[블록미디어 이제인 기자] 암호화폐 거래소 크라켄과 보안회사 서틱의 충돌이 점입가경이다.
서틱이 크라켄 시스템의 문제점을 확인한 후 다른 계정을 해킹했고, ‘탈취’ 코인을 믹서로 보내 세탁했다는 것이 알려지면서 파문이 일고 있다.
20일 코인텔레그래프는 서틱의 ‘화이트 해커’ 작전이 법적 문제로 비화할 조짐이 보인다고 보도했다. 화이트 해커는 시스템의 문제점을 찾아 해당 거래소에 이를 알리고, 일정한 보수를 받는 일종의 보안 감사 행위다.
# 화이트 해커 작전
블랙 해커와 달리 보안 취약점을 찾는 것을 목적으로 하기 때문에 양측이 합의하에 시스템을 공격하고, 해킹을 당한 쪽도 문제를 삼지 않는 것이 일반적이다.
그러나 이번 사건은 서틱이 크라켄을 공격한 후 크라켄이 강력 반발하며 논란이 되고 있다.
크라켄의 주장은 이렇다. 서틱이 특정 크라켄 계정에서 문제를 찾아낸 후 고객이 아닌 계정을 대상으로 화이트 해커 작전을 수행하여 약 300만 달러를 탈취했다는 것. 크라켄은 서틱이 전체 해킹 금액도 반환하지 않았다고 주장한다.
반면, 서틱은 기록에 따라 모든 자금을 반환했다고 밝혔다. 서틱은 X에 작전 상황을 게시하고 734 이더리움(ETH), 29,001 테더(USDT) 토큰 및 1,021 모네로(XMR) 코인을 반환했다고 주장했다.
크라켄은 155,818 폴리곤(Polygon) 토큰, 907,400 USDT, 475.5 ETH, 1,089.8 XMR을 요청했다. 서틱과 크라켄 사이에 숫자가 맞지 않는다.
# 서틱의 작전
지난 6월 9일 크라켄은 외부의 한 보안팀으로부터 버그 바운티(보상금)를 달라는 요청을 받았다. 크라켄 시스템의 버그를 통해 사용자가 계정 잔액을 부풀릴 수 있다는 것. 해당 버그를 자신들이 찾아냈으니, 보상을 달라는 요구다. 여기까지는 통상적인 화이트 해킹이다.
그런데 크라켄이 버그를 수정하는 과정에서 이 버그를 이용해 300만 달러가 탈취된 세 개의 계정을 발견했다.
크라켄은 세 개의 계정 중 하나는 신원 인증(KYC)을 받은 계정으로, 해당 버그를 이용해 4 달러가 입금된 것을 확인했다. 크라켄의 최고 보안 책임자 닉 페르코코(Nick Percoco)는 “이 정도면 버그를 증명하고 바운티를 받기에 충분했다. 그러나 해당 버그를 이용해 다른 두 계정에서 총 300만 달러의 탈취 행위가 추가로 일어났다”고 주장했다.
크라켄은 이 ‘보안팀’에게 자금을 반환하고 바운티를 수령하라고 요청했다. 그러나 화이트 해커는 이를 거부하고 먼저 바운티를 지급해달라고 요구했다.
크라켄은 이 ‘화이트 해커’가 서틱이라는 사실을 밝히지 않았지만, 서틱은 자신들이 이 작전을 수행했다고 공개했다.
서틱은 버그를 발견한 자사 직원이 자금을 반환하라는 협박을 받았고, 자금을 보낼 지갑 주소도 받지 못했다고 주장했다.
서틱의 공동 창립자 롱후이 구(Ronghui Gu)는 코인텔레그래프(Cointelegraph)에 “(양측이) 구두 회의를 열었지만 합의에 이르지 못했다. 그들은 우리를 도둑으로 공개 비난하고, 우리 직원들을 직접적으로 협박했다”고 말했다.
# 크립토 커뮤니티의 서틱 비판
서틱도 석연치 않은 행동을 했다. 서틱은 탈취 자금을 암호화폐 믹싱 서비스인 토네이도 캐시(Tornado Cash)로 전송했다. 크라켄이 해당 코인들을 동결하지 못하게 세탁을 한 것.
서틱의 이 같은 행위가 크립토 커뮤니티의 비판을 불러일으켰다. 서틱이 순수하게 화이트 해커 작전을 한 것인지, 동기에 의문을 제기했다.
크립토 커뮤니티는 서틱이 수 백만 달러를 이동시킨 이유에 대해 의문을 제기하며, 한 번의 해킹으로도 버그를 증명할 수 있었다고 지적했다. 다른 두 계정을 왜 공격했느냐는 것.
토네이도 캐시는 미국 금융당국(외국자산통제국 OFAC)이 제재를 가한 도구이며, 이를 사용하는 것은 보안 업체에 법적 문제를 야기할 수 있다.
같이 보면 좋은 기사