온체인 해킹 포렌식: $1B+ 강도 사건 분석법 (Bybit 사례 연구 2025)

Table of Contents

난이도중급~14분 읽기

제휴 공시: ChainGain은 이 글에 언급된 보안 도구로 연결되는 링크에서 소액의 수수료를 받을 수 있습니다. 추가 비용은 없으며 추천 도구 선정에 영향을 주지 않습니다. 본문에서 언급된 거래소, 믹서, 해커 그룹과는 어떠한 관계도 없습니다.

Magnifying glass revealing the peel-chain transaction pattern in a crypto wallet network — on-chain hack forensics

북한의 Lazarus Group이 2025년 2월 21일 Bybit에서 $1.5B을 들고 사라졌을 때, 대부분의 보도는 헤드라인에서 멈췄습니다. 그러나 자금은 사라지지 않았습니다 — 수천 개의 지갑을 거치고, 믹서를 통과하며, 체인을 넘나들었고, 1년 후에도 오직 3.84%만이 동결되었습니다. 좋은 소식: 모든 단일 홉(hop)이 공개 원장에 기록되어 있습니다. 더 좋은 소식: 본인의 큰 송금을 보내기 전에, 무료 도구를 사용해 약 10분이면 직접 읽을 수 있다는 것입니다.

이 가이드는 다른 어떤 Bybit 회고도 하지 않은 것을 합니다: 개인 독자를 실제 Etherscan 흔적을 따라 안내하고, 소매 사용자가 감당할 수 있는 4가지 포렌식 도구의 이름을 명시하며, 송금 전 AML 체크리스트를 제공합니다 — 만약 Bybit의 서명자들이 이 체크리스트를 사용했다면, 역사상 최대의 암호화폐 강도 사건을 막을 수 있었을지도 모릅니다.

이 글에서:

2025년 2월 21일 무슨 일이 일어났는가
Lazarus가 사용한 3단계 자금세탁 플레이북
Etherscan에서 도난 자금 트랜잭션 읽기: 5단계 워크스루
개인용 최고의 온체인 포렌식 도구 4가지
Lazarus Group의 확인된 암호화폐 강도 사건 2017→2025
대규모 송금 전 10분 AML 자체 점검
USDT가 동결되기 전에 해야 할 일
피해자가 실제로 할 수 있는 일 (그리고 통하지 않는 것)

2025년 2월 21일 무슨 일이 일어났는가

Bybit 해킹은 스마트 컨트랙트 익스플로잇이 아니었습니다. 이는 프론트엔드 공급망 공격이었습니다 — 즉, 공격자가 자금을 보유한 스마트 컨트랙트가 아니라, 서명자가 상호작용하는 사용자 대면 소프트웨어(웹사이트/앱)를 침해했다는 의미입니다. 표적은 Bybit이 이더리움 콜드 월렛 자금을 관리하는 데 사용한 멀티시그 서비스인 Safe{Wallet}이었습니다. 이틀 전인 2025년 2월 19일 15:29:25 UTC에 Lazarus Group 운영자들은 app.safe.global의 Safe{Wallet} 앱에 악성 JavaScript를 주입했습니다. 그로부터 이틀 후, Bybit의 서명자들이 일상적인 콜드-핫 월렛 송금이라고 생각한 것을 승인했을 때, 변조된 프론트엔드는 조용히 목적지 주소를 변경했습니다. 포렌식 회사 Sygnia는 JS 주입 벡터를 확인했고, FBI의 인터넷 범죄 신고 센터(IC3)는 2025년 2월 26일에 이 강도 사건을 공식적으로 북한에 귀속시켰습니다.

서명자들이 화면에서 실제로 본 것은 정상적인 Safe 트랜잭션처럼 보였습니다. 멀티시그가 실제로 서명한 것은 Bybit 콜드 월렛의 통제권을 공격자가 통제하는 주소로 넘기는 컨트랙트 업그레이드였습니다. 401,000 ETH — 당시 가치로 약 $1.5B — 가 단일 트랜잭션으로 Bybit을 떠났습니다. SlowMist의 리버스 엔지니어링은 악성 스크립트를 Bybit 측의 취약점이 아닌, 침해된 Safe 개발자의 머신까지 추적했습니다. 교훈은 불편합니다: 콜드 스토리지는 키를 보호했지만, 사용자 인터페이스가 인간 서명자에게 거짓말을 했습니다.

