이 콘텐츠들은 텔레위키가 직접 업로드하는 것이 아닌 유저들이 수집하고 게시하는 것입니다. 문제가 있는 경우 [email protected]로 연락 주시면 조치하겠습니다.

지난 역대급 BYBIT 해킹과 DEX들 보안과정 점검차 알아보기



출처 - Bybit Hack Report

바이빗 해킹 타임라인

1. 2025년 2월 21일에 14억 달러자산침해 발생

2. 해커들은 공휴일까지 계산하여 정교하게 공격 계획

3. 악성 전송 로직, 강제 인출 기능(실행한 것) 컨트랙트 2개를 배포함

4. SAFE wallet의 AWS에 악성코드가 삽입됨.

5. 바이빗 핵심 서명자들이 사용하는 app.safe.global에 악성 자바 스크립트 삽입



공격은 CEO 제외 핵심 서명자 3명에게 모두 정상적인 트랜잭션으로 보이게 하여 서명을 유도하는 방식으로 핵심 서명자 3명이 사용하는 SAFE wallet을 변조시켜 가능하게 했음.



6. 이후 핵심 서명자 3명이 정상적으로 보이는 척한 트랜잭션에 sign 하는 순간 조건이 충족되어 트랜잭션 콘텐츠를 수정할 수 있도록 조작함.



7. 해당 트랜잭션을 제작해놓은 이더리움 악성 컨트랙트(강제 인출 기능)에 접근시켜 자금을 인출시킴.



이 후의 중국 거래소끼리의 자금 수혈과 유동성 공급으로 출금이 정상적으로 진행되었으며, 맨틀 체인상의 일부 이더리움은 회수 가능하였음. 하지만 2조 가량의 순손실이 났다는 것은 매우 큰 피해이며, 거래소 자체에 전적으로 맡기는 식의 보안의 취약점이 분기마다 크게 한번씩 일어남. 심지어 이번 공격은 특정 콜드 월렛을 대상으로 한 공격이며 비트/ 이더 진영간 벌어지는 컨트랙트 취약점으로 싸울 논리가 아님. 비트코인도 비슷한 방식으로 공격이 가능함.(다만 이더리움 컨트랙트 코드보다 훨씬 단순한 UXTO 코드로 대부분의 공격이 식별가능)



각 Perp-DEX들은 어떻게 이를 방지할 수 있을까?

대부분의 Perp-DEX는 온체인 스마트 컨트랙트 상에서 자산을 보관하고 있으며, 콜드 월렛 혹은 핫 월렛의 개념이 존재하지 않습니다. 다만, 덱스마다 빌딩 상황과, 체인화에 대한 방향성이 갈려서 보안의 방법, 차이성이 조금씩 존재합니다 여기서는 몇 개의 DEX의 케이스만 다뤄보겠습니다.



1. Hyperliquid

Perp-dex 리딩 프로젝트. 커뮤니티가 기다리던 HyperEVM이 시작되었고, 소수의 밸리데이터의 전체 자금에 대한 브릿징 권한에 의존하던 문제를 보완하기 시작하고 있음. 하지만 아직은 BTC를 unit을 통해 hyperEVM에 실입금 하는 것을 제외한 pair는 아직 아비트럼과 연결된 하나의 브릿지에 의존하며 이 브릿지는 4명의 밸리데이터(팀)에 의존한다는 점에 있어서 CEX의 핫월렛 개념과 유사할 수 있음. 즉, 바이빗과 동일한 공격가능성이 존재. 하지만 커뮤니티가 가장 크며, 팀도 이런 문제를 제1순위로 해결할 예정이며(어제부터 비검증자 노드를 누구나 실행가능함), 멀티 시그 월렛등을 지원 중

한국어 리서치참고(seungmin님) | L2beat 보안 취약점 분석 | Hyperliquid 스쿼드TG

2. EdgeX

하는 일과 관계 없이 잘하는 팀의 역량과 마인드를 보고 싶어서 이번 홍콩까지 가서 실제로 C레벨 분들과 만나고 온 Perp-DEX, Amber그룹의 자회사 형태이며 작년 3월부터 빌딩함. no-VCs에 TGE때 커뮤니티를 우선적으로 챙길 수 있는 "환경"에 속한 팀이라고 생각함.

