가상자산 거래소 eXch의 폐쇄 발표(2025년 5월 1일) 하루 전인 4월 30일, 이 플랫폼은 4개의 클리어넷 및 다크웹 도메인을 포함하여 알려진 모든 공개 인프라를 제거했습니다. TRM Labs 은 이 거래소가 라자루스 그룹의 바이비트 해킹을 위한 자금 세탁 활동과 관련이 있으며, 아동 성적 학대물(CSAM) 위협 행위자들과 장기간 자금 세탁 관계를 맺어온 사실을 확인했습니다.
주요 요점
- eXch의 폐쇄 발표에도 불구하고 eXch는 비즈니스 파트너에게 애플리케이션 프로그래밍 인터페이스(API) 액세스를 계속 제공하고 있으며, TRM은 혼합 풀 인프라와 일치하는 세탁 행위를 포함한 지속적인 온체인 활동을 관찰했습니다.
- TRM은 eXch가 CSAM 자금의 주요 목적지 중 하나라는 사실을 발견했습니다. eXch가 30만 달러 이상의 CSAM 관련 펀드에 직접 노출된 것을 확인했습니다. 그러나 eXch에 대한 어트리뷰션 계속 진행함에 따라 이 수치는 더 늘어날 것으로 예상됩니다.
- 혼합 풀 모델은 거래를 세분화하고 사용자 간에 유동성을 공유하여 잠재적으로 동일한 유동성 주기에서 불법적인 흐름과 합법적인 흐름을 연결할 수 있기 때문에 eXch의 아키텍처는 조사자와 규정 준수 팀에 위험을 초래합니다. 이는 위험 평가를 복잡하게 만들고 신속한 인프라 라벨링의 중요성을 강조합니다.
초기 종료 후 eXch의 온체인 활동
eXch는 "제한된 기간 동안" 믹서 및 기타 온체인 프라이버시 서비스를 포함한 비즈니스 파트너에게 API 액세스를 계속 제공할 것이라고 밝혔습니다. eXch가 2025년 4월 27일에 브라우저 인터페이스를 오프라인으로 전환한 후, TRM은 2025년 4월 30일에 이전에 CSAM에 노출된 eXch 혼합 풀 작업으로 확인된 것과 유사한 온체인 활동을 관찰했습니다. 이 인프라는 며칠 동안 활성 상태를 유지하며 CSAM에 연결된 신규 출금 자금과 상호 작용했습니다.
독점적인 혼합 풀 메커니즘은 eXch의 아키텍처와 조각의 핵심이며, P2P 거래를 모방하는 방식으로 입력을 재구성합니다. eXch는 자금의 출처와 목적지를 난독화하고 여러 체인을 통해 블록체인 추적을 복잡하게 만들도록 구조를 설계했습니다.
이러한 온체인 활동은 특정 API 액세스가 계속 사용 가능하다는 eXch의 자체 공개와 함께 이 기간 동안 CSAM 연계 행위자들이 eXch 인프라를 계속 사용했을 수 있음을 시사합니다.
바이비트 해킹에 대한 eXch의 링크
2025년 2월 21일 북한 국가 연계 사이버 범죄 그룹 라자루스가 두바이에 본사를 둔 가상자산 거래소 바이비트에서 15억 달러 규모의 이더리움(ETH)을 탈취한 해킹 사건 이후, 이 그룹이 자금 세탁에 이엑스치를 이용했다는 주장이 제기되었습니다. 이후 이엑스치는 코인 유동성에 대한 공개를 슬그머니 철회했습니다. 이는 자산 잔고와 진행 중인 자금 세탁 흐름 사이의 추적 가능한 연관성을 제한하기 위한 것으로 보입니다.
eXch는 공개적으로 개인정보 보호에 중점을 둔 거래소로 자리매김했지만, 생태계 책임성을 저해하는 것으로 평판이 나빠졌습니다. 이는 해킹과 관련이 있을 수 있는 자금 동결에 대한 바이비트의 협조를 거부한 것에서 잘 드러났습니다(아래 참조). 가상자산 업계가 동료 플랫폼을 지원하기 위해 단합된 모습을 보였던 시기에 협조를 거부한 이엑스치는 단숨에 주목을 받았습니다.
eXch의 CSAM 링크
TRM의 분석에 따르면 eXch는 CSAM 자금의 주요 목적지 중 하나입니다. eXch가 30만 달러 이상의 CSAM 관련 펀드에 노출된 것으로 확인되었습니다. 그러나 eXch에 대한 어트리뷰션 계속 진행됨에 따라 이 수치는 더 늘어날 것으로 예상됩니다.
예를 들어, 바이비트 사이버 공격 이후 TRM 분석가들은 가상자산 도난의 배후에 있는 CSAM 위협 행위자와 북한 국가 연계 행위자가 동시에 eXch 인프라를 사용하여 자금을 입출금하는 예기치 않은 온체인 이벤트를 관찰했습니다. 이 사건에서 CSAM 결제는 바이비트 해커들이 자금 세탁 과정의 일환으로 교환한 자산에 유동성을 공급하는 데 사용되었습니다.