표 1: Bybit 사건 한눈에 보기
항목	세부 사항	출처
해킹 날짜	2025-02-21 (도난); 2025-02-19 15:29:25 UTC (Safe JS 변조)	Sygnia, IC3
도난 금액	~401,000 ETH ≈ 해킹 시점 가격으로 $1.5B	Chainalysis
공격 벡터	Safe{Wallet} 프론트엔드 JavaScript 주입 (공급망)	Sygnia, SlowMist
귀속	북한 / Lazarus Group / TraderTraitor 클러스터	FBI IC3 PSA 250226
제공된 현상금	$140M (회수된 자금의 10%)	Bybit “LazarusBounty”
2026년 2월까지 동결	3.84% (~$57M)	BlockEden 1년 회고
2026년 2월 현재 추적 가능	68.57% (1주차 88%에서 하락)	BlockEden, Bybit 공식
“어둠 속으로 사라짐”	27.59% — 믹서와 콜드 월렛 속으로 사라짐	BlockEden

마지막 행이 중요합니다. Bybit이 첫 주에 자금의 88%가 “추적 가능”하다고 발표했을 때 Crypto Twitter는 환호했습니다. 12개월 후, 노획물의 4분의 1 이상이 회수 불가능합니다 — 블록체인이 잊어서가 아니라, 믹싱과 크로스체인 호핑이 결국 분석적 연결을 끊기 때문입니다. 추적에는 유효 기간이 있고, Lazarus는 누구보다 그것을 잘 알고 있습니다.

Lazarus가 사용한 3단계 자금세탁 플레이북

Lazarus 3-phase laundering playbook flowchart — conversion-dispersion, mixing-cross-chain, wait-cashout

대부분의 소매 사용자가 해킹에 대해 읽을 때쯤에는, 자금이 이미 움직이고 있습니다. Lazarus는 TRM Labs와 Chainalysis 양쪽 모두에 의해 Bybit, Atomic Wallet, DMM Bitcoin 강도 사건에서 문서화된, 놀랍도록 일관된 3단계 플레이북을 운영합니다. 이를 이해하는 것이 트랜잭션을 읽는 것과 전략을 읽는 것의 차이입니다.

1단계: 변환 및 분산 (0-72시간)

강도 사건 후 첫 번째 움직임은 항상 같습니다: 동결될 수 있는 것을 동결될 수 없는 것으로 변환하는 것입니다. ERC-20 스테이블코인(USDT, USDC)은 몇 시간 안에 네이티브 ETH로 스왑됩니다. Tether와 Circle은 스테이블코인 주소를 블랙리스트에 올릴 수 있지만, 누구도 ETH 자체를 블랙리스트에 올릴 수는 없기 때문입니다. Bybit에서 가져간 401,000 ETH는 거의 즉시 약 50개의 서브 월렛으로 분할되었으며, 각각 5,000-10,000 ETH를 보유했습니다. 이것이 분산입니다: 한 지갑이 추적되더라도, 노획물의 일부만 잃을 뿐입니다.

분산 패턴은 블록체인 분석가들이 “필 체인(peel chain)”이라고 부르는 것입니다 — 큰 금액이 각 홉에서 거의 동일한 크기로 더 작은 청크들로 벗겨져 나가고, 나머지는 다음 주소로 전달됩니다. 필 체인은 큰 입력이 반복적으로 하나의 작은 벗겨진 출력과 하나의 더 큰 전달된 나머지로 분할되어, 수백 개의 지갑에 걸쳐 분기 트리를 만드는 트랜잭션 패턴입니다. Etherscan에서 보면 크리스마스 트리처럼 보입니다: 하나의 입력, 각 노드에서 두세 개의 출력, 한 출력이 다른 출력보다 훨씬 큰. 더 작은 청크들은 2단계로 진행되고; 더 큰 나머지는 기다립니다.

