만 달러 상당의 암호화폐가 탈취되는 사건을 겪었습니다.
해당 공격에서, 직원들은 가짜 고용주의 인터뷰 과정의 일환으로 테스트를 받는다는 명목 하에 악성 코드를 설치하게 되었습니다. 이후 이 악성 코드는 코인스페이드의 내부 인프라를 해킹하는 데 사용되었고, 결과적으로 공격자는 수백만 달러 상당의 암호화폐 자금에 접근할 수 있게 되었습니다. 라자루스(Lazarus) 해킹 그룹이 해당 해킹에 연루되었다는 의혹이 제기되었으나 아직 확인되지는 않았으며, 코인스페이드 측은 현재까지 도난당한 자금을 회수하지 못하고 있습니다.
4. 아토믹 월렛 해킹
이미지 출처: CryptoWallet.com 이미지/플리커
인기 있는 소프트웨어 암호화폐 지갑 제공업체인 아토믹 월렛(Atomic Wallet)은 2023년 6월에 발생한 1억 달러 규모의 해킹으로 인해 5,000개 이상의 사용자 계정이 공격을 받았습니다. 일부 사용자들은 자금의 일부를 도난당했고, 어떤 사용자들은 지갑 전체가 비워지기도 했습니다. 해킹이 어떻게 발생했는지에 대한 정확한 원인은 아직 밝혀지지 않고 있습니다.
초기에 라자루스 해킹 그룹이 이번 공격의 배후로 지목되었으나, 우크라이나 해킹 그룹이 잠재적 가해자로 부상하면서 상황이 바뀌기 시작했습니다.
2023년 8월, 아토믹 월렛은 도난당한 자금과 관련하여 상당한 투자자들로부터 집단 소송에 직면하게 되었습니다. 아토믹 월렛이 해킹으로 인해 법적 책임을 지게 될지는 아직 미지수이며, 영향을 받은 사용자들이 적절한 보상을 받게 될지도 지켜봐야 할 부분입니다.
5. 커브 파이낸스 해킹
2023년 7월 말, 커브 파이낸스(Curve Finance)는 사이버 공격을 받아 6천만 달러 이상의 암호화폐를 도난당했습니다. 이번 공격은 사용자들이 스테이블 코인을 예치한 커브 파이낸스의 유동성 풀을 표적으로 삼았습니다. 커브 파이낸스가 운영하는 스테이블 코인 풀에는 해커들이 훔친 자금에 접근할 수 있도록 허용하는 코드 취약점이 존재했습니다.
2023년 8월, 커브 파이낸스가 범인에 대한 정보를 제공하는 사람들에게 보상금을 지급하기 시작한 후, 해커들은 도난당한 자금의 일부를 반환했습니다. 화이트 해커들도 자금 일부를 되찾는 데 기여하여, 결과적으로 도난당한 자산의 73%를 회수할 수 있었습니다.
또한 커브 파이낸스는 해킹으로 인해 피해를 입은 사용자들에게 보상하고 도난당한 자금 전체를 상환할 것을 약속했습니다.
6. 트러스트월렛 사기
또 다른 인기 소프트웨어 지갑 제공업체인 트러스트월렛(TrustWallet)은 2023년 9월에 악의적인 공격자들이 피싱 이메일을 통해 사용자들을 공격하기 시작하면서 암호화폐 뉴스 헤드라인을 장식했습니다.
해당 악성 캠페인에서 사이버 범죄자들은 트러스트월렛 직원으로 위장하여 수천 건의 이메일을 사용자들에게 보냈습니다. 이 이메일들은 수신자들에게 지갑을 확인하지 않으면 트러스트월렛 계정이 곧 정지될 것이라는 내용을 알렸습니다. 또한, 확인 페이지에 대한 링크를 제공했지만, 이는 사실상 데이터 유출을 목적으로 설계된 악성 웹 페이지로 연결되었습니다. 해당 웹 페이지에서는 사용자들에게 암호화폐 지갑에 접근하는 데 필요한 중요한 정보인 복구 구문을 입력하도록 요구했습니다.
공격 대상 사용자들이 시드 구문을 입력한 후, 해커들은 트러스트월렛 계정 자금에 접근할 수 있게 되었고, 결과적으로 4천만 달러 이상의 암호화폐가 도난당했습니다.
7. 멀티체인 해킹 또는 러그 풀 의혹
2023년 7월, 암호화폐 뉴스 매체들은 블록체인 연결에 사용되는 크로스체인 프로토콜인 멀티체인(MultiChain)에서 발생한 해킹 또는 러그 풀(rug pull) 가능성에 대한 보도를 시작했습니다. 멀티체인에서 총 1억 2,500만 달러가 여러 건의 거래를 통해 유출되면서 의혹이 걷잡을 수 없이 커졌습니다.
