3,600만 달러 증발한 휴머니티 프로토콜 해킹의 전말

악성코드가 실행되자 공격자는 해당 노트북에 대한 완전한 원격 제어 권한을 확보했다. 이 단 한 대의 기기에서 무려 7개의 개인키가 유출됐다. 여기에는 이더리움 브릿지를 통제하는 3/6 멀티시그(Gnosis Safe) 소유주 키 3개와 스마트 컨트랙트 업그레이드 권한 키가 포함되어 있었다 .

두 개의 체인에서 동시에 벌어진 '자금 싹쓸이'

브릿지 관리자 키를 손에 넣은 공격자들은 이더리움과 BNB 스마트 체인에서 동시에 다음과 같은 작업을 수행했다.

이더리움:

• H 토큰 브릿지 컨트랙트를 공격자가 통제하는 악성 버전으로 업그레이드했다 .
• 이후 단 한 번의 트랜잭션으로 브릿지에서 약 1억 4,118만 개의 H 토큰을 외부로 빼돌렸다 .
• 빼앗긴 토큰은 대부분 스왑되거나 다른 체인으로 이동되어 복구가 극도로 어려운 상태다 .

BNB 스마트 체인:

• 공격자들은 ProxyAdmin 컨트랙트를 장악했다 .
• 이 권한으로 H 토큰을 마음대로 추가 발행했으며, 사실상 공짜로 토큰을 찍어냈다 .
• 탈취 및 발행된 토큰은 유니스왑과 팬케이크스왑에서 약 8시간 동안 무차별적으로 매도되어 H 토큰 가격을 폭락시켰다 .

이 공격의 핵심은 스마트 컨트랙트 코드의 버그가 아니었다. 순전히 '열쇠(개인키)'를 훔친 보안 사고였다. 휴머니티 프로토콜 측 역시 "단 하나의 스마트 컨트랙트도 취약점을 노려 해킹되지 않았다"고 분명히 밝혔다 .

퀀트스탬프의 포렌식 보고서가 밝힌 북한 연계 정황

사고 당일인 9일 휴머니티 프로토콜이 퀀트스탬프에 긴급 의뢰했고, 14일에 발표된 심층 보고서는 다음과 같은 증거를 근거로 북한(DPRK) 연계 해커의 소행임을 강력히 시사했다.

• 악성코드의 특징: hncagent.exe가 보여준 행동 양식과 원격 접근 방식이 기존 북한 해킹 그룹의 침투 세트와 완벽히 일치했다 .
• 코드 서명 인증서 악용: 한컴의 정상 인증서로 서명하는 수법은 이전에도 여러 차례 북한 연계 작전에서 관찰된 전매특허다 .
• 사회공학적 침투 전술: 피싱 → 기기 침투 → 개인키 탈취 → 크로스체인 자금 세탁으로 이어지는 이 공격 시나리오는 과거 라자루스 그룹과 그 하위 조직들이 30억 달러 이상의 가상자산을 탈취하며 구축한 전술 교본과 판박이였다 .

조사 결과 드러난 또 하나의 충격적인 사실은 현재 BNB 스마트 체인에 배포된 H 토큰 컨트랙트가 여전히 해커의 통제하에 있다는 점이다. 반면 이더리움의 H 컨트랙트는 공격자에게 장악되지 않은 또 다른 멀티시그에 의해 동결된 상태다 .

H 토큰의 폭락, 그리고 위험한 210% 반등

대폭락

6월 8일 사건 직후 H 토큰은 직격탄을 맞았다. 불과 6일 전인 2일에 사상 최고가 0.844달러를 기록했던 H 토큰은 약 74% 폭락하며 0.05~0.13달러까지 추락했다 .

반등의 유혹

이후 급격한 저점 매수세가 유입되며 일련의 안도 랠리가 발생했다.

