
니르바나 파이낸스 재시작: 스마트 계약 공격으로 사상 최초로 유죄 판결을 받은 해커는 어떻게 체포되었는가?
저자: @Web3Mario
요약: 지난주에는 중요한 사건들이 많았습니다. 연준(Fed)이 비교적 공격적으로 금리를 50bp 인하했고, 일본은행은 그에 반해 현 상태를 유지했습니다. 이는 적어도 향후 몇 주 동안은 과도한 악재가 발생하지 않을 가능성이 크다는 점을 시사합니다. 관련 분석 기사는 이미 많이 나와 있어서 여기서는 따로 언급하지 않겠습니다. 다만 이 과정에서 두 가지 논리를 주시하면 위험을 상대적으로 쉽게 파악할 수 있습니다. 하나는 고용 시장의 회복 여부이고, 다른 하나는 인플레이션 재발화 리스크입니다. 그 외에도 제 눈길을 끈 소식이 있었는데, 바로 솔라나(Solana) 기반 알고리즘 스테이블코인 프로젝트 '니르바나 파이낸스(Nirvana Finance)'가 V2 버전 재시작을 발표한 것입니다. 이 프로젝트는 2022년 7월 해커에게 350만 달러 이상을 탈취당한 후 중단된 바 있으며, 당시 해당 해킹 범죄를 저지른 용의자가 유죄 판결을 받았다는 사실을 기억하고 있었습니다. 최근 재시작 소식은 사법 당국이 도난 자금의 이체 절차를 완료했다는 의미일 텐데, 이는 미국 사법 역사상 스마트 계약 공격으로 인해 최초로 유죄 판결이 내려진 사건으로 간주될 수 있어 보통법 체계(영미법계)에 큰 상징적 의미를 갖습니다. 이후 유사 사건들의 처리 절차가 크게 개선될 것으로 기대됩니다. 따라서 이번 주말을 이용해 이 사건의 전말을 정리해 여러분과 공유하고자 합니다.
니르바나 파이낸스의 플래시론 공격 배경
이 프로젝트를 얼마나 많은 분들이 알고 계실지 모르겠지만, 우선 사건의 배경을 간략히 설명하겠습니다. 먼저 니르바나 파이낸스는 솔라나 기반 알고리즘 스테이블코인 프로젝트였으며, 자세한 내용은 생략하겠습니다. 이 프로젝트는 2022년 초 출범하여 2022년 7월 28일 해커에게 공격을 받아 프로토콜 내 안정화 통화 NIRV의 모든 담보 자산을 탈취당했고, 규모는 약 350만 달러에 달했습니다. 구체적인 공격 방식도 흥미로운데, 해당 프로젝트의 스마트 계약 코드는 오픈소스로 공개되지 않았음에도 불구하고, 해커는 Solend의 플래시론 기능을 활용해 이득을 취했습니다. 당시 팀 내부 유출 의혹 등 ‘감시자 감시’(insider threat)에 대한 비판도 만만치 않았습니다.

또한 이 프로젝트는 해킹 이전에 자체적으로 "자동 감사(automated audit)"를 완료했다고 주장했지만, 실제로는 그 효과가 미비했습니다. 공동 창립자인 알렉스 호프만(Alex Hoffman)은 이후 Cointelegraph와의 인터뷰에서, 공격이 발생한 주에야 비로소 감사 작업을 시작했다고 밝혔습니다. 그는 초기 개발 단계에서는 니르바나 파이낸스가 이렇게 큰 관심을 받을 것이라 예상하지 못했으며, 중국 언론 매체들로부터 주목을 받기 시작하면서 TVL이 급증하게 되었다고 말했습니다. 당시 Luna가 절정에 달했던 시기여서 알고리즘 스테이블코인 분야 전체가 큰 관심을 받았던 것을 고려하면 이해할 수 있는 부분입니다. 성공적인 론칭 이후 솔라나의 CEO 아나톨리 야코벤코(Anatoly Yakovenko) 역시 직접 스마트 계약 감사를 권유했고, 감사 업체의 일정 조정을 도와주기도 했습니다.
담보 자산이 탈취된 이후 프로젝트는 사실상 멈춰섰지만, 디스코드 커뮤니티는 계속해서 공식 관계자들에 의해 운영되었습니다. 커뮤니티는 도난 자금의 흐름을 지속적으로 모니터링했으나, 해커가 Tornado Cash 및 모네로(Monero) 등의 수단을 사용해 자금을 익명화하면서 실질적인 회수는 어려웠습니다. 그러나 2023년 12월 14일, 뉴욕 남부 지방 법원에서 아마존 출신의 고급 소프트웨어 보안 엔지니어 샤키브 아메드(Shakeeb Ahmed)가 니르바나 파이낸스와 또 한 곳의 실명 미공개 탈중앙화 암호화폐 거래소 공격과 관련된 컴퓨터 사기 혐의를 인정했습니다. 미국 검찰청은 이를 스마트 계약 해킹 사건으로는 사상 최초의 유죄 판결이라고 발표했습니다.

