바이낸스 해킹 사태를 보며

2019년 5월 8일 새벽2시(한국시간), 세계 탑 거래소라 자청하는 바이낸스가 해킹 당했다

해킹이지만 제목에 해킹이라는 단어를 언급하고 싶지 않다.

약 7,000BTC (=4000만달러)가 한 순간에 빠져나간 것.

공지글의 트랜잭션이 바로 탈취당하는 순간. 한국 시간으로 2019-05-08 새벽 2시쯤이다. 트랜잭션을 보면 7000BTC 정도가 500~600BTC씩 나눠져서 한방에 탈취당하고 있다. https://www.blockchain.com/ko/btc/tx/e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea

 

해킹에 대한 대응은 꽤 빠르다. 바이낸스 수장인 CZ는 트위터와 공지사항을 통해 모두를 진정시킨다. "코인은 탈취됐다. 하지만 우리는 돈 많으니까 우리가 전액 배상할께. 고객의 돈은 안전합니다"

 

 

찾아보면 최근 2018년 7월에 비슷한 해킹 사건이 있었다. 일명 시스코인 떡상 사건

https://xbt.net/blog/binance-potentially-hacked-for-45-million-announces-unplanned-maintenance-updated/

https://www.sosolab.co.kr/2472/

 

간단하게 요약하면 해커가 사용자 API들이 탈취함 → 해커가 가격이 0.0001BTC도 안하는 SYS코인을 1.1 BTC등에 올려놓고, 다른 탈취한 API를 이용해 해당 코인을 구매하게 함 (SYS코인이 워낙 듣보에 거래량이 없어서 가능, 1 SYS에 96 BTC씩 11개까지 팔렸음) → 그렇게 마련한 BTC를 들고 유유히 사라짐

역사의 산증인 한국인

 

우연찮게 당시에 탈취당한 코인도 7000 BTC 상당이다.

https://www.blockchain.com/btc/tx/fa3de35c24c218bdc09b487c44e217d8c32eb02e6ce46ead4af2f2abbaa8238a

 

이때 해킹도 정확하게 원인과 결과는 해명이 안된 것으로 알고 있다. API 탈취가 개인에게서 되었는지, 아니면 거래소에서 되었는지. 10000배 가까이 주문이 들어가는 자체는 거래소의 문제일 수 있지만, 어쨌건 API 탈취가 어떻게 되었는지가 제일 중요할텐데 말이다. 원인은 우주로 떠난 채... 고가로 SYS를 구매하게 된 사용자에게는 열흘 가량 수수료를 공짜로 해주는 파격적인 이벤트를 단행하면서, 투자자 보호 기금(일명 SAFU)를 탄생시킨다.

투자자 보호 기금 = SAFU

SAFU는 Secure Asset Fund for Users라는 말로, 바이낸스가 얻은 수수료 수익 중 10%를 떼어 향후 있을 사고가 발생할 때 사용하기 위한 기금이다. 닥터스트레인지는 저리가라

일부러 SAFE와 비슷한 발음?

본문을 보면 SAFU와 관련 고컬 밈도 있다.

https://www.youtube.com/watch?v=DelF6zEHXpE

세상은 넓고 능력자는 많다

 

돈으로 때우겠다는 CZ에 돈 모자라면 얘기하라는 Justin까지 쿵짝을 하며, 떨어졌던 코인 가격들은 실제로 빠르게 회복이 되고 만다.

바이낸스 텔방에 구경가니 SAFU 밈을 올리며 놀고 있다.

FUNDS ARE SAFU

사실 FUD나 강한 의문을 제기하는 사람도 있었는데, 심하면 (심했나?) 종종 Ban을 당하게 된다.

고퀄 밈의 향연

해킹에 대한 정확한 해명은 아직 없다. 바이낸스 자기네도 아직 모를 것이다. 물론 어느정도 알게 되겠지만 일반에게 알려주지는 않겠지. 그럴 필요는 없으니. 현재는 고객 돈 안전하니 딴소리 하지 말라는 입장이다. 하지만 뭔가 구린건 사실이다.

 

---

 

바이낸스가 핫 월렛의 프라이빗키를 탈취당한 것은 아니다. 해커가 프라이빗키를 탈취했으면 그냥 자기PC에서 천천히 모든 BTC를 한꺼번에 이체하면 된다. 확실히 다수의 API, 2FA의 정보를 이용하여 최대한 정상적인 방법으로 빠르게 인출하려고 한 것처럼 보인다. 트랜잭션을 보면 100BTC씩 70여개의 트랜잭션을 한 블럭에 담았다.

https://www.blockchain.com/ko/btc/tx/e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea

100BTC는 신원인증(보통 여권)을 하면 얻을 수 있는 일일 출금 한도이다.

즉, 순간적으로 다수의 계정의 여러 API를 통해 각 계정에서 100BTC 인출한 것이라는 생각이 든다. 일반적인 시스템이라면 문제가 되지 않는다. 그러나 다행히 거액의 자금을 한번에 인출한 부분으로 장치를 한 것 같다. 어쨌건 저 트랜잭션으로 7000 BTC가 인출되었다. 다행히 추가 BTC 인출은 없는 것으로 보이지만.

 

개인적으로 해커가 바이낸스 서버의 중요한 곳(DB)까지 접근했을 것으로 뇌피하고 있다.

• BTC로 100BTC 이상을 가진 계정이 얼마나 될까? 아무리 바이낸스가 대형 거래소에 고래가 많아도 100BTC는 적은 자산이 아니며, 100BTC를 가진 고객은 전체 고객에 비해 훨씬 적다. 자산의 분포도는 반비례 곡선을 그린다.

거래소 내의 거지와 고래의 분포도

• 100BTC 이상인 고객의 정보만 해킹해서 탈취하는 것 보다 전체 고객 정보를 해킹해서 탈취하고 고 자산 계정만 걸러내는 것이 쉽다.
• 개인 계정을 해킹하는 것은 거래소를 해킹하는 것 보다는 쉬우나, 저렇게 대량으로 해킹할 수 없다.
• 개인 계정 해킹이라면 거래소가 빠르게 해킹을 인정하고 보상안을 마련할 리 없다.
• DB에 접근했다고 생각하지만 DB를 가공/변조한다고 생각하지는 않는다. 정합성 있게 가공/변조할 수 없을 뿐더러, 여러 로그가 남기기 때문에 실패하고 추적당할 확률이 훨씬 높다.
• 대신 API, 2FA등의 정보를 탈취했을 것으로 보인다. 바낸에선 몇시간 후 (저번 해킹때 처럼) API를 모두 초기화시켜버렸다.
  https://binance.zendesk.com/hc/en-us/articles/360027851252-Security-Update-API-Key-Reset

 

• 과연 7000 BTC만 탈취하려 했을까? 해당 핫월렛에는 3000~4000BTC정도가 더 있었다. 아마 긴 탈취 스크립트를 실행하는 중에 어 어떤 장치에 걸려 제지당했을 것 같다. 그런 장치가 아니면 다른 코인들도 출금되지 않았을까 하는 생각까지 든다. (다른 코인들은 아직 확인된 것이 없음)

해킹 사건이 지나고 24시간쯤 지난 지금은 가격도 안정이 되고 BTC도 6000USD를 향해 순항중이다. 나도 코인이 오르는게 좋다. 하지만 구린건 구린거고, 조사한게 아까워서 글로 남겨본다.