[블록미디어 스탠리 최 기자] 지난 19일 저녁 FTX 거래소의 한 사용자는 자신의 계정에서 갑자기 5,000건 이상의 거래가 미친 듯 진행되고 있음을 발견했다.
그는 자신의 계정에 10개가 넘는 비트코인(BTC)과 수 백 개의 이더리움(ETH), 수 천개의 FTT 등 160만 달러의 자산을 넣어뒀지만 소액 DMG 토큰 거래라는 방식으로 전부를 도난당했다고 밝혔다.
우블록체인의 최신 보도에 따르면, 이 사용자는 1년 전부터 자동거래 봇 쓰리콤마스(3Commas)를 사용하기 시작했다. 다만 FTX의 API는 갱신이 필요없었기 때문에 API를 건드리거나 저장한 적은 없었다. 그럼에도 그의 API 키가 유출된 것이다. 도대체 어떻게 된 일일까?
FTX는 피드백을 통해 API 키에 대한 액세스 권한을 가진 누군가가 REST API를 통해 이런 거래를 했고, 사용자 API 키가 유출된 것으로 추정했다. FTX는 손상된 API 키를 비활성하는 조치를 취했다. 하지만 쓰리콤마스는 최초엔 어떠한 키 유출도 없었다고 밝혔다.
그런데 언론의 보도가 잇따르자 쓰리콤마스는 “지난 10월 20일 일부 파트너로부터 API 키를 쓰리콤마스에 연결해 파트너 계정의 DMG 암호화폐 거래 쌍에서 무단 거래에 사용한 사건이 있었다는 연락을 받았다”고 설명했다.
그러면서 “쓰리콤마스와 파트너 거래소(FTX)가 공동 조사한 결과, 파트너 거래소의 DMG 거래 쌍에 대해 승인되지 않은 거래를 수행하는데 수 많은 API 키가 신규 쓰리콤마스 계정과 연결되어 있는 것을 발견했다. API 키는 쓰리콤마스에서 가져온 것이 아니라 쓰리콤마스 플랫폼 외부에서 가져온 것”이라고 언급했다. 그러면서 쓰리콤마스 역시 의심스러운 계정을 식별하고 손상된 AIP 키를 비활성화했다고 밝혔다.
그런데 발표 이후 더 많은 피해자들이 나타나기 시작했다.
파라과이의 한 피해자는 “이번 공격으로 104개의 비트코인을 잃었다”면서 “FTX가 10월 19일 취약점에 대해 알고 있었지만 나는 이틀 후 공격을 받았다”고 지적했다.
그는 “쓰리콤마스는 이번 해킹을 ‘피싱 공격’이라고 말했지만 나는 내 쓰리콤마스 계정을 사용해 (자동거래) 봇을 설정한 적이 없고 해당 계정은 심지어 이미 만료되어 무료 계정으로 등급이 낮아진 상태였다”고 주장했다.
이어 그는 “계정에 1년간 로그인한 적이 없고, API 키를 어떤 문서에 저장한 적도 없으며 단지 1년전 FTX 연결용으로만 사용한 적이 있을 뿐이다. 나는 IT 개발자이기도 하고 노트북과 스마트폰은 노톤(Norton) 360과 피싱이나 바이러스 공격을 차단하는 메커니즘을 사용해 적극 보호하고 있다”고 주장했다.
중국의 또 다른 피해자는 “아예 쓰리콤마스를 사용한 적이 없다”고 말했다. 그의 스크린샷에는 10월 19일, 20일, 21일 DMG 거래와 관련된 해킹이 발생한 것으로 나타나지만 FTX는 이에 대한 예방 조치를 취하지 않았다는 게 그의 주장이다.
논란이 달궈지자 FTX 거래소 CEO인 샘 뱅크먼 프리드(SBF)는 24일 피해자들에게 600만 달러를 보상하겠다는 답을 내놨지만 “이는 일회성 사건일 뿐, 우리는 FTX를 사칭한 또 다른 가짜 버전 사이트로 인한 피싱 사건에 대해서는 보상하지 않을 것”이라고 밝혔다.
다행히도 사용자는 보상 금액을 받았다. 해커는 바이낸스와 픽스드플롯(FixedFloat) 거래소를 통해 이익을 취한 것 전해졌다. SBF는 “해커가 24시간 이내에 도난당한 자금의 95%를 반환하면 법적 조치를 취하지 않을 것”이라고도 말했다.
현재까지 FTX와 쓰리콤마스는 사용자가 가짜 피싱 사이트에 로그인했고 거기서 API KEY가 유출되었다고 주장하고 있다. 하지만 피해자들은 그런 주장에 동의하지 않는다.
이번 사건의 핵심은 API 키 유출에 있다. 쓰리콤마스와 FTX의 손에 모든 데이터가 있고 현재까지 공개된 정보는 매우 적기 때문에 진실이 무엇인지 외부에서 완전히 알기는 어렵다. 다만 개인이든 거래 플랫폼이든 API 키의 권한 부여와 관리에 좀 더 신중할 필요가 있다.
한편 24일 저녁 @x_explore_eth가 트윗에 올린 내용에 따르면, API 키 유출로 인해 FTX 사용자가 수 백만 달러의 손실을 입은데 그치지 않고, 바이낸스US와 비트렉스(Bittrex) 거래소에서도 유사한 공격이 있었던 것으로 알려졌다.
FTX의 DMG/USD 공격이 발생했을 때 거래량이 일시적으로 천 배, 가격이 2~3배 급등락하는 중대한 비정상 거래가 발생했지만 FTX는 이를 즉각 차단하지 않았다. 이로 인한 추가 피해도 발생했다. 이런 공격은 다른 거래소에서도 얼마든 벌어질 수 있는 일이다.
속보는 블록미디어 텔레그램으로(클릭)
전문 기자가 요약 정리한 핫뉴스, 블록미디어 카카오 뷰(클릭)
같이 보면 좋은 기사