🔥 업비트 해킹 자금, 이더리움 익명화 시작… 배후는 라자루스인가?

445억 규모 탈취 → 디파이 → 믹싱으로 이어진 ‘거미줄 세탁 경로’

국내 1위 가상자산 거래소 업비트에서 발생한

445억 원 규모의 해킹 사건이

점점 더 복잡한 양상으로 전개되고 있습니다.
탈취된 솔라나 기반 자산들이

디파이(DeFi)·브리지·익명화 프로토콜을

수차례 오가며 세탁되고 있기 때문입니다.

특히 자금 일부가 이더리움으로 변환된 뒤,

익명화 프로토콜 ‘레일건(Railgun)’으로 이동하면서
이번 공격이 단순 해킹이 아니라

정교한 자금 세탁 체계가 갖춰진

조직적 공격이라는 분석이 나오고 있습니다.

---

📌 1. 업비트 해킹 자금, 어디로 흘러갔나?

솔라나 → USDC → USDT → 이더리움 → 레일건

 

해킹 직후 탈취된 토큰은 여러 지갑으로 쪼개진 뒤(호핑)

복잡한 경로를 따라 이동하기 시작했습니다.

가상자산 분석기업 클로인트,
한성대 조재우 교수 등 전문가 분석을 종합하면

자금 흐름은 아래와 같습니다.

✔ 1차 흐름: 솔라나 계열 토큰 → 솔라나(SOL)

탈취된 24종 토큰 다수가 솔라나 기반 스왑을 통해

SOL로 변환되며 첫 세탁이 시작됨.

✔ 2차 흐름: SOL → USDC → USDT → ETH

이후 SOL은

• 바이낸스,
• 여러 DEX,
• 올브릿지(Allbridge) 같은 크로스체인 브릿지를 통해
  달러 스테이블코인(USDC→USDT)으로 교환됨.

마지막 단계에서는 **ETH(이더리움)**로 전환.

✔ 3차 흐름: ETH → 레일건(Railgun)

이더리움으로 전환된 자금은 **익명화 프로토콜 ‘레일건’**에 입금되기 시작.

조재우 교수는 이렇게 설명했습니다.

“레일건은 말 그대로 익명화 서비스입니다.
누가·얼마를·어디로 보냈는지 완전히 가립니다.”

 

레일건은 **제로지식증명(zk-SNARK)**을 활용해
주소 간 이동 정보를 숨기는 프라이버시 스마트컨트랙트입니다.

즉, 이 단계부터는 자금 흐름을 명확히 추적하기 사실상 어려워집니다.

---

📌 2. 거미줄 세탁 경로에 등장한 주요 프로토콜

🔹 Allbridge(올브릿지)

여러 체인을 연결하는 크로스체인 브릿지
→ 대규모 자금 이동 시 흔히 사용됨

🔹 KyberSwap(카이버 스왑)

다중 DEX의 유동성을 모아주는 멀티체인 스왑 플랫폼
→ 자금을 여러 토큰으로 교환하며 흔적 지우기 용이

🔹 CoW Protocol(코우 프로토콜)

MEV 방지 및 대규모 거래 최적화 기능 제공
→ 추적하기 어려운 주문 매칭 방식 사용

즉, 이번 공격은 단순 출금이 아니라
수십 개 지갑, 여러 스왑 프로토콜,

멀티체인 트랜잭션이 반복된 고도화된 세탁 구조로 보입니다.

---

세계일보 이미지 참고

📌 3. 배후는 북한 라자루스?

“정황은 있지만 아직 단정 짓기 이르다”

이번 사건에서 가장 큰 관심은

**“또 라자루스인가?”**라는 질문입니다.

이유는 다음과 같습니다.

✔ 동일 날짜의 해킹

• 2019년 11월 27일 → 업비트 ETH 580억 탈취
• 2025년 11월 27일 → 업비트 SOL 기반 자산 445억 탈취

정확히 6년 만의 반복, 그것도 같은 날짜.