이는 eXch의 인프라를 식별하는 TRM의 어트리뷰션 작업이 얼마나 중요한 역할을 하는지를 잘 보여줍니다. 인프라를 매핑 않으면 온체인 위험 평가가 잘못 해석되어 서비스에서 나가는 거래의 위험 수준이나 처음에 CSAM에 연결된 자금의 실제 목적지에 대한 잘못된 가정으로 이어질 수 있습니다.
혼합 풀이란 무엇이며 어떻게 작동하나요?
eXch에 따르면 , "혼합 풀에서는 모든 수신 및 전송 트랜잭션이 함께 혼합되어 특정 주소의 배후에 얼마나 많은 사람이 있는지 알 방법이 없고 추적이 매우 어렵기 때문에 프라이버시에는 매우 좋지만 위험 점수에는 좋지 않습니다."
기존 가상자산 믹서와 이름만 비슷할 뿐, eXch의 혼합 풀 메커니즘은 가상자산 스왑 서비스처럼 작동합니다. 사용자는 한 코인(예: BTC)을 다른 코인(예: 모네로[XMR])과 교환할 수 있습니다. 이 과정에서 BTC와 같은 동일한 토큰 유형의 예치금은 함께 풀링되어 다른 사용자의 인출을 위한 유동성으로 재사용됩니다.
예를 들어, 위협 행위자가 예치한 BTC는 나중에 관련 없는 사용자의 BTC 인출 자금으로 사용될 수 있습니다. 유동성 공유 모델은 특히 동일한 유동성 주기 내에서 거래가 발생하는 경우 불법 입금이 합법적인 출금과 간접적으로 연결될 가능성을 도입하기 때문에 어트리뷰션 복잡하게 만듭니다.
이러한 난독화는 수사관에게 의미 있는 영향을 미칩니다. eXch를 통한 자금 흐름을 추적하려면 표준 거래 추적 이상의 것이 필요하며, 인프라를 신속하게 식별하고 풀링된 유동성이 어떻게 운영되는지에 대한 깊은 이해가 필요합니다. 이는 다음과 같은 블록체인 인텔리전스 도구의 중요한 역할을 강조합니다. TRM Labs과 같은 블록체인 인텔리전스 도구의 중요한 역할을 강조합니다.
특히, eXch의 아키텍처는 유입되는 자금의 출처를 면밀히 조사하지 않는 것으로 보입니다. 서비스의 불투명한 인프라와 결합하여 불법 입금과 관련된 위험이 의도치 않게 관련 없는 인출로 확산될 수 있습니다. 명확한 어트리뷰션 없으면 이러한 인출이 차단되거나 잘못 식별될 수 있으므로 사전 예방적 인프라 라벨링 및 모니터링의 중요성이 더욱 강조됩니다.
혼합 메시징: 운영 중단 또는 전략적 전환?
원래 2025년 4월 17일에 폐쇄를 발표했지만, 2025년 4월 27일에 "불특정 법 집행 조치"를 이유로 그날 공개 인터페이스의 활동을 중단한다고 발표했습니다. 또한 거래소는 범죄 수익금을 세탁할 의사가 없다고 밝혔습니다. 그러나 몇 시간 후 eXch는 해당 메시지를 삭제했고, 이 주제에 대한 공개 기록은 남기지 않았습니다. 그리고 2025년 4월 28일에 플랫폼 운영을 재개했습니다.
공개 운영을 일시 중단했다가 빠르게 재개한 것은 내부적으로 의견 충돌이 있었을 수 있음을 시사합니다. 또는 운영을 중단하지 않고 온체인 가시성과 감시를 줄이기 위한 고의적인 전략이었을 수도 있습니다.
같은 발표에서 eXch는 2025년 5월 1일부터 새로운 팀이 인프라를 관리하게 될 것이라고 밝혔습니다. 기존 경영진은 계속해서 컨설팅 역할을 수행하며 지침과 권장 사항을 제공할 것입니다. 이러한 권장 사항 중 하나는 전용 유동성 풀을 만드는 것으로, 이는 이전 eXch 운영과의 온체인 관계를 모호하게 하려는 시도일 가능성이 높습니다.
eXch가 리브랜딩할 예정인가요?
eXch가 남은 API 운영을 완전히 종료할지 아니면 새로운 서비스로 운영을 재개할지는 확실하지 않습니다. 그러나 남은 API 액세스는 위협 행위자에게 익명화 인프라를 계속 제공할 것입니다. TRM은 인프라 재사용 또는 리브랜딩을 조기에 감지하고 수사관들이 적시에 신뢰도 높은 어트리뷰션 할 수 있도록 eXch와 연결된 지표를 적극적으로 모니터링할 것입니다.
트론, 솔라나 및 기타 23개 블록체인에 대한 보도 내용을 확인하세요.
양식을 작성하여 조사 전문 서비스에 대해 저희 팀과 상담하세요.