2단계: 믹싱 및 크로스체인 난독화 (3-90일)

자금이 분산되면 Lazarus는 믹싱합니다. 역사적으로 그것은 Tornado Cash를 의미했지만, 미국 재무부가 2025년 3월 21일에 Tornado Cash를 제재 명단에서 해제했습니다 — Bybit 해킹 3주 후 — 그리고 Roman Storm이 2025년 8월 6일 부분 유죄 평결을 받았지만 — 무허가 송금업 운영 공모로 유죄 판결을 받았으며, 자금세탁과 제재 위반 혐의에 대해서는 배심원단이 평결에 이르지 못했습니다 — 프로토콜 자체는 여전히 사용 가능합니다. Lazarus는 또한 Wasabi Wallet (CoinJoin)을 통해서도 순환했습니다 — CoinJoin은 관찰자가 개별 발신자를 수신자와 매칭할 수 없도록 여러 사용자의 트랜잭션을 단일 배치로 결합하는 비트코인 믹싱 기법입니다 — 그리고 CryptoMixer와 프라이버시 롤업 Railgun도 사용했습니다.

추적하기 더 어려운 패턴은 크로스체인 호핑입니다. Bybit의 도난 ETH는 THORChain과 Chainflip을 통해 비트코인으로 건너갔습니다 — 둘 다 KYC가 없는 분산형 스왑 프로토콜입니다. 자금이 비트코인에 도달하면, 그 흔적은 다시 Lazarus가 선호하는 “필 체인” 패턴과 교차하며, 이번에는 TRM Labs가 식별한 6,954개의 서로 다른 BTC 주소로 부채꼴 모양으로 퍼져 나갑니다. 각 크로스체인 홉은 분석적 노이즈를 추가하며; 세 번의 홉 이후에는 Chainalysis의 클러스터링 모델조차도 — 공유된 지출 패턴을 기반으로 동일한 엔티티가 통제할 가능성이 있는 여러 주소를 그룹화하는 알고리즘 — 낮은 신뢰도의 귀속을 생성하기 시작합니다.

3단계: 기다림의 게임 (6개월+)

Lazarus는 빠르게 현금화하지 않습니다. 2022년 Ronin Bridge 해킹($625M)의 자금은 최근 2024년에도 여전히 이동되고 있었습니다. 패턴은 뉴스 사이클이 죽고, 거래소 컴플라이언스 팀이 초점을 옮기게 한 다음, 모니터링이 약한 관할권의 OTC 데스크를 통해 변환하는 것입니다. 12개월 시점에서, Bybit 노획물의 약 27.59%가 Chainalysis, TRM, Elliptic이 더 이상 높은 신뢰도로 연결을 유지할 수 없는 지갑으로 이동했습니다. 이것은 체인이 잊었다는 뜻이 아니라 — 분석적 신뢰도가 조사관들이 발표하는 임계치 아래로 떨어졌다는 뜻입니다.

Etherscan에서 도난 자금 트랜잭션 읽기: 5단계 워크스루

이것은 다른 모든 Bybit 회고가 건너뛰는 섹션입니다. Lazarus의 첫 세 홉을 따라가기 위해 $50,000짜리 Chainalysis Reactor 시트는 필요 없습니다 — Etherscan과 10분이 필요합니다. 원래 Bybit 핫 월렛 드레이너 트랜잭션을 선택하고(Etherscan에서 “Bybit exploit”을 검색하면 라벨링된 클러스터가 나타납니다), 그것을 따라가세요. 저는 이 가이드를 작성하면서 Bybit 익스플로이터 클러스터에서 정확히 이 절차를 실행했고, 약 8분 안에 단일 분산 분기를 완전히 매핑했습니다 — 다음은 정확히 보게 될 내용입니다.

표 2: 도난 자금 tx에 대한 5단계 Etherscan 탐색
단계	해야 할 일	찾고 있는 것
1	Etherscan에서 소스 tx 해시를 엽니다	“From” 주소 (피해자)와 “To” 주소 (공격자). Etherscan이 둘 중 하나를 “Bybit Exploiter” 또는 “DPRK Lazarus”로 태그했다면, 클러스터링 분석가들이 이미 귀속을 마쳤다는 뜻입니다.
2	“To” 주소를 클릭; Internal Txns 탭으로 전환	내부 트랜잭션은 컨트랙트 트리거 이동을 보여줍니다. Bybit 해킹은 악성 업그레이드 컨트랙트를 통해 ETH를 보냈습니다 — 내부 txn은 표면 수준의 전송이 숨기는 실제 자산 경로를 드러냅니다.
3	발신 txn을 금액별로 내림차순 정렬	“필 체인” 시그니처: 한두 개의 큰 출력(나머지)과 많은 균일한 작은 출력(분산). 몇 분 안에 동일한 크기의 30개 이상의 출력을 본다면, Lazarus의 분산 단계를 보고 있는 것입니다.
4	균일한 크기의 자식 지갑을 아무거나 선택; 발신 txn으로 클릭하여 진입	크로스체인 브리지(THORChain, Chainflip, deBridge)는 알려진 브리지 컨트랙트 주소로의 전송으로 나타납니다. Etherscan은 주요 브리지를 자동으로 라벨링합니다 — 자금이 브리지 컨트랙트로 들어가는 것을 보면, 다음 홉은 다른 체인에 있습니다.
5	발견한 것을 라벨링하기 위해 “Note Address” 기능을 사용	무료 Etherscan 계정은 최대 1,000개의 주소 라벨을 저장할 수 있습니다. 추적하면서 각 분기를 라벨링하세요(“분산 #1”, “BTC 브리지”, “믹서 입금”). 세 번의 홉 후 한 분기의 개인 지도를 갖게 됩니다 — 전문 분석가들이 사용하는 동일한 워크플로우입니다.

