악명 높은 암호화폐 믹서 eXch가 공식 종료 발표에도 불구하고 여전히 불법 자금 세탁 채널로 기능하고 있다고 TRM 랩스(TRM Labs)의 새로운 보고서가 밝혔다.
5일(현지시간) 크립토뉴스에 따르면, 2025년 4월 30일, eXch가 오프라인으로 전환될 예정이었던 하루 전, 이 플랫폼은 클리어넷과 다크웹 도메인을 포함한 모든 대외적 인프라를 제거했다. 그러나 TRM의 조사에 따르면 플랫폼의 백엔드, 특히 API 접근은 여전히 작동 중이며, 그 특유의 혼합 풀 세탁 모델과 일치하는 지속적인 자금 이동을 촉진하고 있다.
TRM은 eXch를 라자루스 그룹(Lazarus Group)의 기록적인 15억 달러 바이비트(Bybit) 해킹과 아동 성 학대 자료(CSAM) 위협 행위자들을 포함한 주요 사이버 범죄 조직과 연결 지었다.
TRM 랩스의 분석에 따르면 eXch의 소위 "종료"는 대부분 표면적인 것에 불과하다. 거래소의 웹사이트 인터페이스는 4월 27일에 비활성화되었지만, API 인프라는 여전히 활성 상태를 유지하며 온체인 자산과 상호 작용했다. 4월 30일, TRM은 이전 혼합 풀 행동 패턴을 모방하는 새로운 트랜잭션을 관찰했으며, 특히 CSAM 관련 자금 조달에 노출되었다.
eXch의 난독화 뒤에 있는 핵심 메커니즘은 그 독점적인 혼합 풀 아키텍처에 있다. 이는 예금을 분해하고 출처 추적을 거의 불가능하게 만드는 유동성 풀로 결합한다. 이 접근 방식은 암호화폐 스왑 서비스와 유사하게 작동하여 사용자가 한 토큰을 다른 토큰으로 교환하는 동시에 관련 없는 출금에 재사용되는 풀에 토큰을 예치할 수 있다.
결과적으로, 위협 행위자의 BTC 예치금은 쉽게 합법적인 사용자의 출금을 자금 조달할 수 있어, 불법 자금과 깨끗한 자금을 혼합한다. TRM은 eXch가 이미 30만 달러 이상의 CSAM 관련 자금에 노출되었으며, 이러한 노출은 증가할 것으로 예상된다고 밝혔다.
더욱 우려되는 것은, CSAM 연계 행위자와 라자루스 그룹 요원이 동시에 동일한 eXch 인프라를 사용했다는 점이다. 이는 전자 그룹의 자금이 바이비트 해커의 자산을 세탁하기 위한 유동성을 제공했음을 시사한다.
eXch가 외견상으로는 프라이버시 중심 플랫폼으로 자리매김했지만, 생태계 전반에 걸쳐 책임을 유지하려는 시도를 일관되게 방해했다. 바이비트 공격 이후, eXch는 자금 동결 요청을 준수하지 않고 코인 유동성에 대한 모든 공개 공개를 철회했다. 이 결정은 다른 플랫폼들이 바이비트의 자산 동결 및 회수를 지원하기 위해 집결하고 있을 때 암호화폐 업계 전반에 걸쳐 광범위한 비판을 받았다.
eXch의 논란이 되는 활동 역사는 종료 훨씬 이전부터 시작됐다. 2025년 2월 23일, 이 거래소는 비트코인토크(Bitcointalk) 포럼에서 라자루스 그룹을 위한 자금 세탁을 부인하며, 바이비트의 도난 자금 중 "무시할 만한 부분"만이 자사의 주소 중 하나를 통과했다고 인정했다. 플랫폼은 해당 거래의 수수료가 공공의 이익을 위해 기부될 것이라고 주장하며 관여 규모를 축소했다.
그러나 블록체인 조사관들은 더 우려스러운 그림을 제시했다. 온체인 분석가 잭XBT(ZachXBT)는 eXch가 바이비트 해킹에서 3,500만 달러를 세탁했다고 비난했다. 반면, 슬로우미스트(SlowMist)와 보안 얼라이언스(Security Alliance)의 닉 박스(Nick Bax) 같은 다른 이들은 이 거래소가 3,000만 달러의 세탁 거래량을 처리했다고 추정했다. 바이비트의 자산은 14억 달러의 이더리움을 포함하여 도난 후 53억 달러 이상 감소했다.
증거가 쌓이는 동안에도 eXch는 계속해서 버텼다. 도난당한 나머지 자산을 동결하라는 바이비트의 요청에 저항했으며, 심지어 이전 상호작용에서 인식된 무시에 대한 좌절감을 표현하는 이메일을 보내기도 했다.
4월 말에 상황은 더욱 혼란스러워졌다. eXch는 4월 27일 갑자기 운영을 중단하며 "불특정 법 집행 조치"를 인용했다. 몇 시간 후, 중단 공지는 사라졌고 거래소는 운영을 재개했다.
4월 28일, 거래소는 리더십 전환을 발표했다. 새로운 팀이 5월 1일부터 인프라를 인수하는 동안 원래 팀은 컨설턴트로 남을 것이다. 퇴임하는 리더십의 한 권고는 과거 운영과의 연결을 가리기 위해 전용 유동성 풀을 구현하는 것이었다.
이것이 진정한 개혁 시도인지 아니면 단순한 외관상의 리브랜딩 노력인지는 여전히 불분명하다. 그러나 남아 있는 API 접근은 위협 행위자가 eXch의 익명화 도구를 계속 사용할 수 있음을 시사하며, 범죄 수익을 세탁할 의향이 없다는 공개적 주장을 약화시킨다.