오르빗 공격도 北 소행? 반복되는 브릿지 해킹

8150만달러어치 가상자산 탈취돼
北해킹그룹 '라자루스' 도구·패턴 사용

국내 대표 크로스체인 플랫폼인 오르빗 브릿지가 연초부터 1000억원 규모의 해킹 피해를 입었다. 다수의 보안기업에서 오르빗 브릿지 공격의 배후로 북한 해킹조직 '라자루스'를 지목하면서 자산 회수 가능성이 불투명해졌다. 서로 다른 메인넷을 이용하는 가상자산의 이동을 돕는, 일종의 다리 역할을 하는 브릿지는 북한 해커집단의 주 공격 대상이 되고 있다.

예치된 8150만달러어치 자산 털렸다

5일 가상자산업계에 따르면 오르빗 브릿지는 지난 1일(한국시각) 오전 5시52분께 취약점 공격을 받아 8150만달러(1060억원) 규모 가상자산을 탈취당했다. 오르빗 브릿지에 예치된 자산의 45%에 달하는 이더리움(ETH) 9530개, 랩핑된 비트코인(WBTC) 230개, 테더(USDT) 3000만개, 다이(DAI) 1000만개, USD코인(USDC) 1000만개가 탈취됐다.

해커는 오르빗 체인의 이더리움(ETH) 볼트(Vault)를 대상으로 공격했다. 볼트는 오르빗 체인이 자산을 전환하는 과정에서 자산을 예치하는 일종의 금고다.

오르빗 브릿지는 대부분의 브릿지가 사용하는 방식인 '락 앤 민트(Lock and Mint)' 방식을 기반으로 한다.

예를들어 A체인에서 B체인으로 자산을 보내고 싶다면, A체인의 자산을 사용할 수 없도록 묶어두고 B체인으로 동일한 가치로 랩핑(합성)된 자산인 'oA' 토큰을 발행한다. 이때 묶어둔 자산이 예치되는 곳이 볼트다. 'oUSDT(테더)'나 'oETH(이더리움)'은 오르빗브릿지를 거친 합성자산으로, 각각 USDT와 ETH로 다시 돌려받게 된다. 만일 묶어둔 자산이 사라지면 오르빗 브릿지가 발행한 합성자산의 신뢰도 떨어질 수 있다.

이러한 상황에서 오르빗 브릿지와 같은 락앤민트 방식의 크로스체인 브릿지는 해킹의 위험에 놓여 있다. 2022년 잇따라 해킹 피해를 입었던 로닌 브릿지, 웜홀, 노마드, 바이낸스 브릿지가 락앤민트 방식을 활용해 구축된 브릿지였다. 쟁글은 보고서에서 "민팅된 자산은 락업된 자산의 해킹 위협에 노출될 수밖에 없다"면서 위험성을 지적한 바 있다.

오르빗 브릿지와 연계된 국내 블록체인 프로젝트는 부랴부랴 진화에 나섰다. 클레이튼 재단은 "직접적 영향을 받지 않으며 함께 해결책을 모색하겠다"고 밝혔고, 위믹스 재단은 "오르빗 브릿지 재개 시 oWEMIX는 문제없이 위믹스로 전환할 수 있고, 위믹스 달러는 100% 지급을 보장한다"고 말했다.

북한 해킹 가능성 열어두고 추적

오르빗 브릿지를 개발한 오지스는 해킹된 자산을 회수하기 위해 수차례 해커들과 소통을 시도하고 있다. 해커에게 탈취된 가상자산을 보관 중인 지갑주소를 공개하는 한편, 주요 거래소와 소통하며 자산을 현금화할 수 없도록 막고 있다. 현재 해킹된 자산은 모두 현금화되지 않고 잠겨 있다.

다만 해커들과의 협상이 쉽지 않을 가능성도 커지고 있다. 일반적인 해커들이 아닌 북한 해커들의 가상자산을 노린 공격이라는 가능성이 제기됐기 때문이다. 블록체인 리서치 기업 매치시스템스는 보고서를 통해 "오르빗 브릿지를 공격한 해커가 지난해 다른 가상자산 사이버 공격과 비슷하다면서 "'라자루스' 그룹과 관련된 도구와 패턴을 사용한다"고 분석했다.

라자루스그룹은 북한의 지원을 받는 해킹 조직이다. 구글 보안 자회사 맨디언트에 따르면 북한 해킹조직은 기존에 중앙화 거래소(CEX)나 스피어 피싱을 이용하는 대신, 디파이의 취약점을 공략하거나 크로스체인 브릿지를 공격해 가상자산을 탈취하는 방식으로 바뀌어가고 있다. 

라자루스는 기존에도 수차례 크로스체인 브릿지를 공격해 가상자산을 탈취했다. 2022년 호라이즌 브릿지, 엑시 인피니티의 자체 이더리움 사이드체인 로닌 브릿지를 해킹했다.

오지스 관계자는 "다양한 보안업체들의 제보가 이어지고 있고, 북한 해커들의 공격일 가능성을 확인하고 있다"면서 "(공격자의 정체를) 단정할 수는 없으나 계속 추적을 이어나갈 것"이라고 말했다.

편지수 (pjs@bizwatch.co.kr)

ⓒ비즈니스워치의 소중한 저작물입니다. 무단전재와 재배포를 금합니다.