솔라나($SOL) 훔친 크롬 확장프로그램…‘크립토 코파일럿’ 거래 위장한 탈취 기승

크롬 브라우저 확장 프로그램 ‘크립토 코파일럿(Crypto Copilot)’이 설치 사용자 모르게 솔라나(SOL)를 탈취한 사실이 드러났다. 이 확장은 겉으로는 정상적인 트레이딩 도구처럼 보이지만, 실제로는 은밀히 공격자의 지갑으로 자금을 이체해온 것으로 밝혀졌다.

보안 전문가들에 따르면 해당 확장은 X(구 트위터)에서 직접 거래를 지원하는 것처럼 가장하며, 솔라나 기반 탈중앙화 거래소 레이디움(Raydium)을 통해 암호화폐 스왑을 실행할 수 있도록 설계됐다. 사용자 인터페이스는 DexScreener 가격 정보를 보여주고, 솔라나 지갑과 정상적으로 연동되는 등 정식 거래 툴처럼 포장돼 있었다.

하지만 그 내부에는 치명적인 기능이 숨겨져 있었다. 사용자가 거래를 서명할 때 이 확장은 자동으로 두 번째 지불 명령을 삽입해, 소량의 SOL을 공격자의 지갑으로 보내는 구조다. 이 추가 명령은 일반 지갑 UI에서는 보이지 않으며, 고급 사용자가 직접 트랜잭션 구조를 열어봐야만 확인할 수 있다. 게다가 이 ‘수수료’는 거래 금액의 일부 또는 소수의 고정 수량으로 책정돼, 이용자가 바로 인식하지 못하도록 설계됐다.

해킹 코드 역시 고도로 난독화된 자바스크립트에 숨겨져 있으며, 외형적으로는 별다른 문제가 없어 보인다. 또 이 확장은 ‘포인트’나 ‘추천 리워드’를 제공하는 척하며 실제로는 정보 수집만 하는 가짜 백엔드 도메인과 연동돼 있어, 사용자 지갑 주소와 트랜잭션 이력을 추적하는 데 이용됐다.

체인상에서는 이 같은 행위가 그저 소액의 SOL 출금처럼 보이기 때문에, 공격자의 지갑 주소나 트랜잭션 내역을 알지 못한다면 식별이 매우 어렵다. 현재 SOL 탈취 피해와 관련해 정확한 피해규모는 공개되지 않았지만, ‘피싱과 유사한 방식’으로 탈취가 반복되고 있는 것으로 전문가들은 분석했다.

이번 사건은 크롬 확장 프로그램을 통한 암호화폐 도난이 얼마나 정교해졌는지를 보여준다. 특히 브라우저의 거래 보조 도구에 대한 사용자 신뢰를 악용한 사례로, 앞으로도 유사한 방식의 위협이 확산될 가능성이 제기된다. 사용자는 확장 프로그램 설치 시 출처와 코드 검증 유무를 반드시 확인해야 하며, 지갑 트랜잭션 내역도 수시로 체크하는 것이 필수적이다.

기사요약 by TokenPost.ai

🔎 시장 해석

‘크립토 코파일럿’ 사건은 브라우저와 디앱 간 연동된 확장 프로그램이 새로운 공격 벡터가 될 수 있음을 입증했다. 거래 과정에서 편의성 제공을 앞세운 UI가 사용자 감시를 우회하면서, 향후 솔라나 생태계뿐 아니라 멀티체인 기반 서비스 전반에도 보안 우려를 확산시킬 수 있다.

💡 전략 포인트

- 확장 프로그램 설치 시 GitHub 소스 공개 여부, 커뮤니티 감사 내역 확인

- Phantom 등 암호화폐 지갑의 트랜잭션 세부 목록 정기 확인

- 표준 AMM이더라도 추가 명령 확인 가능한 브라우저 사용 습관 형성

📘 용어정리

- 레이디움(Raydium): 솔라나 기반 대표 AMM(자동시장조성자) DEX 중 하나

- 라포츠(Lamport): 솔라나의 최소 토큰 단위 (1 SOL = 10억 Lamport)

- DEX Screener: 실시간 탈중앙화 거래소 가격 추적 도구

- 난독화(Obfuscation): 코드를 알아보기 어렵게 변환하는 보안 기술, 악성코드 은폐에 주로 사용됨

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.