5천만 달러 DeFi 해킹범, 포켓몬 카드로 돈세탁했다

"크립토는 어차피 가짜 인터넷 머니야." 조나단 스팔레타(36)가 공범에게 보낸 메시지다. 그가 탈취한 금액은 5천만 달러. 그리고 그 돈의 일부는 포켓몬 카드 세트와 고대 로마 동전으로 둔갑했다.

무슨 일이 일어났나

미국 법무부는 2026년 3월 31일, 메릴랜드주 록빌 거주 조나단 스팔레타를 컴퓨터 사기 및 자금세탁 혐의로 기소했다. 뉴욕 남부지방법원이 공개한 기소장에 따르면, 그는 2021년 4월 탈중앙화 거래소 우라늄 파이낸스(Uranium Finance)를 두 차례 해킹해 BNB, BUSD 등 주요 유동성 풀을 완전히 비워냈다.

첫 번째 공격은 2021년 4월 8일. 스팔레타는 우라늄의 리워드 메커니즘 스마트 컨트랙트 취약점을 이용해 약 140만 달러를 빼냈다. 이후 그는 플랫폼 측과 협상을 통해 소위 '버그 바운티' 합의를 끌어냈고, 그 과정에서 38만 6천 달러를 합법적으로 보유하는 형식을 취했다. 검찰은 이 협상 자체가 처음부터 기만적으로 설계된 '가짜 버그 바운티'였다고 주장한다.

두 번째 공격에서 피해 규모는 차원이 달랐다. 우라늄 파이낸스는 결국 운영을 중단했고, 피해자들은 예치 자산을 영구히 잃었다.

포켓몬 카드와 로마 동전, 그리고 토네이도캐시

탈취한 암호화폐는 어디로 갔을까. 검찰에 따르면 스팔레타는 토네이도캐시(Tornado Cash)를 포함한 복잡한 거래 구조를 통해 자금을 세탁한 뒤, 추적이 어려운 고가 실물 자산으로 전환했다.

구체적인 구매 내역이 기소장에 명시돼 있다. 매직: 더 개더링의 전설적인 희귀 카드 블랙 로터스 한 장에 약 50만 달러, 봉인된 알파 부스터팩 18개에 약 150만 달러, 초판 포켓몬 세트에 100만 달러 이상, 그리고 율리우스 카이사르 암살을 기념하는 로마 고대 동전 '에이드 마르(Eid Mar)'에 약 60만 달러를 썼다.

왜 희귀 수집품인가. 블록체인 거래와 달리 실물 자산은 거래 추적이 훨씬 어렵다. 가치 저장 수단이면서 동시에 자금 이동 경로를 끊는 도구로 활용된 셈이다.

광고

광고주 모집

[email protected]

광고

미국 당국은 2025년 2월 이미 관련 암호화폐 약 3,100만 달러를 압수했고, 이번 기소는 그 후속 조치다. 스팔레타는 맨해튼에서 자진 출두했으며 연방 판사 앞에 설 예정이다.

왜 지금, 왜 이 사건이 중요한가

이 사건은 단순한 해킹 기소가 아니다. 세 가지 측면에서 의미가 있다.

첫째, DeFi 범죄의 공소시효와 추적 능력. 해킹은 2021년에 일어났고, 기소는 2026년이다. 약 5년의 시간이 걸렸다. 블록체인 포렌식 기술이 그만큼 발전했다는 뜻이기도 하고, 반대로 범인이 그 오랜 시간 동안 수사망을 피할 수 있었다는 뜻이기도 하다.

둘째, 토네이도캐시 문제가 다시 수면 위로 떠오른다. 미국 재무부는 2022년 토네이도캐시를 제재했고, 개발자들은 형사 기소됐다. 이 사건은 믹서 서비스가 실제 범죄에 어떻게 활용됐는지를 다시 한번 구체적으로 보여준다.

셋째, 국내 투자자 관점에서도 무관하지 않다. 한국은 글로벌 DeFi 참여 비중이 높은 국가 중 하나다. 국내 투자자들도 당시 우라늄 파이낸스에 유동성을 공급했을 가능성이 있으며, 스마트 컨트랙트 취약점은 여전히 현재진행형 위험이다.

승자와 패자, 그리고 회색지대

이 사건에서 명확한 패자는 우라늄 파이낸스 유동성 공급자들이다. 플랫폼은 폐쇄됐고, 예치 자산은 돌아오지 않았다. 압수된 3,100만 달러가 피해자들에게 돌아갈지도 아직 불분명하다.

반면 이 사건은 블록체인 포렌식 업계에는 역설적으로 '성공 사례'다. 수년이 지난 거래 흐름을 추적해 실제 기소까지 이어졌다는 점은 온체인 분석의 가능성을 보여준다.

그런데 한 가지 불편한 질문이 남는다. 스팔레타가 탈취한 5천만 달러 중 압수된 금액은 3,100만 달러다. 나머지 약 1,900만 달러는 어디에 있는가. 포켓몬 카드와 로마 동전은 이미 압수됐겠지만, 전체 자산의 행방이 모두 밝혀진 것은 아니다.