✔ 2019년 해킹의 공식 결론

2024년, 경찰은 **“2019년 업비트 해킹은

라자루스·안다리엘 소행”**이라고 공식 발표했습니다.

✔ 이번에도 ‘핫월렛’이 뚫렸다

핫월렛 공격은 라자루스의 대표 전술과 유사.

✔ 자금 세탁 패턴이 유사

• 다중 지갑 호핑
• 믹싱
• 브릿지 이동
• 디파이 스왑 반복

하지만 전문가들은 **“아직 단정 짓기엔 이르다”**고 말합니다.

한성대 황석진 교수는 다음과 같이 설명합니다:

“정황은 있지만 배후를 특정하기엔 자료가 부족합니다.
라자루스 도구와 전술을 모방하는 위협 행위자(false flag) 가능성도 존재합니다.”

 

또한 한국 대상 공격 사례인
Operation SyncHole(2025) 등
다른 조직의 사례도 있기 때문에
단순히 패턴만으로 라자루스를 단정하긴 어렵습니다.

---

업비트 이미지 참고

📌 4. 업비트는 어떤 조치를 취했나?

✔ 445억 중 23억 원 상당 동결 성공

일부 자금은 프로젝트 및 글로벌 기관 협력으로 동결됨.

✔ 회원 자산 ‘전액 보전’ 약속

해킹된 자산은 모두
업비트 자체 자산으로 전액 보전될 예정.

✔ 추적 및 추가 동결 작업 진행 중

업비트 관계자는
“지속적으로 자금 추적 중이며,
동결된 자금은 지속 업데이트할 예정”이라고 밝혔습니다.

---

📌 5. 투자자가 이번 사건에서 반드시 배워야 할 것

✔ 1. ‘거래소는 100% 안전하다’는 착각 금물

핫월렛은 원천적으로 위험함.
대형 거래소도 예외가 아님.

✔ 2. 분산 보관 필수

• 장기 보유 자산 → 콜드월렛·하드웨어 월렛
• 거래소 → “딱 필요한 양”만

✔ 3. 해킹·규제 뉴스 = 시장 변동성 트리거

감정적 매매보다
공식 발표·온체인 분석을 먼저 확인해야 함.

✔ 4. 개인 보안은 필수

• OTP(2FA) 의무화
• 피싱·사칭 링크 주의
• 중요 계정 비밀번호 재사용 금지

---

📌 결론: 이번 사건은 또 하나의 ‘보안 경고’

업비트 445억 해킹 사건은
🔹 고도화된 세탁 경로
🔹 라자루스 의심 정황
🔹 6년 전과 같은 날짜
🔹 대형 거래소 핫월렛 취약점
이라는 여러 요인이 겹치며 시장을 크게 흔들었습니다.

 

하지만 동시에
보안·규제·인프라 개선을 촉진하는 계기가 될 것입니다.

 

투자자는 이번 사건을 통해
👉 자산을 어디에, 어떻게 보관할지
👉 내 보안 습관은 괜찮은지
다시 점검해보는 것이 필요합니다.

 

 

 

 

 

참고자료 : 서울경제, 세계일보, 이데일리

 

 

 

👇 포스팅 내용 요약 보기

업비트 해킹 전말 : 배후는 북한 라자루스??

 

 

 

 

#업비트 #업비트해킹 #업비트445억 #가상화폐해킹 #해킹사건 

#라자루스 #북한해킹 #두나무 #네이버 #네이버두나무합병

#솔라나해킹#가상자산 #코인해킹 #자금세탁 #핫월렛 #콜드월렛

#코인뉴스 #암호화폐뉴스 #블록체인보안 #크립토해킹 #가상화폐

#암호화폐 #코인보안 #바이낸스 #카이버스왑 #투자주의 #보안사고

#솔라나 #이더리움 #ETH #USDC #USDT #크립토뉴스 #경제이슈

#거래소해킹 #올브릿지 #CoW프로토콜 #라자루스해킹 #북한사이버공격