물론 프로젝트 창립자는 공격 이후에도 포기하지 않고 Superposition Finance와 Concordia Systems 같은 새로운 프로젝트를 개발했습니다. 일정 수준의 익명성을 유지한 덕분에 부정적 여론(FUD)이 다른 프로젝트로 확산되는 것도 어느 정도 막을 수 있었습니다. 이후 2024년 4월 15일, 샤키브 아메드는 두 암호화폐 거래소 침입 및 사기 혐의로 3년 징역형을 선고받았습니다. 그리고 6월 6일, 도난당한 자금이 팀이 지정한 계좌로 공식적으로 반환되면서, 자금 회수가 완료된 것으로 확인되었습니다.

사건의 진짜 발단은 Crema Finance였으며, 니르바나 파이낸스는 해커 체포 후 자백을 통해 밝혀졌다
실제로 당시 34세였던 이 소프트웨어 보안 엔지니어는 공격 당시 국제 기술 기업에서 근무하며 스마트 계약 및 블록체인 감사를 전문으로 하는 고급 보안 엔지니어였습니다. 또한 소프트웨어 역공학(reverse engineering)에 능통했는데, 이것이 니르바나 파이낸스가 코드를 공개하지 않았음에도 공격을 당한 이유를 설명해 줍니다.所谓 역공학이란 컴파일된 실행 코드를 다시 고급 언어 형태로 되돌려 사람이 읽을 수 있도록 변환하는 기술인데, 스마트 계약은 비록 소스코드가 공개되지 않더라도 컴파일된 바이트코드가 모두 블록체인에 저장되기 때문에, 이러한 기술에 능숙한 개발자는 충분히 원본 코드를 추출할 수 있습니다.
미국 사법부가 이후 공개한 문서에 따르면, 이 사건의 발단은 2022년 7월 약 900만 달러의 피해를 입은 탈중앙화 거래소였으며, 내용을 종합하면 Crema Finance로 판단됩니다. 2022년 7월 4일, 샤키브 아메드는 플래시론 공격을 통해 이 플랫폼을 공격한 후, 나머지 사용자 자산을 돌려주는 대가로 250만 달러의 "화이트햇 보상금(white hat bounty)"을 요구했습니다. 결국 Crema Finance는 약 168만 달러의 보상금을 지불하기로 합의했습니다.
문서에 따르면 니르바나 파이낸스는 해커가 체포된 후 자백함으로써 밝혀졌습니다. 샤키브 아메드의 유죄 판결 증거로는 개인 컴퓨터의 웹 브라우저 기록 분석을 통해 관련 내용을 확인한 것 외에도, 공격 후 다양한 자금 익명화 수단 — 즉 믹싱 프로토콜, Tornado Cash, 모네로 코인 등을 사용한 사실이 포함되어 있습니다. 그렇다면 흥미로운 질문이 생깁니다. 샤키브 아메드가 어떤 실수를 했기에 결국 체포되었을까요?
그 답은 두 가지 가능성이 있습니다. 첫째, 공격 당시 솔라나FM의 분석에 따르면, 공격자의 주소는 후오비(Huobi) 거래소 주소 또는 후오비와 연결된 하위 거래소 주소와 상호작용한 흔적이 있습니다. 왜냐하면 공격 주소의 초기 자금이 그곳에서 유입되었기 때문입니다. 둘째, Tornado Cash 사용상의 실수입니다. Tornado Cash의 자금 익명화 능력은 자금을 얼마나 오래 넣어두었는지, 그리고 그 기간 동안 얼마나 많은 인출 거래가 발생했는지에 따라 결정됩니다. 충분한 시간 동안 자금을 보관하고, 그 사이 다수의 인출이 이루어져야 익명화 수준이 높아집니다. 하지만 공격 직후 아메드는 자금을 Tornado Cash에 입금한 지 얼마 되지 않아 인출을 진행했고, 곧바로 인출 거래가 발생했으며, 인출된 자금은 결국 중심화 거래소인 제미나이(Gemini)로 흘러들었습니다. 이는 사법 당국이 후오비와 제미나이 등 중심화 거래소와 협조함으로써 샤키브 아메드의 신원을 특정하고 뉴욕에서 체포할 수 있었다는 점을 시사합니다.
어찌 됐든 도난 자금의 회수는 좋은 소식이며, 이 사건은 두 가지 중요한 교훈을 제공합니다. 첫째, DApp 개발자들에게 자금 보안은 반드시 우선 고려해야 할 요소라는 점입니다. 둘째, 이제 유사 사건들이 처리될 수 있는 사법적 선례가 마련되었고, 이는 앞으로의 불법 행위에 일정한 억제 효과를 가져올 것으로 기대됩니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














