블록체인 데이터 분석기업 체이널리시스는 북한 연계 해커의 ‘큐빗(Qubit)’ 해킹 사례를 공개했다고 20일 밝혔다.

큐빗은 BNB 체인(Build and Build Chain, 바이낸스 체인)기반으로 구축된 대한민국의 디파이 대출 프로토콜이다. 큐빗은 큐브리지(QBridge) 프로토콜을 이용해 다른 체인의 자산을 BNB 체인으로 이동하지 않아도 큐빗에서 빌릴 수 있도록 한다. 사용자는 담보로 잡고 싶은 자산을 해당 자산의 체인에 있는 큐브리지 스마트 계약으로 보내고, 큐브리지는 BNB 체인에 해당 자산을 생성하는 방식이다.

많은 크로스 체인 브리지 해킹 사건과 유사하게 큐브리지 관리 코드에서 취약점이 드러났다. 큐브리지의 보유 자산 중 약 8000만 달러(1000억 원) 상당의 자금이 유출돼 지난 해 한국에서 최대 규모의 가상자산 탈취가 이뤄졌다. 체이널리시스는 이번 공격이 지난 해 발생한 다른 대규모 디파이 해킹처럼 북한과 연계된 해커의 소행이라는 것을 최초 공개했다.

큐빗 해킹은 이더리움 블록체인에서 브리징 된 이더리움인 ‘qXETH’를 이더리움 예치 없이 큐브리지에서 무제한으로 발행하는 방식으로 이뤄졌다. 해커는 도난 당시 프로토콜이 보유한 약 8000만 달러(1038억 1600만 원) 상당의 BNB코인과 BEP-20 토큰을 빌리기 위해 무제한 발행한 qXETH를 담보로 사용한 후 그 자금을 이더리움 블록체인에 연결했다. 자금을 BNB 체인에서 이더리움으로 연결한 후, 북한 해커는 당시 자주 쓰이던 자금 세탁 수법인 토네이도 캐시(Tornado Cash) 믹서(Mixer)를 사용했다. 이 활동은 체이널리시스 블록체인 분석 툴인 리액터(Reactor), 스토리라인(Storyline)을 통해 확인됐다.

해커들은 토네이도 캐시에서 믹싱된 이더리움을 받아, 일부를 탈중앙화 거래소로 보낸 것으로 파악됐다. 거래소에서 이더리움을 다른 ERC-20 토큰으로 교환 후 나머지는 다양한 중앙화 거래소의 예금 주소로 이동시킨 흔적이 발견됐다.

이번 큐빗 해킹은 디파이 프로토콜에서 자금을 탈취해 자금 동결이 불가능한 블록체인에 연결하고, 믹싱이후 중앙화 거래소로 이동시키는 과정으로 이뤄졌는데, 이는 북한의 전형적인 해킹 방식과 같다. 이번 큐빗 해킹은 체이널리시스와 국가정보원 산하 국제범죄정보센터(TCIC)의 협력으로 도난 자금을 추적이 진행됐다.

백용기 체이널리시스 한국 지사장은 “체이널리시스는 국가정보원 산하 국제범죄정보센터와 함께 큐빗 해킹 사례를 분석하고 추적했으며 향후 더 많은 해킹 사례를 수사할 수 있도록 긴밀한 협력을 계속할 것”이라고 말했다.