• 6월 12일: 휴머니티 프로토콜의 사태 수습 발표와 이더리움 컨트랙트 동결 조치에 힘입어 H 토큰은 단 하루 만에 약 44% 급등, 0.227달러 선을 회복했다 .
• 6월 14일: 또 한 번의 42% 상승으로 H 토큰은 0.6276달러까지 치솟았다. 해킹 직후 저점 대비 약 210% 상승한 수치였다 .

반등 이면의 위험 신호

문제는 이 극적인 반등이 실체 있는 회복이 아니었다는 점이다. 코인마켓캡 데이터에 따르면, 6월 14일의 폭등에는 미결제 약정(Open Interest)이 전일 대비 131% 급증한 2억 1,300만 달러에 달하는 투기성 레버리지 포지션이 대거 유입된 것으로 나타났다. 코인마켓캡은 분석 보고서에서 "이러한 레버리지 집중은 변동성 위험을 극도로 높이며, 급격한 매도세가 촉발될 경우 연쇄 청산을 야기할 수 있다"고 경고했다 .

실제로 6월 15일이 되자 토큰 가격은 0.23~0.30달러 선으로 다시 밀려나며 이 투기적 랠리의 불안정성을 스스로 증명했다 .

웹3 생태계에 던지는 뼈아픈 교훈

이번 사건은 단순한 해킹 하나로 치부하기 어려운, 웹3 산업 전반의 구조적 취약성을 적나라하게 보여준다.

1. 탈중앙화라는 허상, 그리고 멀티시그의 함정.
휴머니티는 브릿지 통제를 위해 3-of-6 멀티시그를 도입했다. 그러나 6개의 키 중 절반인 3개가 단 한 명의 직원 노트북에 방치되어 있었다. 이 사건은 아무리 견고한 멀티시그도 '물리적으로 분산된 키 관리'라는 기본 원칙이 무너지면 종이호랑이에 불과하다는 사실을 웅변한다 .

2. '양반'이 된 북한발 사이버 위협.
라자루스 그룹을 위시한 북한 사이버 유닛은 이제 하나의 거시적 위험 변수로 자리 잡았다. 이들은 가상자산 프로젝트를 물색하고, 내부자를 사회공학으로 포섭하며, 개인키를 탈취해 크로스체인으로 세탁하는 완성도 높은 공격 매뉴얼을 가지고 있다. 휴머니티 프로토콜은 그들의 길어지는 표적 목록에 추가된 최신 사례일 뿐이다 .

3. 크로스체인 브릿지는 언제나 '취약점'이다.
브릿지는 큰 규모의 유동성을 보유하고 소수의 관리자 키에 의해 통제되는 구조 탓에 공격자의 단골 표적이다. 이번에 이더리움과 BSC 브릿지가 한꺼번에 털린 것은, 스마트 컨트랙트 감사만이 아니라, 관리자 키 분산과 접근 통제 자체가 브릿지 보안의 최우선 과제가 되어야 함을 강력히 시사한다 .

4. 해킹 폭락주는 '달콤한 독약'일 수 있다.
210%라는 반등 수치는 '바닥 탈출'의 신호처럼 보였으나, 실상은 위험한 레버리지 베팅의 산물이었다. 특히 한쪽 체인이 여전히 해커에게 장악된 상태라 언제든 추가 주조된 물량이 시장에 쏟아질 수 있는 상황에서, 펀더멘털 없는 급등은 언제든 2차 폭락으로 이어질 수 있다 .

5. 규제의 칼바람이 불어닥칠 것이다.
북한이라는 국가 배후 세력이 연루된 이번 사건은 전 세계 규제 당국의 경각심을 불러일으키기에 충분하다. KYC 및 자금세탁방지(AML) 이행, 수탁 키 관리 표준, 프로젝트 보안 감사 강화에 대한 압박이 거세질 전망이며, 특히 이용자 자금을 보관하는 크로스체인 브릿지를 운영하는 프로토콜은 규제의 정면 표적이 될 것이다 .