IT

업비트, 가짜 앱토스 코인 정상 입금 사고 발생...긴급 회수조치 나서

선재관 2023-09-25 10:30:55
[사진=업비트]

[이코노믹데일리] 국내 최대 가상자산 거래소 업비트에서 위조 코인 입금을 받아 진짜 가상자산으로 잘못 판매되는 사고가 발생했다.

공격자는 스캐머 봇을 이용해 가상자산 앱토스(APT)를 가장한 ClaimAPTGift라는 위조 코인을 대규모로 불특정 다수의 업비트 계좌로 입금시킨 뒤 업비트 인증시스템에 오버플로우(Overflow)를 가해 무력화 시켜 위조 코인을 정상 코인으로 오인해 정상 입금 처리가 되었다고 알려졌으나 업비트측 관계자에 의하면 "해당 위조 코인 송금은 업비트만이 아니라 전세계 앱토스 지갑에 무작위로 배포되었으며 그 중 일부가 업비트 지갑으로 입금된 것"이라고 밝혔다.
 
지난 24일 업비트는 사기꾼들이 만든 가짜APT토큰을 진짜APT토큰으로 오인 입금처리 했다.  [사진=X 캡쳐]

24일 오후 복수의 암호화폐 커뮤니티에서 "업비트가 위조 앱토스 코인 입금을 처리해줬다"란 퍼드가 퍼졌고, 상황을 인지한 업비트 측에서 입금 받은 계정 중 '위조 앱토스' 토큰을 매도한 사용자에게 "전화로 환수를 요청 중"이라는 내용의 소식이 확산됐다. 

실제로 전화 연락을 받은 한 사용자는 "환수 조치 거절 시 법적 조치에 들어갈 수 있으며 코인 시세 변동에 따른 금액차는 기프티콘으로 보상을 해준다고 했다"며 "증거를 남기려 카톡으로 내용을 남겨달라고 요구했지만 끝내 거부당했다"고 밝혔다. 

 
공격자는 스캐머 봇을 이용해 위조 코인을 정상 코인으로 오인 시켰다.

해외 디파이 전문 리서치 그룹 디파이널리스트(Definalist)는 X(구 트위터)를 통해 "업비트는 APT 토큰 입금 반영 과정에서 'type_argumnets' 부분을 체크하지 않았고, function이 일치하는 모든 토큰을 APT 토큰으로 인식한 것 같다"고 분석했다.

이어 "불행 중 다행인 부분은 스캠 토큰(APT로 인식된 위조 APT 토큰)의 소수점 단위(decimal, 토큰을 나눌 수 있는 최소 단위)는 여섯 자리, 진짜 APT 토큰의 소수점 단위는 여덟 자리였기 때문에 입금 반영된 물량은 두 소수점 자리만큼 축소됐고, 실제로 발생한 피해는 '재앙'으로까지 번지진 않은 것으로 보인다"고 분석했다. 

 
해외 디파이 전문 리서치 그룹 디파이널리스트는 모든 토큰을 APT 토큰으로 인식한 것 같다"고 분석했다.

만약 위조 토큰의 소스코드에 소수점 8자리가 포함되어 있다면 사용자는 $250 대신 $25,000를 받게 되어 잠재적으로 수천 명의 사용자가 대규모 매도를 하게 될 것이라고 지적했다.

업비트 측은 지난 24일 15시 47분 경 앱토스(APT) 지갑 점검으로 인해 입출금 서비스를 일시 중단한다고 공지한 바 있으며 24일 22시 32분 경 "APT 입출금 모니터링 과정에서 비정상적 입금 시도가 확인돼 시스템 점검을 진행했다"고 밝혔다.
 
업비트 입출금 중단으로 앱토스 가격은 지난 24일 오후 8시 40분쯤부터 급등하기 시작했다.

한편 업비트 위조 코인 사태로 앱토스 가격은 이날 오후 8시 40분쯤부터 급등하기 시작했다. 오후 8시 기준 6800원대를 기록한 앱토스는 오후 10시 45분 7200원대까지 6% 급등, 업비트 가격이 급등락하고 거래량이 폭발하는 결과로 이어졌다. 

업계 관계자는 "시장가격 왜곡으로 투자자들의 피해가 발생하는 이면에 업비트는 막대한 거래 수수료 수익은 더 챙기는 아이러니한 상황이 발생했다"고 전했다.

이 사건은 해외 외신과 사회적관계망서비스(SNS), 블로그 등에 공유되며 사용자들의 비판을 받았다. 한 가상자산 분석 블로그는 “신뢰할 수 있는 가상자산 거래소가 어떻게 위조 코인을 진짜 코인으로 인식할 수 있도록 허용할 수 있나”며 “정확한 사실관계가 확인돼야 한다”고 지적했다.