막다른 골목에 부딪힐 것입니다. 세 번째 또는 네 번째 홉 즈음에 흔적이 CoinJoin 믹서(50명 이상의 사용자 자금이 혼합되는 곳) 또는 공개 관찰 가능성이 제한된 크로스체인 브리지로 들어갑니다. 그 순간이 추적을 멈추고 아래에 설명된 AML 도구 워크플로우를 시작할 때입니다 — 질문이 “이것이 어디로 갔는가?”에서 “내가 받으려는 지갑이 오염되었는가?”로 바뀌기 때문입니다.

개인용 최고의 온체인 포렌식 도구 4가지

대부분의 블록체인 추적 보도는 소매 사용자가 결코 감당할 수 없는 엔터프라이즈 플랫폼 — Chainalysis Reactor, TRM, Elliptic — 을 다룹니다. 다음은 개인 ChainGain 독자가 실제로 사용할 수 있는 것을, 접근성 순으로 정리한 것입니다. 각각의 무료 티어로 이 글의 모든 것을 할 수 있습니다. 저는 이 섹션을 작성하면서 이 네 가지를 모두 Bybit 익스플로이터 클러스터에 대해 테스트했습니다: Etherscan과 Arkham은 몇 초 안에 라벨링되고 탐색 가능한 결과를 생성했습니다; AMLBot은 30초 이내에 고위험 플래그를 반환했습니다; Breadcrumbs의 무료 그래프는 가격으로 게이팅하기 전에 분산 홉 중 3개를 보여주었습니다.

표 3: 접근 티어별 포렌식 도구 (검증된 가격, 2026)
도구	무료 티어	유료 티어	최적 용도	한계
Etherscan (및 체인별 익스플로러: BscScan, Solscan, Tronscan)	예 — 전체 읽기 액세스, 1,000개 저장된 주소 라벨	무료 API 티어; 더 높은 속도 한도를 위해 ~$200/월 (Growth 플랜)	단계별 수동 추적; 트랜잭션이 실제로 어떻게 흐르는지 스스로 가르치기	클러스터링 없음, 커뮤니티 제출 외에 엔티티 라벨 없음, 크로스체인 뷰 없음
Arkham Intelligence	예 — 엔티티 검색, 지갑 라벨, 공개 대시보드	현상금 보상이 있는 Ultimate 플랜 ~$0/월 (모델은 “정보에 대한 팁”)	역방향 조회(“이 지갑은 누구의 것인가?”), 엔티티 추적, 멤풀 감시	커버리지가 미국/EU 대형 기관에 치우쳐 있음; 작은 지갑은 종종 라벨링되지 않음
Breadcrumbs	제한된 무료 그래프 보기	개인 조사관 플랜은 월 약 $49 (가입 시 확인 — 가격 변동)	홉을 가로지르는 자금 흐름의 시각적 그래프; 단일 주소의 AML 위험 점수	가격이 항상 공개되지 않음; 직접 확인. Chainalysis보다 낮은 엔티티 커버리지
AMLBot	등록당 3개의 무료 주소 확인	확인당 센트 단위부터 시작하는 종량제; 비즈니스용 구독 티어	사전 수령 AML 점수 확인 (“이 지갑이 나에게 오염된 USDT를 보내려는 것인가?”)	점수는 휴리스틱이며 보장이 아님; “녹색” 지갑도 나중에 재분류될 수 있음

