인도 최대 암호화폐 거래소 중 하나인 코인디씨엑스(CoinDCX)가 내부 지갑 해킹으로 약 4,420만 달러(약 614억 8,000만 원)의 피해를 입은 뒤, 최대 25%까지 보상하는 대규모 리커버리 바운티 프로그램을 발표했다. 이번 사건은 7월 19일 발생했으며, 공격자는 솔라나(SOL) 및 이더리움(ETH)을 탈취한 뒤 토네이도 캐시를 이용해 자산 추적을 회피한 것으로 알려졌다.
이번 해킹으로 유출된 자산은 SOL 2,830만 달러(약 393억 7,000만 원), ETH 1,578만 달러(약 220억 원) 규모로, 코인디씨엑스는 즉시 해당 지갑을 봉쇄하고 손실을 회사 자금으로 충당했다. 수밋 굽타(Sumit Gupta) CEO는 피해가 전적으로 거래소의 준비금에서 발생했으며 사용자 자산은 모두 별도 콜드월렛에 철저히 보호돼 있다고 강조했다.
코인디씨엑스의 발표에 따르면 이번 리커버리 바운티 프로그램은 도난 자산 회수에 기여한 자들에게 회수 금액의 최대 25%를 포상금으로 제공한다. 만약 전액을 성공적으로 회수할 경우, 보상 총액은 최대 1,100만 달러(약 153억 원)에 이를 수 있다. 프로그램은 윤리적 해커, 화이트햇 리서처, 사이버 복원력 증진에 관심 있는 모든 개인과 기관에게 열려 있다.
굽타 CEO는 “신뢰를 파괴하는 사이버 범죄는 업계 전체의 문제”라며, “이번 프로그램은 단순한 자산 회수 이상의 의미를 지니며, 웹3 생태계의 신뢰 회복과 보안을 위한 업계 차원의 연대”라고 설명했다. 거래소는 또한 이용자 불안을 잠재우기 위해 빠른 출금 처리도 병행하고 있으며, 지난 24시간 동안 접수된 3만 1,000건의 INR 출금 요청 중 98%는 완료됐고, 나머지 600건도 72시간 내 처리될 예정이다.
하지만 해킹 이후 플랫폼이 사건을 공개하기까지 걸린 시간에 대해 사용자들 사이에서는 불만의 목소리도 나왔다. 글로벌 거래소인 바이비트는 지갑 침해 발생 후 1시간 이내 사용자에게 즉시 공지한 반면, 인도 거래소는 수 시간의 지연이 일반적이라는 지적이다. 이는 2024년 와지르엑스(WazirX)가 2억 3,000만 달러(약 3,197억 원) 규모의 해킹을 당했던 사건과 유사한 흐름으로, 인도 암호화폐 거래소의 정보 투명성과 대응 능력이 다시 도마에 올랐다.
코인디씨엑스는 이번 사건을 계기로 기업의 보안 기준을 한층 강화하고, 리스크 관리를 위한 체계를 재정비하겠다고 밝혔다. 거래소는 해킹에 대응한 투명한 대처와 함께, 산업 전반의 사이버 보안을 끌어올리는 초석을 다지겠다는 입장이다.