EdgeX는 StrakEx ZK-Rollup L2솔루션을 활용하여 CEX와 달리 스마트 컨트랙트에 직접 자금을 입금하고 각 거래에는 개인 키의 승인이 필요하며, 이 과정에서 거래소는 L2 시스템 내에서 사용자의 자금에 접근하지 못함.

추가적인 블랙스완의 사태인, EdgeX L2(빌딩중, Testnet 5월)의 다운타임, 및 거래를 지속하지 못하는 환경에서도 사용자는 개인 키를 활용하여 독립적으로 포지션을 닫고 자금 인출 가능하도록 만듦. 보안성의 측면에서 이상적인 빌딩과정을 밟아가는 중인것 같습니다.

추 후 포스팅에 리서치와 더불어서 전세계 최초로 AMA 진행할 것 같습니다! 공지 띄울게요. EdgeX는 개인적으로 충분히 믿고 밀면서 딥 다이브해볼만한 오래 간만의 프로젝트인 것 같습니다.

EdgeX - StrakEx, asset self-custody

3. GRVT

하이브리드 CEX + DEX 의 모델을 기준잡고 최대 목적인 기관유치를 포커스로 빌딩한 perp-dex입니다. 약 2년전부터 Zksync가 앞으로의 롤업경쟁 모델에서 우위를 점할것이라는 예측과, 시장 참여자 대다수가 zksync 에드작을 진행할때부터 hyperchain을 사용하여 빌딩한 최초의 프로젝트입니다.

GRVT는 처음부터 퍼블릭체인을 목표로 하지 않고 거대 금융사들이 자체적으로 운영하는 것처럼 프라이빗 체인의 강점을 믿고 빌딩하는 팀임. 프라이빗 체인이 가지는 빠른 처리속도와 빠른 대처, 기관들이 요구하는 조건을 갖추면서 ZK기술로 DEX의 정체성과 투명성을 유지하도록 하는 프로젝트. 온체인이라 할 수 있지만, 이로 인해 팀내의 검증인그룹에 의해 통제되는 중앙화된 결정을 내릴 수 있음. 다만, 빌딩부터 사용자의 자금에 접근 불가능함을 전제로 내걸고 강제 출금기능등을 제공하고 있습니다.

GRVT- onchain finance needs confidentiality

4. 그외 ..

UniversalX와 Paradex는 갠적으로 소개하기 이전이지만, 각 perp-dex들을 비교하면서 각 DEX쪽 개발방향과 목표들이 조금씩 다 다르더라구요. 이번년도가 하이퍼리퀴드를 시작으로 CEX 볼륨을 본격적으로 DEX들이 분할하는 첫번째 해일거라는 생각을 하고 있음. 항상 크립토에서 가장 맛있어 보이는 혹은 증명된 두가지 섹터는 스테이블 코인 / 거래소 였고, 앞으로도 그럴거라는 생각을 합니다. 어느 누가 DEX쪽 파이를 가져갈진 모르겠으나 자신이 생각하기에 괜찮다는 프로젝트에는 계속 발을걸치면서 팔로업하는것이 개인적으로는 중요해보입니다.



그래서 방장도 이제는 팀들도 실제로 만나서 얘기도 나눠보고 제가 갖고있던 과거경험과 비교해서 어느팀이 잘될 것 같은지 계속 동전을 던져놓을 것 같네요 Perp-DEX쪽도 같이 딥다이브 해보시죠!! 열심히 최전선에서의 업계 업데이트 상황과 개인적인 의견을 수정하면서 적어보겠습니다