이번 사건은 내부자의 소행으로 추정되며, 플랫폼의 CEO인 자오준(Zhaojun)은 자금 인출 사건이 발생한 지 얼마 지나지 않아 중국 당국에 체포되었습니다. 체포 과정에서 CEO의 휴대폰, 컴퓨터, 하드웨어 지갑 등 다양한 기기가 압수되었습니다. 더불어 자오준이 체포된 후 그의 여동생 또한 사건에 연루된 혐의로 경찰에 구금되었습니다.
해킹 혹은 러그 풀 의혹 발생 후 멀티체인은 운영을 중단했습니다. 회사 측은 X 게시물을 통해 폐쇄에 이르게 된 일련의 사건들을 상세하게 설명했습니다.
8. 라스트패스 데이터 유출 사건
라스트패스(LastPass)는 데이터 유출 사건에 익숙한 기업입니다. 2023년에는 이 비밀번호 관리자에게 더 많은 문제가 발생했습니다. 많은 사용자들이 라스트패스를 이용하여 암호화폐 거래소 로그인 정보, 개인 키, 암호화폐 지갑 시드 문구 등 다양한 민감한 정보를 저장합니다. 라스트패스에 저장된 귀중한 정보 때문에 라스트패스는 사이버 범죄자들의 반복적인 공격 대상이 되어왔습니다.
2023년 10월, 1년 전에 발생한 라스트패스 유출 사건으로 인해 440만 달러 상당의 암호화폐가 도난당했습니다. 자금을 훔치기 위해 여러 개의 시드 문구와 비밀번호가 사용되었으며, 이 모든 정보가 라스트패스에 저장되어 있었습니다. 2022년 유출 사건으로 인해 데이터가 도난당한 25명 이상의 사용자들이 추가적인 피해를 입었으며, 그 손실액은 여전히 상당한 수준입니다.
9. 스테이크 해킹
논란의 여지가 있지만, 인기 암호화폐 도박 플랫폼인 스테이크(Stake)는 2023년 9월에 발생한 해킹으로 인해 총 4,100만 달러의 피해를 입었습니다. 이번 해킹에서는 사용자의 암호화폐 핫월렛이 공격 목표가 되었으며, 이더리움, 다이 등 다양한 자산이 도난당했습니다. 모든 자금은 해커 소유로 추정되는 단일 지갑 주소로 이체되었습니다. 그곳에서 자금은 여러 개의 다른 지갑으로 다시 전송되어 추적이 더욱 어려워졌습니다.
북한 해커들이 이번 사건과 연루되었다는 의혹이 꾸준히 제기되었습니다. FBI가 라자루스(Lazarus) 해킹 그룹을 이번 사건의 배후로 지목하면서 의혹은 사실로 확인되었습니다. 많은 암호화폐 해킹 사건과 마찬가지로, 도난당한 자금은 아직 찾거나 회수하지 못한 상황입니다.
10. 코인엑스 해킹
해커가 사용자의 핫월렛에 대한 여러 개의 개인 키에 접근한 후, 2023년 9월 코인엑스(CoinEx) 암호화폐 거래소에서 충격적인 7천만 달러 상당의 암호화폐가 도난당했습니다.
이번 공격으로 총 5,400만 달러 상당의 암호화폐가 도난당했으며, 이 중 이더리움 5,000개가 대량으로 전송되어 의혹을 불러일으키기도 했습니다. 그 외에도 비트코인 231개, 비트코인 캐시 2,220개, 솔라나 135,600개 등 다양한 자산이 도난당했습니다. 코인엑스 콜드 지갑은 영향을 받지 않았지만, 공격자들은 여전히 상당한 금액을 탈취했으며, 이 자금들은 현재까지 회수되지 못했습니다.
과거 여러 차례의 공격에 연루된 것으로 알려진 라자루스 해킹 그룹이 이번 해킹 사건의 배후로 지목되는 것은 놀라운 일이 아닙니다.
암호화폐 해킹은 끝나지 않는다.
지난 10년 동안 수십억 달러 상당의 암호화폐가 도난당한 상황에서 암호화폐 기반 사기 및 해킹이 단기간 내에 사라질 가능성은 매우 낮습니다. 사이버 범죄자들의 수법은 점점 더 정교해지고 있으며, 보안이 취약한 플랫폼과 경험이 부족한 투자자들은 쉽게 표적이 되고 있습니다.