12월 24일부터 Trust Wallet accounts에서 사용자 자금이 사라지기 시작했고, 여러 블록체인 네트워크 전반에서 손실액이 600만 달러를 넘어섰다. 지갑 제공사는 브라우저 확장 프로그램 취약성을 인정하기 전까지 30시간이 넘도록 침묵을 지켰다.
어떤 일이 있었나: 확장 프로그램 탈취
12월 24일, 사용자가 트러스트 월렛 브라우저 확장 프로그램에 시드 구문을 입력한 뒤 지갑이 전액 유출됐다는 불만이 처음 surfaced됐다.
이번 취약성은 이더리움 가상 머신(EVM) 네트워크, Bitcoin (https://yellow.com/asset/btc) 및 Solana (https://yellow.com/asset/sol) 블록체인 전반의 계정에 영향을 미쳤다.
온체인 분석가 ZachXBT는 탈취된 자금을 여러 주소로 추적했다. 새로 생성된 한 EVM 지갑은 소량의 ETH부터 7 **ETH (https://yellow.com/asset/eth)**까지 다양한 규모의 입금을 받았고, 그중 한 주소는 여전히 약 75만 달러 상당의 255개 이상 ETH를 보유하고 있다.
비트코인 네트워크에서는 단일 주소로 66건의 트랜잭션을 통해 12 BTC 이상이 탈취되어 100만 달러를 넘겼고, 추가 지갑들에도 1.5 BTC가 전송됐다.
확정된 총 손실액은 600만 달러를 웃도는 수준이다. 자금 이체는 첫 보고 이후 30시간이 넘는 기간 동안, 12월 25일 늦은 시각까지 계속됐다.
Also Read: Bitcoin Slips Below $87,000 As Record Stablecoin Supply Signals Sidelined Capital
왜 중요한가: 장기간의 침묵
트러스트 월렛 측은 12월 26일까지 브라우저 확장 프로그램 취약성에 대한 공개 경고를 내지 않았다. 그 사이 회사는 사용자 계정이 실시간으로 털리고 있는 상황에서도 500달러 이벤트 홍보와 연말 인사 등 프로모션 콘텐츠를 게시했다.
보안 전문가들은 두 가지 가능성을 지적한다. 업데이트 과정에서 악성 코드가 의도적으로 삽입됐거나, 실수로 악용 가능한 취약점이 도입됐을 수 있다는 것이다. 플랫폼 측은 이후 브라우저 확장 프로그램 결함을 해결했다고 밝혔지만, 자금 이체는 12월 25일까지 계속됐다.
사용자들은 공식적인 설명과 포괄적인 보안 감사 결과가 나올 때까지 브라우저 확장 프로그램 사용을 중단할 것을 권고받고 있다.
Read Next: Crypto Liquidations Surpass $150 Billion in 2025, CoinGlass Reports