퓨어빗서 사라진 이더는 지금 어디 있을까?
퓨어빗서 사라진 이더는 지금 어디 있을까?
  • 황치규 기자
  • 승인 2018.11.13 18:23
  • 댓글 0
이 기사를 공유합니다

센티넬, 먹튀 논란 총정리 보고서 공개...현금화 시도 정황 공유

지난 9일 암호화폐 거래소 퓨어빗 운영진으로 추정되는 이들이 투자자들에게 자체 토큰인 퓨어코인을 팔고 받은 이더를 갖고 잠적했다는 논란의 여진이 계속되고 있는 가운데, 탈중앙화된 보안 플랫폼을 표방하는 센티넬 프로토콜이 이번 사건을 종합적으로 정리한 보고서를 공개해 눈길을 끈다.

퓨어빗은 거래소 수익의 90%를 매일 이더(ETH)로 배당하고, 거래 수수료의 100%를 자체 토큰인 퓨어코인으로 보상한다고 홍보하는 가운데 진행한 ICO를 통해 1만3678개의 이더리움 토큰(280만달러 규모)을 투자받았다.

퓨어빗 운영진으로 추정되는 이들은 공식 웹사이트 폐쇄 이전 카카오 공식 커뮤니케이션 채널에서 사용자들을 강제로 퇴장시켰다. 이들의 신원은 아직도 모호하다. 퓨어빗 논란이 확산될 무렵 센티넬 프로토콜이 운영하는 웁살라(Uppsala) 사고 대응팀은 이번 사고에 사용된 악의적인 지갑 주소들을 센티넬 프로토콜의 위협 평판 데이터베이스(TRDB)에 등록하는 것으로 조사를 시작했다.

 

시작부터 빈틈이 많았던 ICO 프로젝트

센티넬 보고서에 따르면 퓨어빗이 진행한 ICO는 처음부터 이상한 점이 많았다. ICO는 한국 정부가 사실상 금지하고 있지만 퓨어빗은 조작된 사업자 등록번호를 통해 사업자 등록이 완료된 것으로 홍보해왔다.

회사를 운영하는 익명의 팀 구성에 대한 정보도 없었다. 퓨어빗은 조직내 팀원 정보, 가능한 파트너사 혹은 초기 투자회사 등에 대한 정보를 공개한 적이 없다. 

최소한의 안전 장치도 없었다. 퓨어빗은 단기간에 투자자들로부터 자금을 모으기 위해 투자자 확인을 위한 어떠한 형태의 KYC(Know your customer)도 진행하지 않았고 최종 단계에서 코인 분배의 투명성 확보에 필요한 스마트 컨트랙트도 사용하지 않았다.

웹사이트도 다른 곳을 그대로 카피했다고 보고서는 지적했다. 기업들은 가능한한 빨리 도메인명을 확보하려고 하는 것이 일반적인데 반해, 후이즈(WHOIS) 기록에 따르면 퓨어빗 도메인명은 ICO 프리세일 시작 7일전에 등록됐다.

현금화 시도 정황 곳곳에서 포착

퓨어빗은 투자자들에게 자금 모집을 위한  자사의 지갑 주소가 아래와 같다고 웹사이트에 공개했다.

'0x7DF1BD58e8Fd49803E43987787adFecB4A0A086C'

사라진 이더리움의 흐름을 추적한 결과 웁살라팀은 현재 업비트, 블록트레이즈, 캐셔레스트와 같은 여러 거래소를 통해 퓨어빗 운영진으로 추정되는 이들이 현금화를 진행 중에 있다는 것을 알 수 있었다고 설명했다.

업비트와 캐셔레스트는 중앙화된 국내 암호화폐거래소고 블록트레이즈는 영국 캐이먼 군도에 있는 탈중앙화거래소(DEX)다. 아래는 퓨어빗 운영진으로 추정되는 이들이 자취를 감준 후 그들의 지갑으로부터 암호화폐가 전달된 과정을 웁살라 파트너사인 블록시닷인포 지원을 받아 도식화한 그림이다.

