 ▲ 암호화폐 범죄, 암호화폐 해킹/AI 생성 이미지 |
지난 2021년 가상자산 거래소 우라늄 파이낸스(Uranium Finance)를 해킹해 5,330만 달러 이상의 자금을 탈취한 범인이 5년 만에 사법 당국에 붙잡혔다.
3월 30일(현지시간) 비인크립토 보도에 따르면 뉴욕 남부지검 제이 클레이튼(Jay Clayton) 검사장은 메릴랜드주 록빌 출신의 36세 남성 조나단 스팔레타(Jonathan Spalletta)를 컴퓨터 사기와 자금 세탁 혐의로 기소하였다고 발표하였다. 스팔레타는 온라인상에서 ‘크툴혼(Cthulhon)’이라는 가명으로 활동하며 2021년 4월 당시 바이낸스 스마트 체인(Binance Smart Chain) 기반의 탈중앙화 거래소였던 우라늄 파이낸스를 두 차례에 걸쳐 공격한 혐의를 받고 있다.
검찰 공소장에 따르면 스팔레타는 2021년 4월 8일 우라늄 파이낸스의 스마트 컨트랙트 취약점을 이용해 비정상적인 보상을 인출하는 방식으로 첫 번째 해킹을 감행하였다. 이후 그는 거래소 측에 보안 취약점을 해결해 주겠다는 명목으로 접근하여 훔친 자금 중 약 38만 6,000달러를 버그 바운티로 챙기는 파렴치한 계약을 강요하였다. 스팔레타는 수사망을 피하기 위해 해당 자금을 돌려주는 조건으로 면책을 시도하였으나 이는 결국 위장된 합의에 불과했다는 사실이 밝혀졌다.
스팔레타의 범행은 여기서 멈추지 않았다. 그는 같은 달 28일 우라늄 파이낸스의 거래 로직에 있는 중대한 결함을 다시 한번 공략하여 26개의 유동성 풀에서 약 5,330만 달러 규모의 자산인 비트코인(Bitcoin, BTC)과 이더리움(Ethereum, ETH) 등을 탈취하였다. 이 공격으로 우라늄 파이낸스는 운영 자금을 모두 잃고 결국 폐쇄되었으며 수많은 투자자가 막대한 피해를 입었다. 스팔레타는 탈취한 가상자산을 믹싱 서비스인 토네이도 캐시(Tornado Cash)를 통해 세탁하며 3년 넘게 자금을 은닉해 왔다.
국토안보수사국(Homeland Security Investigations, HSI) 샌디에이고 지부의 케빈 머피(Kevin Murphy) 특별 수사관은 “스팔레타는 정교한 스마트 컨트랙트 해킹 기술을 개인의 부를 축적하고 건전한 가상자산 생태계를 파괴하는 데 악용하였다”라고 지적하였다. 클레이튼 검사장은 이번 기소가 가상자산 공간에서 벌어지는 기술적 착취 행위가 결코 면죄부를 받을 수 없음을 보여주는 강력한 메시지라고 강조하였다. 스팔레타는 컴퓨터 사기 혐의로 최대 10년, 자금 세탁 혐의로 최대 20년 등 총 30년의 징역형을 선고받을 위기에 처해 있다.
가상자산 업계는 이번 사건이 디파이 보안의 취약성을 다시 한번 일깨워준 사례라고 평가하며 사법 당국의 추적 기술 발전에 주목하고 있다. 스팔레타가 세탁한 자금을 현금화하거나 이동시키는 과정에서 남긴 미세한 흔적을 추적해 낸 이번 수사 결과는 향후 유사 범죄 예방에도 기여할 것으로 보인다. 투자자들은 스마트 컨트랙트 보안 감사의 중요성을 재확인하며 사법 정의가 실현되는 과정을 신중히 지켜보고 있다.
*면책 조항: 이 기사는 투자 참고용으로 이를 근거로 한 투자 손실에 대해 책임을 지지 않습니다. 해당 내용은 정보 제공의 목적으로만 해석되어야 합니다.*