멀티시그 지갑, 생성 6분 만에 해킹…이더리움 $1,260만 상당 세탁 정황

서도윤 기자

2025.12.18 (목) 22:33

고래 투자자의 멀티시그 지갑이 생성 직후 공격자에게 탈취돼 약 44일간 이더리움 등 총 4,000만 달러 이상 피해가 발생했다고 드러났다.

멀티시그 지갑, 생성 6분 만에 해킹…이더리움 $1,260만 상당 세탁 정황 / TokenPost.ai

암호화폐 고래의 멀티시그 지갑이 생성 직후 공격자에게 넘어가 44일간 단계적으로 자금이 탈취되고 세탁된 것으로 드러났다. 보안 전문가들은 전체 피해 규모가 약 40만 달러(약 59억 400만 원)를 넘을 것으로 내다봤다.

블록체인 보안 업체 펙쉴드(PeckShield)는 12월 12일(목) X(구 트위터)를 통해 한 고래 투자자의 멀티시그(multisignature) 지갑이 약 2,730만 달러(약 402억 6,000만 원)의 피해를 입었다고 밝혔다. 공격자는 이더리움(ETH) 약 4,100개, 즉 1,260만 달러(약 185억 9,300만 원)를 토네이도 캐시(Tornado Cash)를 통해 세탁했으며, 현재 유동성 자산 200만 달러(약 29억 5,100만 원)와 아베(AAVE)에서의 레버리지 롱 포지션 역시 보유 중이다.

그러나 해켄 익스트랙터(Hacken Extractor)의 디지털 포렌식 책임자 예호르 루디치아(Yehor Rudytsia)는 실제 피해 규모가 4,000만 달러(약 589억 원)를 넘을 수 있다고 경고했다. 루디치아는 이번 사건의 조짐이 지난 11월 4일 처음 시작됐으며, 피해자는 애초부터 해당 지갑을 실질적으로 통제하지 못했을 가능성이 높다고 보았다.

온체인 데이터에 따르면 문제의 멀티시그 지갑은 11월 4일 오전 7시 46분(UTC)에 피해자의 계정에 의해 만들어졌지만, 단 6분 만에 공격자가 소유권을 가져갔다. 루디치아는 “공격자가 처음부터 이 지갑을 만들고 자금을 옮긴 후, 즉시 소유자를 자신으로 바꾼 것”이라고 지적했다. 사실상 계획적인 ‘멀티시그 사칭’ 범죄다.

이번 사건은 멀티시그 지갑이라고 해도 설정 단계에서 보안이 허술하면 공격에 쉽게 노출될 수 있다는 점을 보여준다. 단순히 ‘다중 서명’이라는 구조에만 의존할 것이 아니라, 초기 생성 및 권한 설정 과정에서도 강력한 보안 점검이 이뤄져야 한다는 경각심을 주고 있다.

기사요약 by TokenPost.ai

🔎 시장 해석

최근 대형 멀티시그 지갑 해킹은 암호화폐 시장 전반에서 보안 설계의 중요성을 다시 환기시키는 계기가 됐다. 중앙화 거래소나 개인 지갑뿐만 아니라, 멀티시그라는 고급 보안수단조차도 방심할 경우 취약점이 될 수 있다는 우려가 제기된다.

💡 전략 포인트

- 멀티시그 지갑 생성 초기 보안 검증 절차 강화 필요

- 온체인 소유권 이전 여부 실시간 모니터링 도입 검토

- 토네이도 캐시 등 믹싱 서비스로의 이체 감지 및 대응 시스템 구축

📘 용어정리

- 멀티시그(multisignature) 지갑: 여러 명의 서명을 동시에 요구해 자산을 보호하는 지갑 방식

- 토네이도 캐시(Tornado Cash): 프라이버시 강화를 위해 암호화폐 거래내역을 섞어주는 믹싱 서비스

- 아베(AAVE): 크립토 담보 기반 대출·예치 서비스를 제공하는 디파이(DeFi) 프로토콜