그림2

그림2는 사라진 13,678 ETH의 위치에 관한 자세한 설명이다. 웁살라팀은 32.117 ETH의 자금이 캐셔레스트 거래소에 전달된 것을 확인했고, 여기에 사용된 지갑 주소는 '0x72bcfa6932feacd91cb2ea44b0731ed8ae04d0d3'이다. 

캐셔레스트는 휴대폰을 통한 이메일 인증과 계좌 확인을 거쳐 토큰 종류에 관계 없이 일일 3000만원까지 입출금 제한을 두는 정책을 적용한다. 보고서는 "퓨어빗 관계자들에게는 이 거래소가 탈취한 코인을 손쉽게 현금화 하는데 적합한 곳이었을지도 모른다.

하지만 웁살라 사고 대응팀은 ETH의 1일 출금한도가 낮은 탓에 현금화가 어렵다고 판단, 캐셔레스트가 아닌 다른 거래소를 물색한 것으로 보인다"고 말했다. 

웁살라팀에 따르면 퓨어빗 운영진으로 추정되는 이들이 블록트레이즈 지갑 주소를 활용해 현금화에 공을 들였다. 일본, 한국, 미국 등에 있는 중앙화된 거래소들의 경우 이미 많은 규제내에서 서비스를 운영 중이기 때문에 금융 사기범들이 현금화하기 쉽지 않은 만큼 거래량이 많은 중앙화 거래소가 이용되는 것으로 보인다는게 울살라 팀 설명이다.

보고서에 따르면 퓨어빗 관련자들이 보유하고 잇는 ETH 토큰을 다른 토큰으로 환전하기 위해 특별한 KYC 요구사항이 없는 블록트레이즈를 선택했했고 세개의 서로 다른 지갑을 통해 블록트레이즈에서 697.6ETH를 이미 현금화한 것으로 확인됐다. 코인을 세탁할 시간을 벌수 있고 자금 추적도 어렵다는 점이 블록트레이즈를 선택하는데 주요한 요인으로 작용했을 것이란 설명이다.

웁살라팀은 퓨어빗 운영진으로 추정되는 이들이  훔친 ETH 토큰을 거래량이 많은  암호화폐인 스팀,  모네로(XMR), 라이트코인(LiteCoin : LTC)등으로 환전하기 위해 블록트레이즈를 이용했는지에 대해서도 예의주시하는 모습이다.

웁살라 팀은 "스팀으로 환전하려는 의도라면 스팀이 널리 알려진 아시아 커뮤니티의 영향으로 인해 아시아권 국가에서 환전을 시도할 것이라는 추정을 가능케 한다"면서 "지속적인 자금 추적을 통해 좀 더 확실한 조사 결과를 발표할 것이다"고 밝혔다.

국내 대형 암호화폐거래소인 업비트로 전달된 750 ETH는암호화폐 거래소에서 이슈가 되면서 현재  동결처리됐다.

웁살라 팀은 이번 사고 발생 직후 협력 관계를 맺고 있는 암호화폐 거래소에 관련된 지갑 주소를 공유했다. 이 회사 API를 쓰는 거래소들은 의심스러운 암호화폐 지갑을 이용한 거래나 자금 유입이 인지될 경우 이를 실시간으로 확인할 수 있다.

암호화폐 개인 사용자들 또한 무료로 다운로드 가능한 크롬 익스텐션을 통해 자금 거래 이전 상대방의 지갑이 정상인지 여부를 직접 확인할 수 있다. 익스텐션 내에서 신고도 가능하다. 웁살라 팀은 관계 당국의 수사가 진행될 경우 용의자에 관한 정보도 제공할 계획이다. 

황치규 기자 delight@thebchain.co.kr



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.