대만 소재 암호화폐 거래소 비토프로(BitoPro)가 지난 5월 8일에 발생한 해킹 공격으로 인해 핫월렛에서 1,150만 달러(약 158억 원) 이상의 디지털 자산을 손실했음을 공식 확인했다. 하지만 이러한 사실이 사고 발생 후 약 3주가 지난 6월 2일에야 공개되면서 암호화폐 플랫폼의 정보 투명성 문제가 다시 도마 위에 오르고 있다.
온체인 분석가 ZachXBT에 따르면, 의심스러운 거래는 이더리움, 트론, 솔라나, 폴리곤 네트워크 상의 핫월렛에서 발생했으며, 자산은 탈중앙화 거래소(DEX)로 유출된 후 매각된 것으로 파악된다. ZachXBT는 6월 2일 X(과거 트위터) 게시물을 통해 사고 발생 후 몇 주 동안 비토프로가 공식 X 계정이나 텔레그램을 통해 해킹 사실을 공개하지 않았다고 지적했다. 블록체인 데이터는 유출된 자산이 암호화폐 믹서 서비스인 토네이도 캐시(Tornado Cash)로 예치되거나 토르체인(THORChain)을 통해 비트코인으로 브릿지(bridge)되는 등, 해커들이 자금 추적을 어렵게 만드는 데 자주 사용하는 패턴이 확인되었다.
비토프로는 5월 9일 시스템 유지보수를 공지했으며 당일 해결되었다고 밝혔으나, 이후 많은 사용자들이 USDT 출금이 제대로 이루어지지 않는다고 보고했다. 사고 발생 3주가 지난 6월 2일, 비토프로는 텔레그램 게시물을 통해 지갑 시스템 업그레이드 중 공격자가 내부 자산 재분배 과정에서 “오래된 핫월렛”을 악용했다고 해킹 사실을 인정했다. 거래소 측은 “충분한 가상자산 준비금을 보유하고 있어 사용자 출금에는 영향이 없다”고 주장하며, 예치, 출금, 모든 거래 기능이 정상적으로 운영되고 있다고 밝혔다. 또한, 도난 자금 추적을 위해 제3자 블록체인 보안 회사를 고용했으며, 향후 새로운 핫월렛 주소를 공개하여 외부 조사를 지원하겠다고 덧붙였다. 이번 사건은 암호화폐 거래소 및 디파이(DeFi) 프로토콜이 해커들의 주요 표적이 되고 있음을 다시 한번 상기시킨다.
지난 5월 22일에는 탈중앙화 거래소 세투스(Cetus)가 약 2억 2천만 달러 규모의 공격을 받았으나, 검증인들이 1억 6,200만 달러를 동결하여 회수하는 데 성공한 바 있다. 또한 6월 2일에는 모듈러 블록체인 네트워크 네르보스(Nervos)에서도 3백만 달러 규모의 자산 탈취 사고가 발생했으며, 도난 자금은 토네이도 캐시를 통해 이더리움으로 스왑되었다. 블록체인 보안 기업 해큰(Hacken)의 분석가들은 비토프로 해킹에 대해 “접근 제어 실패가 이제 웹3에서 가장 중요한 위협 중 하나”라고 언급하며, 실시간으로 유사한 공격 징후를 포착하는 도구의 필요성을 강조했다. 비토프로의 늦은 정보 공개는 사고 발생 시 사용자들에게 신속하고 투명하게 상황을 공유하는 것이 암호화폐 플랫폼의 신뢰 유지에 얼마나 중요한지를 보여주는 사례이다.