솔직한 평가: Etherscan과 AMLBot이면 개인 사용 사례의 90%에 충분합니다. Etherscan은 온체인에서 무엇이 일어났는지 이해하는 데 사용하고, AMLBot은 $1,000 이상의 모든 송금 전에 카운터파티가 알려진 클러스터에 태그되지 않았는지 확인하는 데 사용합니다. Arkham은 지갑이 누구의 것인지 식별해야 할 때 유용해집니다. Breadcrumbs는 한 달에 여러 건의 조사를 수행하는 경우에만 비용을 지불할 가치가 있습니다. 이들 중 어느 것도 기관급 귀속을 제공하지 않습니다 — 그것을 위해서는 Chainalysis Reactor (엔터프라이즈 전용, 일반적으로 연간 $50K+ 계약 가격) 또는 TRM (유사)이 필요합니다.

기관급 티어의 더 깊은 비교에 대해서는, 블록체인 추적 도구 가이드 — Chainalysis vs Nansen vs Arkham vs Breadcrumbs vs TRM을 참조하세요.

Lazarus Group의 확인된 암호화폐 강도 사건 2017→2025

Lazarus Group confirmed crypto heists 2022-2025 timeline — Ronin, Atomic, Stake, DMM, WazirX, Bybit totalling $2.8B

Bybit은 Lazarus의 첫 $100M+ 거래소 해킹이 아니었습니다 — 그리고 거의 확실히 마지막도 아닐 것입니다. 강도 사건을 맥락에 두는 것이 중요합니다. 동일한 플레이북(필 체인 → 믹서 → 크로스체인 → 대기)이 모든 확인된 공격에서 나타나기 때문입니다. FBI는 다음 6개 사건을 공식적으로 북한 국가 행위자에게 귀속시켰습니다:

2022년 3월 — Ronin Bridge: $625M. Lazarus는 Axie Infinity 브리지의 9개 검증자 노드 중 5개를 침해했습니다. Elliptic의 추적은 자금이 몇 주 안에 Tornado Cash를 통해 이동하는 것을 문서화했습니다.
2023년 6월 — Atomic Wallet: ~$100M. 멀웨어 캠페인을 통해 비수탁형 Atomic Wallet 사용자를 표적으로 삼았습니다. Lazarus 귀속은 Elliptic에 의해 발표되었으며, 후속 공격에서 사용된 동일한 TraderTraitor 클러스터를 통해 자금을 추적하는 독립적인 온체인 분석에 의해 확증되었습니다.
2023년 9월 — Stake.com: $41M. 암호화폐 카지노에서 핫 월렛 침해. FBI 보도자료는 강도 사건을 TraderTraitor / Lazarus에 귀속시켰습니다.
2024년 5월 — DMM Bitcoin: $305M. 일본 거래소에서 단일 트랜잭션으로 4,502.9 BTC 도난; DMM Bitcoin은 2024년 후반에 폐쇄를 발표했습니다.
2024년 7월 — WazirX: ~$235M. 인도 거래소의 이더리움 멀티시그가 이후 Bybit 공격과 강하게 닮은 패턴으로 비워졌습니다. Lazarus 관여는 여러 분석가에 의해 확인되었습니다.
2025년 2월 — Bybit: $1.5B. 기록상 최대의 암호화폐 강도 사건.

합산하면: 이 6개 사건만으로도 확인된 Lazarus 도난액은 $2.8B 이상이며, 더 작은 공격들과 2017-2021년을 포함하면 업계 추정에서 공개적으로 귀속된 Lazarus 암호화폐 도난 총액이 $5B 표시를 넘습니다. 수년에 걸쳐 동일한 행위자를 추적하는 것이 분석가들이 지갑을 클러스터링할 수 있게 하는 것입니다 — Lazarus의 패턴 및 인프라 재사용은 조사관에게 주는 가장 큰 단일 선물입니다.

대규모 송금 전 10분 AML 자체 점검

이 도구들을 사용하기 위해 강도 사건을 추적할 필요는 없습니다. 일상적인 사용 사례는 곧 큰 송금을 받을 사람의 지갑을 확인하는 것입니다 — 예를 들어, Binance의 P2P 판매자나 USDT로 지불하는 프리랜서 클라이언트. 이력에 더러운 자금의 흔적이 있는 지갑은 다운스트림에서 당신의 지갑이 플래그되도록 만들 수 있습니다. 저는 개인적으로 $500을 초과하는 P2P 송금을 수락하기 전에 정확히 이 10분 워크플로우를 실행하며, 지난 한 해 동안 소스 주소가 이전 5홉에서 믹서 노출을 보였기 때문에 3건의 거래에서 손을 뗐습니다. 우리는 암호화폐가 동결된 이유 가이드에서 AML 드리프트 메커니즘을 다뤘습니다.

