**트러스트 월릿(Trust Wallet)**은 약 700만 달러 상당의 암호화폐가 손상된 브라우저 확장 프로그램 업데이트를 통해 탈취됐다고 확인했다.
이번 침해는 12월 24일에 배포된 크롬 확장 프로그램 2.68 버전에만 영향을 미쳤다.
회사에 따르면 모바일 지갑 사용자는 피해를 입지 않았다.
트러스트 월릿을 소유한 **바이낸스(Binance)**의 창립자 **창펑자오(Changpeng Zhao, CZ)**는 지갑이 모든 피해자에게 보상할 것이라고 밝혔다.
자오는 X에 “현재까지 이 해킹으로 700만 달러가 피해를 입었다. 트러스트 월릿이 부담할 것이다. 사용자 자금은 SAFU”라고 썼다.
무엇이 일어났나
블록체인 조사관 ZachXBT는 트러스트 월릿 사용자들의 자금이 빠르게 유출되고 있다는 제보를 받은 뒤, 12월 25일 처음으로 이번 사건을 지적했다.
손실은 확장 프로그램 업데이트 후 몇 시간 내에 발생했으며, 이는 공급망이 손상됐음을 시사한다.
보안 업체 SlowMist는 악성 코드를 분석한 결과, 이것이 제3자 라이브러리의 손상이 아니라 트러스트 월릿의 소스 코드에 직접 주입됐다는 사실을 확인했다.
백도어 코드는 지갑이 잠금 해제될 때 사용자들의 암호화된 시드 문구를 수집한 뒤, 12월 8일에 등록된 공격자 소유 도메인으로 전송했다.
SlowMist 분석에 따르면 공격자는 악성 업데이트가 배포되기 최소 2주 전부터 준비를 시작한 것으로 보인다.
탈취된 자금에는 비트코인, 이더리움뿐 아니라 여러 블록체인 네트워크의 다양한 자산들이 포함됐다.
일부 개별 사용자는 지갑에 접속한 지 몇 분 만에 30만 달러가 넘는 손실을 봤다고 보고했다.
트러스트 월릿은 즉시 사용자들에게 2.68 버전을 비활성화하고 공식 크롬 웹 스토어를 통해 패치된 2.69 버전으로 업그레이드할 것을 촉구했다.
함께 읽기: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
왜 중요한가
이번 사건은 업계의 보안 강화 노력에도 불구하고 브라우저 기반 암호화폐 지갑에 여전히 심각한 보안 취약점이 존재함을 보여준다.
피싱을 통해 개별 사용자를 노리는 공격과 달리, 이번 공격은 트러스트 월릿의 공식 배포 채널을 침투해 올바른 보안 수칙을 지킨 사용자들까지도 피해를 입혔다.
암호화폐 인프라를 겨냥한 공급망 공격은 2024년에 급격히 증가했다.
블록체인 보안 업체 체이널리시스(Chainalysis)는 암호화폐 도난 규모가 2023년 전체 33억 8,000만 달러에 비해, 12월 초까지 이미 34억 1,000만 달러를 넘어섰다고 밝혔다.
트러스트 월릿 침해는 이 지갑의 브라우저 확장 프로그램에서 발생한 두 번째 주요 보안 사고다.
2023년에는 하드웨어 지갑 제조사 레저(Ledger)의 보안 팀이 트러스트 월릿 크롬 확장 프로그램에서 보안 강도를 256비트에서 32비트 엔트로피 수준으로 떨어뜨리는 치명적 취약점을 발견했다.
레저 최고기술책임자(CTO) **샤를 기요메(Charles Guillemet)**는 2023년 취약점이 공격자에게 사용자 상호작용 없이도 지갑을 털 수 있는 길을 열어줬을 수 있다고 말했다.
이 취약점은 대규모 악용이 발생하기 전에 발견·수정됐다.
이번 최신 사건은 개인 키를 오프라인에서 보관하는 하드웨어 지갑이 여전히 대규모 암호화폐 보관에 가장 안전한 선택지임을 다시 한 번 상기시킨다.
브라우저 확장 프로그램은 광범위한 시스템 권한을 필요로 하고, 확장 프로그램 코드와 사용자 컴퓨터 보안 모두에 의존하기 때문에 잠재적 공격 벡터가 다수 존재한다.
함께 읽기: SHIB Price Defies 5,000% Long-Biased Liquidation Wave