북한 연계 추정 라자루스, 3억달러대 rsETH 탈취금 세탁 본격화

지난 토요일 발생한 2억9000만달러 규모의 rsETH 해킹 자금 세탁이 본격화되고 있다. 온체인 분석가들은 자금 흐름이 BTC 터크(BTC Turk), 바이비트(Bybit) 관련 해킹과 뒤섞인 정황을 근거로, 북한 연계 해킹 조직 라자루스 그룹(Lazarus Group)의 소행 가능성을 제기했다.

1,600건 넘는 거래…12시간 만에 370개 주소 동원

이 과정에서 해커들은 블록체인 브리지(서로 다른 체인을 연결하는 전송 도구)를 대거 활용했다. 특히 탈취의 출발점이었던 레이어제로(LayerZero)까지 세탁 경로에 등장하면서, 복수의 네트워크를 넘나드는 자금 이동이 확인됐다.

온체인 분석가 ‘Specter’는 탈취 직후 12시간 동안 370개 주소를 통해 1,600건이 넘는 거래가 포착됐다고 밝혔다. 평균적으로 25초마다 한 번씩 자금 이동이 발생한 셈이다. 수요일 오전 기준으로는 1억1600만달러가 비트코인(BTC)으로 세탁됐고, 다른 지갑에는 6100만달러가 남아 있는 것으로 집계됐다.

아비트럼 보안 개입으로 추정 수익도 줄어

아비트럼(ARB) 보안위원회가 3만 ETH 이상을 회수하면서 해커의 실현 수익은 2억4500만달러에서 약 1억7500만달러로 줄었다. 다만 세탁 속도 자체는 여전히 빠르며, 피해 규모와 파급력은 디파이(DeFi) 시장 전반으로 번지고 있다.

자금 흐름은 단일 경로에 머물지 않았다. 우산(Umbra) 등 일부 프라이버시 프로토콜을 거쳐 자금이 이동했고, 가장 큰 비중은 스로체인(THORChain)을 통과한 것으로 추정된다. 스펙터는 세탁된 자금의 99%가 THORChain을 거쳤다고 봤다. THORChain 대시보드에는 화요일 하루에만 10만달러 이상의 제휴 수수료가 찍혔고, 블록체인 조사자 Tanuki42는 최근 수수료가 연초 이후 누적 매출의 두 배를 넘는다고 지적했다.

디파이 업계, 연이은 해킹에 ‘피로감’ 커져

이번 사건은 이달 들어 디파이 업계가 겪은 두 번째 대형 해킹으로, 합산 피해액은 5억달러를 훌쩍 넘는다. 여기에 소규모 침해와 피싱까지 이어지며 시장 불안이 커지고 있다.

사건 이후에도 피해는 멈추지 않았다. 전날 밤 추가로 350만달러가 유실됐고, 볼로(Volo)는 두 차례 업데이트를 통해 50만달러와 19.6BTC, 약 130만달러를 회수했다고 밝혔다. 그러나 같은 드레이너(drainer) 계약을 이용한 피싱 공격이 11시간 만에 4명의 피해자로부터 약 60만달러를 빼앗은 것으로 알려지면서, 디파이 보안에 대한 경계심은 더 높아지고 있다.

대규모 해킹 이후 자금 세탁이 ‘브리지’와 프라이버시 도구를 따라 빠르게 확산되는 만큼, 이번 사건은 디파이의 구조적 취약성을 다시 드러낸 사례로 평가된다.

---

기사요약 by TokenPost.ai

🔎 시장 해석
이번 rsETH 해킹은 단순 탈취를 넘어 ‘세탁 속도’와 ‘경로 다양성’에서 기존 사건보다 진화된 양상을 보인다. 특히 THORChain, LayerZero 등 주요 인프라가 반복적으로 활용되며 디파이 생태계 전반의 구조적 취약성이 다시 부각되고 있다.

💡 전략 포인트
대형 해킹 이후에는 관련 프로토콜 토큰 및 브리지 사용량이 급증하며 수수료 수익은 늘지만, 동시에 규제 리스크와 신뢰 하락이 동반된다. 투자자는 단기 트래픽 증가보다 보안 대응 능력과 거버넌스 대응 속도를 핵심 판단 기준으로 봐야 한다.

📘 용어정리
LayerZero: 서로 다른 블록체인을 연결해 자산 이동을 가능하게 하는 브리지 프로토콜
THORChain: 중앙화 없이 체인 간 자산 교환을 지원하는 크로스체인 DEX
드레이너(Drainer): 피싱이나 악성 계약을 통해 지갑 자산을 탈취하는 공격 프로그램

💡 자주 묻는 질문 (FAQ)

Q. 이번 해킹에서 가장 특징적인 점은 무엇인가요? 단순 자금 탈취가 아니라, 12시간 동안 370개 주소와 1,600건 이상의 거래를 활용한 초고속 세탁이 핵심 특징입니다. 특히 여러 블록체인을 넘나드는 브리지 활용이 두드러졌습니다. Q. 왜 THORChain이 크게 주목받고 있나요? 세탁 자금의 약 99%가 THORChain을 거친 것으로 분석되면서, 탈중앙화 거래소가 불법 자금 이동 경로로 활용될 수 있다는 점이 다시 논쟁이 되고 있습니다. Q. 투자자들은 이번 사건에서 무엇을 주의해야 하나요? 브리지, 디파이 프로토콜, 지갑 연결 과정에서 보안 리스크가 여전히 크다는 점을 인식해야 합니다. 특히 의심스러운 링크나 승인 요청은 피하고, 자산 이동 시 검증된 경로만 사용해야 합니다. TP AI 유의사항 TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.