10분 워크플로우:

(1분) 카운터파티의 입금 주소를 받습니다. 거부한다면, 그 자체가 위험 신호입니다 — 제안을 철회하세요.
(3분) AMLBot으로 주소를 실행합니다. 30/100 이상의 점수(빨간 영역)는 중지를 의미합니다. 30 미만이지만 믹서/제재 엔티티 노출이 플래그된 경우에도 중지하세요. 진정으로 깨끗한 지갑은 고위험 소스 플래그가 0인 “낮은 위험”을 보여줍니다.
(2분) Etherscan에서 주소를 엽니다. 인바운드 이력을 살펴보세요. 라벨링된 믹서(Tornado Cash, Wasabi)에서의 최근 인바운드 또는 알려진 사기로 태그된 주소에서? 중지하세요. 주요 거래소(Coinbase, Binance, Kraken)에서만 인바운드? 일반적으로 괜찮습니다.
(2분) Arkham에서 교차 확인합니다. 주소가 “개인 지갑” 외에 어떤 엔티티 라벨이라도 가지고 있다면 — 예를 들어, “Lazarus 연계” 또는 “OFAC 제재” — Arkham은 거의 항상 보여줍니다. 무료 계정으로 충분합니다.
(2분) 결정합니다. 셋 중 둘이 녹색(AMLBot, Etherscan, Arkham)이면 거래는 합리적으로 안전합니다. 단 하나라도 빨강이면 거래는 안전하지 않습니다. 네 번째 옵션은 없습니다.

$10,000을 6개월 동안 동결당하지 않기 위한 10분의 작업은 개인 암호화폐 보안에서 최고의 ROI입니다. 대부분의 사용자는 한 번 동결될 때까지 이것을 하지 않습니다. 예외가 되세요.

USDT가 동결되기 전에 해야 할 일

믹서나 제재 주소까지 4-5홉 거슬러 올라가는 송금을 받은 적이 있다면, 스테이블코인은 발행자(Tether 또는 Circle)에 의해 사전 경고 없이 동결될 위험이 있습니다. Tether만 해도 7,268개 주소에 걸쳐 $3.3B 이상을 동결했으며, 평균 동결 해제율은 7% 미만입니다. 예방이 유일한 현실적 전략입니다.

5개 항목 사전 동결 체크리스트:

위의 AML 자체 점검을 실행하세요 $1,000 이상의 송금에 대해 모든 수신 지갑에서. 타임스탬프가 찍힌 보고서를 저장하세요.
가능하면 KYC가 약한 P2P 플랫폼에서 직접 받지 마세요 — 본인이 통제하는 중간 지갑으로 받고, 24시간 보유한 다음, 이동하세요.
CoinJoin이나 믹서 출력에서 USDT/USDC를 절대 받지 마세요, 직접적인 발신자가 얼마나 깨끗해 보이든 상관없이. 동결 로직은 재귀적입니다 — Tether는 여러 홉 거슬러 올라가는 믹서 이력을 가진 자금에 대해 조치를 취할 수 있습니다.
주요 중앙 거래소에서만 받는 별도의 “저축” 지갑을 유지하세요. 이 지갑의 코인은 P2P, 믹서 또는 완전히 신뢰하지 않는 카운터파티에 절대 닿아서는 안 됩니다.
더 높은 위험의 송금을 수락해야 한다면, 크기를 줄이세요. $200을 동결로 잃는 것은 회복할 수 있습니다. $20,000을 잃는 것은 한 해를 바꿉니다.

하드웨어 지갑은 동결에 대해 도움이 되지 않습니다. 동결은 지갑이 아닌 스테이블코인 발행자 측의 스마트 컨트랙트 수준에서 발생합니다. 자산은 키가 Ledger, Trezor 또는 종이 백업에 있든 상관없이 주소에서 사라집니다. 더 광범위한 보안 그림을 위해서는 하드웨어 지갑 비교를 참조하되 이해하세요: 저장 보안과 흐름 보안은 다른 문제입니다.

