Infini, 5000만 달러 규모의 해킹 피해… 개발자 기만 의혹 제기

스테이블코인 결제 업체 인피니(Infini)가 프로젝트 완료 후에도 관리자 권한을 유지했던 개발자로부터 해킹을 당해 5000만 달러를 잃은 것으로 추정되고 있다.

보안 업체 Cyvers에 따르면, 범인은 인피니(Infini) 프로젝트의 계약 개발자로 참여했으며, 프로젝트 완료 후에도 몰래 관리자 권한을 유지한 것으로 추정된다.

공격자는 암호화폐 믹싱 서비스인 토네이도 캐시(Tornado Cash)에서 1 이더를 받아 해킹에 사용한 지갑에 자금을 조달했다. 이후 2024년 11월에 생성한 스마트 계약을 통해 인피니(Infini)에서 4,952만 달러 상당의 USD코인(USDC)을 이체했다.

USDC는 즉시 동결 기능이 없는 스테이블코인인 다이로 교환되었다. 이후 자금은 17,696 ETH로 변환되었으며, 작성 시점 기준으로 2차 주소로 이동된 상태다.

인피니(Infini) 팀은 출금을 중단하지 않았으며, 창립자 크리스천 리(Christian Li)는 X(구 트위터) 게시글에서 최악의 경우에도 전액 보상할 것이라고 밝혔다. 리는 또한 도난 발생 이후 플랫폼에서 50만 달러 규모의 출금이 이루어졌다고 덧붙였다.

현재 삭제된 트윗에서 인피니(Infini) 팀원인 "크리스틴(Christine)"은 해당 도난 사건의 책임 엔지니어가 확인되어 경찰에 신고되었다고 밝혔다. 그러나 코인텔레그래프(Cointelegraph)가 해당 정보를 확인 요청하자, 그녀는 "아직 조사 중이다"라고 답했다.

인피니(Infini) 해킹, 역대 최대 규모 해킹 사건에 이어 발생

인피니(Infini)에 대한 공격은 암호화폐 거래소 바이비트(Bybit)가 2월 21일 사상 최대 규모의 해킹을 당해 14억 달러 상당의 이더(ETH) 및 관련 토큰을 탈취당한 이후 발생했다.

대규모 공격이 주요 거래소를 대상으로 발생하면서 파산 우려를 불러일으켰다. 그러나 해당 거래소는 출금을 계속 열어두는 드문 전략을 선택했으며, 자금을 회수할 수 없을 경우 손실을 보상하겠다고 다짐했다.

바이비트(Bybit)는 고객 출금에 대한 즉각적인 유동성 수요를 충족시키기 위해 파트너 및 경쟁 거래소로부터 대출을 받았으며, 해당 출금 총액은 DefiLlama 데이터에 따르면 50억 달러를 넘었다.

2월 24일, 바이비트(Bybit) CEO 벤 저우(Ben Zhou)는 거래소가 이더(ETH) 격차를 완전히 메웠다고 발표했다.

온체인 탐정 ZachXBT는 바이비트(Bybit) 공격의 주요 용의자로 북한의 국가 지원 해킹 그룹인 라자루스(Lazarus)를 지목했다. ZachXBT는 바이비트 해커의 지갑을 1월에 펨엑스(Phemex)에서 발생한 공격과 빙엑스(BingX)에 대한 공격에 연결했으며, 두 사건 모두 북한의 소행으로 밝혀졌다.