탈중앙화 거래소 ‘밸런서 해킹’에 1억달러 증발…“北 라자루스와 비슷”

올해 가장 정교한 디파이 해킹
수개월간 소액 입금 반복해 흔적 지워
토네이도캐시로 100ETH 세탁
北 라자루스 닮은 장기잠복형 공격
디파이 보안, 실시간 감시 없인 한계

5일 코인마켓캡에 따르면 시가총액 상위 10대 암호화폐들이 탈중앙화 거래소(DEX) 밸런서에서 지난 3일 발생한 1억2800만달러(약 1850억원) 규모의 해킹 사건에 일제히 약세를 보이고 있다. [출처=코인마켓캡]

지난 3일 탈중앙화 거래소(DEX) 밸런서(Balancer)에서 발생한 1억2800만달러(약 1850억원) 규모의 디파이(탈중앙화금융·DeFi) 해킹 사건이 발생하며 주요 암호화폐 가격이 급락한 가운데 해킹 수법이 북한 해커집단 ‘라자루스’와 비슷하다는 분석이 나오고 있다.

5일 코인마켓캡에 따르면 밸런서 해킹 소식이 전해진 뒤 비트코인(BTC)은 전일 대비 4.6% 급락한 10만1000달러선에서, 이더리움(ETH)은 8.9% 내린 3254달러선에서 거래되고 있다.

블록체인 분석에 따르면, 공격자는 수개월간 준비하며 흔적을 남기지 않기 위해 토네이도캐시를 통해 0.1이더리움(ETH) 단위로 소액을 지속 입금하고, 이전 해킹에서 사용된 자금을 재활용한 것으로 나타났다.

이날 미국 최대 가상자산 거래소 코인베이스의 코너 그로간 이사는 자신의 엑스(X)에 “100 ETH가 토네이도캐시 스마트컨트랙트에 예치돼 있었고, 이는 과거 해킹 자금과 연결됐을 가능성이 높다”며 “이 정도 대규모 금액을 믹서에 보관하는 건 전문가의 전형적인 행위”라고 분석했다.

그는 “이 해커는 100ETH(약 3억3천만원)를 토네이도캐시에 장기간 보관하며, 추적 회피용으로 분할 송금했다”며 “최근 토네이도캐시에 100ETH 규모 신규 입금이 없었던 점을 고려하면 과거 해킹 자금을 재활용했을 가능성이 높다”고 덧붙였다.

이날 밸런서 측은 성명을 내고 “문제 원인을 파악 중이며, 자금 회수를 위해 공격자에게 20%의 화이트해커 보상(white hat bounty)을 제안했다”고 밝혔다.

블록체인 분석업체 체이널리시스(Chainalysis)가 발표한 연도별 암호화폐를 겨냥한 해킹 건수와 해킹으로 탈취 당한 암호화폐의 총 가치. [자료=체이널리시스]

블록체인 보안업체 사이버스(Cyvers)의 데디 라비드 최고경영자(CEO)는 이번 사건을 “2025년 들어 가장 정교하고 체계적인 공격”으로 평가했다.

그는 “공격자는 단순한 스마트계약 코드의 취약점이 아니라 운영 거버넌스의 접근제어 허점을 이용해 직접 잔액을 조작했다”며 “정적 코드 감사는 더 이상 충분치 않으며, 실시간 모니터링과 이상거래 탐지 시스템이 필수임을 보여준 사례”라고 강조했다.

이번 사건의 준비 과정은 과거 북한 라자루스(Lazarus) 그룹의 장기 잠복 전략과도 유사하다는 분석이 나온다.

블록체인 분석업체 체이널리시스(Chainalysis)에 따르면 라자루스는 지난해 하반기 한동안 공격 활동을 멈춘 뒤, 1조 9000억원 규모의 글로벌 주요 가상자산 거래소 중 한 곳인 바이비트 해킹을 단행한 바 있다. 체이널리시스의 에릭 자르딘 리드는 “수개월간의 ‘정적기’는 목표 선정과 인프라 점검 과정으로 보인다”고 밝혔다.

라자루스는 올해 초 탈취 자금을 디파이 크로스체인 프로토콜 ‘토르체인’을 통해 열흘 만에 전량 세탁한 것으로 나타났다. 이번 밸런서 공격에서도 유사한 세탁 경로가 활용될 가능성이 제기된다.

보안 전문가들은 이번 사태를 디파이 인프라의 ‘거버넌스 보안’ 전환점으로 보고 있다.

전문가들은 “스마트계약의 기술적 취약점보다 운영자 접근권한, 관리자 키 관리, 트랜잭션 승인 절차 등 거버넌스 구조가 더 큰 문제”라며 “AI 기반 탐지 시스템이나 L2(레이어2) 실시간 분석 모듈을 의무화해야 한다”고 입을 모았다.