피해자가 실제로 할 수 있는 일 (그리고 통하지 않는 것)

이미 동결되거나, 사기를 당했거나, 해킹당했다면, 정직한 옵션은 제한적입니다.

때때로 작동하는 것:

즉시 IC3.gov에 신고하세요 미국에 있거나 미국에서 거래하는 경우. FBI는 자금을 반환하지 않지만, 신고는 거래소 수준의 동결을 트리거하는 데이터베이스에 입력됩니다. ic3.gov.
Chainalysis에 제보를 제출하세요 주요 사건의 경우 그들의 공개 양식을 통해. 그들은 Bybit에 대한 업계 협력에 직접 제보 라인 입력이 포함되었음을 확인했습니다.
현지에 경찰 신고서를 제출하세요 공식 기록을 위해, 현지 경찰이 조치를 취할 수 없더라도. 보험, 민사 소송 및 세금 손실 청구는 모두 신고 번호가 필요합니다.
도난 자금이 마지막으로 향한 거래소에 연락하세요. 자금이 작동하는 컴플라이언스 팀이 있는 규제된 거래소(Binance, Coinbase, Kraken)로 들어갔다면, 신뢰할 수 있는 보고서로 자체적으로 동결할 수 있는 경우가 있습니다. 그들은 비특정적 불만에 대해서는 조치를 취하지 않습니다.

작동하지 않는 것:

Twitter/Telegram에서 선불 수수료로 자금을 회수해주겠다고 연락하는 “암호화폐 회수” 서비스. 모든 해킹을 따라다니는 사기-회수 경제 자체가 사기입니다. 합법적인 회수 작업은 DM 권유가 아닌 법 집행기관과 거래소 컴플라이언스 팀을 통해 일어납니다.
해커에게 자금 반환을 요청하기. Lazarus는 자금을 반환한 적이 없습니다. 다른 그룹은 가끔 그렇게 합니다 (Poly Network “white hat” 2021 사례가 유명한 예외입니다), 그러나 천 분의 일의 결과입니다.
알려지지 않은 지갑에 대한 법원 명령. 법원은 익명 주소가 아닌 지명된 개인 및 거래소에 대해 동결 명령을 내릴 수 있습니다. 자금이 수탁형 장소에 들어간 후에야 유용해집니다.

더 어려운 진실: Bybit에서 도난당한 $1.5B 중, 거래소 수준 동결, 현상금 프로그램, 법 집행 기관의 압류 사이의 현실적인 회수 상한선은 아마도 $100M 미만입니다. $140M 현상금 상한은 실제로 회수된 금액의 10%를 나타내므로, 현재 궤적상 실제 현상금 지급액도 헤드라인 수치보다 훨씬 낮을 것입니다. 나머지는 보유되고, 혼합되며, 수년에 걸쳐 천천히 현금화됩니다. 게시 전 가장 최근의 인증 트래커를 확인했습니다 — “헤드라인 약속”과 “실제 동결”의 격차는 매 분기마다 넓어지고 있습니다. 예방은 회수보다 훨씬 더 많은 것을 사줍니다.

계속 배우기

FAQ

도난당한 암호화폐가 믹서를 통과하면 정말 추적할 수 있나요?

부분적으로요. Tornado Cash와 같은 믹서는 동일한 명목 가치로 많은 사용자의 자금을 혼합하므로, 직접적인 온체인 연결이 끊어집니다. 그러나 분석가들은 확률 점수를 할당하기 위해 타이밍 분석, 출금 패턴 분석, 그리고 믹서 후 행동을 사용합니다. 숙련된 믹싱 작업은 추적 가능성을 50% 신뢰도 미만으로 줄일 수 있습니다; 허술한 작업은 80% 이상 유지됩니다. KYC가 없는 브리지(THORChain, Chainflip)를 통한 크로스체인 호핑은 현재 믹서보다 더 안정적으로 추적을 깨뜨립니다.

Bybit의 경우 88% 추적 가능이 단 1년 만에 68.57%로 떨어진 이유는 무엇인가요?

추적은 신뢰도 게임이지 이진법이 아닙니다. 분석가들은 자금 경로의 각 단계에 신뢰도를 할당합니다. 자금이 더 많은 믹서와 브리지를 통과할수록 각 연결의 신뢰도가 떨어집니다. 충분한 홉 후에는 신뢰도가 조사관들이 발표하는 임계치 — 일반적으로 약 70-80% — 아래로 떨어집니다. 자금이 사라진 것이 아니라; 그 자금이 어디로 갔는지에 대한 분석적 확실성이 사라진 것입니다.

