디지털 자산 해킹 사건 개요
디지털 자산을 “가짜 인터넷 돈”이라고 표현한 자칭 암호화폐 해커가 현재 미국 당국에 구금되어 있으며, 탈중앙화 거래소를 무너뜨리는 데 도움을 준 5천3백만 달러 규모의 해킹 사건으로 기소되고 있다. 전문가들은 이 사건이 법원이 스마트 계약 해킹을 합법적으로 간주할 수 있는지에 대해 더욱 엄격하게 검토하고 있음을 보여준다고 말한다.
해커의 기소 및 혐의
미국 당국은 월요일, “Cthulhon” 및 “Jspalletta”로도 알려진 조나단 스팔레타를 컴퓨터 사기 및 자금 세탁 혐의로 기소하는 기소장을 공개했다. 스팔레타는 2021년 우라늄 파이낸스에 대한 두 차례의 공격과 관련하여 기소되었으며, 월요일에 당국에 자수했다. 그는 컴퓨터 사기 혐의로 최대 10년, 자금 세탁 혐의로 최대 20년의 형을 받을 수 있다.
미국 검찰 제이 클레이턴은 “암호화폐 거래소에서 훔치는 것은 도둑질이다. ‘암호화폐는 다르다’는 주장은 이를 바꾸지 않는다.”라고 성명에서 밝혔다.
해킹 사건의 배경 및 기술적 분석
이 사건은 기술적 허점과 자금의 오용이 결합된 DeFi 해킹을 다루기 위한 더 넓은 노력의 일환으로 보인다. TRM Labs 아시아 태평양 정책 및 전략 파트너십 책임자인 앤젤라 앵은 Decrypt와의 인터뷰에서 다음과 같이 말했다:
“‘코드는 법이다’라는 생각이 법원에서 점점 더 시험받고 있다. 스마트 계약의 취약점을 악용하는 것은 기술적으로 가능할 수 있지만, 법원이 이를 법적으로 허용 가능한 것으로 볼 것이라는 의미는 아니다. 특히 자금 세탁 및 은폐와 결합될 경우 더욱 그렇다.”
스팔레타의 해킹 방법 및 자금 세탁
기소장에 따르면 스팔레타는 2021년 4월 8일 첫 번째 공격을 감행하여 우라늄의 스마트 계약에서 보상 추적 버그를 악용해 약 140만 달러의 유동성 풀을 반복적으로 고갈시켰다. 약 2주 후, 그는 다른 개인에게 “나는 150만 달러 규모의 암호화폐 강탈을 했다… 스마트 계약에 버그가 있었고, 나는 그것을 악용했다… 암호화폐는 어차피 모두 가짜 인터넷 돈이다.”라고 썼다.
당국은 그가 플랫폼과 협상한 후 대부분의 도난 자금을 반환했지만, 검찰이 “가짜 버그 바운티” 계약으로 묘사하는 방식으로 약 386,000 달러를 유지했다고 밝혔다. 4월 28일, 그는 26개의 유동성 풀에서 또 다른 결함을 악용하여 약 5천3백30만 달러의 암호화폐를 확보하고 우라늄 파이낸스가 운영을 계속할 수 없게 만들었다.
2021년 4월부터 2023년 11월 사이에 스팔레타는 약 2천6백만 달러를 Tornado Cash를 통해 송금하며, 자금의 출처를 숨기기 위해 여러 블록체인과 지갑을 통해 이동시켰다. 온체인 탐정인 ZachXBT는 2023년 12월 보고서에서 자금 세탁 경로를 추적하며 도난당한 ETH가 믹서에서 인출되어 중개인을 통해 고가의 수집품을 구매하는 데 사용된 방법을 확인했다.
법 집행 기관의 대응 및 향후 전망
기소장에 따르면 이 수집품에는 희귀한 매직 카드와 포켓몬 카드, 율리우스 카이사르 시대의 동전, 그리고 나중에 닐 암스트롱이 달에 가져간 라이트 형제의 유물이 포함되어 있다. 지난 2월, 법 집행 기관은 또한 이 사건과 관련된 약 3천1백만 달러 상당의 암호화폐를 압수했다.
플랫폼의 붕괴를 방지하기 위해 더 엄격한 감사나 보험이 필요했는지에 대한 질문에 앵은 “더 강력한 감사 및 보험 메커니즘은 해킹의 가능성과 영향을 줄일 수 있지만, 만능 해결책은 아니다.”라고 말했다. “조직은 ‘정기적인 보안 감사, 안전한 코딩 관행, 다중 서명 통제 및 강력한 보안 문화’를 포함한 ‘다층 방어’가 필요하다. 단일 보호 장치에 의존해서는 안 된다.”고 덧붙였다.
