휴머니티 프로토콜 3600만달러 해킹 원인 공개…멀티시그 키 관리 실패

탈중앙 신원 프로젝트 휴머니티 프로토콜(Humanity Protocol)이 약 3600만 달러(약 5482억 원) 규모의 H 토큰 해킹 원인을 공개했다. 핵심은 ‘멀티시그 지갑’ 운용 과정에서의 치명적 키 관리 실패였다.

단일 기기에 모든 키 저장…멀티시그 취지 무력화

프로젝트 측 설명에 따르면 이번 공격은 직원의 노트북이 악성 공격자에게 침해되면서 시작됐다. 해당 기기에는 토큰 브리지를 통제하는 여러 개의 개인 키가 저장돼 있었다.

브리지는 서로 다른 블록체인 간 토큰 이동을 담당하는 핵심 인프라로, 통상 멀티시그 지갑을 통해 여러 승인 절차를 거친다. 멀티시그는 여러 사람·기기에 키를 분산해 단일 장애를 방지하는 구조다.

하지만 이번 사례에서는 모든 키가 ‘한 기기’에 저장되며 구조적 안전 장치가 사실상 무력화됐다. 공격자는 단 한 번의 침해로 승인 요건을 충족할 수 있었다.

이더리움·BNB체인 동시 공격…대량 토큰 탈취

공격자는 이더리움 네트워크에서 브리지 관리자 계정 6개 키 중 3개를 확보했다. 이는 통제 권한을 확보하기에 충분한 수준이다. 이후 브리지 소유권을 자신의 지갑으로 이전하고, 악성 코드로 계약을 교체했다.

그 결과 약 1억4100만 개의 H 토큰이 단일 트랜잭션으로 유출됐다.

같은 방식의 공격은 BNB체인에서도 이어졌다. 이번에는 5개 키 중 3개를 확보한 뒤, 무제한 발행 기능이 포함된 코드를 삽입했다. 공격자는 약 2억 개의 H 토큰을 새로 발행해 자신의 지갑으로 이전했다.

“설정 과정에서 키 백업 실수”…내부 관리 허점 드러나

휴머니티 프로토콜 창립자 테렌스 쿽(Terence Kwok)은 멀티시그 구조 자체는 4명으로 분산 설계돼 있었다고 해명했다.

다만 “설정 과정에서 일부 키가 침해된 기기에 백업됐을 가능성이 있다”며 “이로 인해 결과적으로 키가 한 곳에 모이는 문제가 발생했다”고 밝혔다.

프로젝트는 대부분 토큰은 외부 커스터디 업체에, 운영 자금은 MPC(다자간 연산) 방식으로 관리하고 있었으나, 일부 계약에서는 보안 기준이 일관되게 적용되지 않았던 것으로 보인다.

이상 거래 논란과는 ‘무관’…가격 급등 배경 의문

온체인 조사 분석가 잭XBT(ZachXBT)는 이번 키 탈취 사건과 별도로, 공격 이전 시장에서 나타난 수상한 유동성 움직임을 지적했다.

특히 대규모 토큰 언락을 앞두고 H 토큰 가격이 2주 만에 0.20달러에서 0.70달러까지 급등한 점에 의문을 제기했다. 다만 그는 해당 움직임과 해킹 사건 간 직접적인 연관성은 없다고 선을 그었다.

거래 중단·수사 협조…가격은 일부 회복

현재 휴머니티 프로토콜은 문제가 된 브리지의 입출금을 중단했으며, 거래소와 사법당국과 협력해 자금 회수에 나선 상태다.

프로젝트 웹사이트에서 팀 페이지도 제거된 상황이다.

가격 측면에서는 공격 당시 약 0.05달러까지 급락했던 H 토큰이 현재 0.20달러 수준까지 일부 회복됐다. 다만 이는 해킹 전 수준인 약 0.67달러에는 크게 못 미친다.

이번 사건은 멀티시그 구조 자체보다 ‘운용 방식’이 더 중요한 보안 변수임을 드러냈다. 키 분산이라는 기본 원칙이 지켜지지 않을 경우, 고도화된 구조도 단일 실패 지점으로 붕괴될 수 있다는 점을 시장에 다시 한번 상기시키고 있다.