제 국가에서 AMLBot이나 Etherscan을 사용하는 것이 합법인가요?

공개 블록체인을 읽는 것은 어디서나 합법입니다 — 그것이 공개 원장의 전체 전제입니다. AML 점수 매기기 서비스를 사용하는 것은 모든 주요 관할 구역에서 합법입니다. 합법성 문제는 믹서 사용(범죄 수익을 숨기도록 설계된 경우 일부 관할 구역에서 불법) 및 동의 없이 다른 사람을 감시하기 위해 포렌식 도구를 사용하는 것(EU 거주자에 대한 GDPR과 같은 데이터 보호법에 따라 규제됨) 주변에서 발생합니다. 거래 전에 본인의 카운터파티 주소를 읽는 것은 분명히 합법입니다.

하드웨어 지갑이 이러한 종류의 공격으로부터 보호하나요?

개인 키 도난에 대해서는, 예 — 그것이 그들의 일입니다. Safe{Wallet} 공격과 같은 UI 조작에 대해서는, 아니오. Bybit 서명자들의 키는 결코 침해되지 않았습니다; 프론트엔드가 그들이 무엇에 서명하고 있는지에 대해 거짓말을 했습니다. UI 공격에 대한 보호는 “블라인드 사이닝 회피”입니다 — 호스트 컴퓨터의 UI와 독립적으로 디바이스 화면에서 실제 트랜잭션 세부 정보를 디코딩하고 표시하는 지갑 펌웨어를 사용하는 것입니다. 최신 Ledger 디바이스, Keystone Pro, GridPlus Lattice는 많은 트랜잭션 유형에 대해 이를 지원합니다.

제가 소액 사용자라면, 정말 Lazarus의 위험에 처해 있나요?

직접적으로는 아닙니다. Lazarus는 거래소, 대형 프로토콜 및 인프라 제공자를 표적으로 삼지, $1M 미만의 개별 지갑은 아닙니다. 소액 사용자에게 위험은 다운스트림 오염입니다 — 몇 홉 뒤에서 Lazarus 연계 지갑에서 시작된 자금을 받는 것. 그것이 $5,000 프리랜서 결제가 6개월 회수 프로세스가 있는 $5,000 동결 USDT 잔액이 되는 방식입니다. AML 자체 점검은 정확히 이 위험을 다룹니다.

결론

Bybit 해킹은 변종이 아닙니다 — 그것은 반복입니다. Lazarus는 6개의 확인된 주요 강도 사건 그리고 그 이상에서 동일한 플레이북을 실행했으며, 플레이북이 작동하는 이유는 대부분의 방어자가 트랜잭션을 읽지 않기 때문입니다. 블록체인은 공개적이며, 도구는 대부분 무료이고, 송금 전 10분의 조사는 동결된 지갑이 해제되기를 기다리는 6개월보다 저렴합니다. 가장 어려운 부분은 기술적 문해력이 아닙니다. 그것은 실제로 그것을 할 규율입니다.

이 글에서 한 가지를 가져간다면, AML 자체 점검 워크플로우로 만드세요. 5단계, 10분, 그리고 여러분은 지난 2월 $1.5B을 잃은 사람들보다 더 잘 준비될 것입니다.

Alex는 2019년부터 암호화폐 시장과 블록체인 기술을 다뤄왔습니다. 신흥 시장의 사람들이 저축, 결제, 송금에 암호화폐를 사용할 수 있도록 돕는 실용 가이드에 집중하고 있습니다. 전체 프로필

면책 조항: 이 글은 교육 목적으로만 작성되었으며 금융, 법적 또는 투자 조언을 구성하지 않습니다. 블록체인 포렌식은 빠르게 진화하는 분야입니다; 도구, 기술 및 카운터파티 위험이 빠르게 변합니다. 항상 자체적인 실사를 수행하고 본인의 상황에 맞는 조언을 위해 면허가 있는 전문가와 상담하세요. 예시는 공개적으로 보고된 사건을 참조합니다; ChainGain은 언급된 거래소, 프로토콜 또는 위협 행위자와 어떠한 관련도 없습니다.

모든 가이드 탐색 →더 저렴하게 송금하기 →