크롬 확장프로그램 '크립토 코파일럿', 솔라나($SOL) 스왑마다 수수료 몰래 탈취

악성 크롬 확장 프로그램이 솔라나 스왑마다 소량의 수수료를 몰래 전송하는 수법이 발견됐다. 사용자는 이런 사실을 모른 채 정상 거래로 착각할 수 있어 주의가 요구된다.

사이버보안 기업 소켓(Socket)은 4일(현지시간) 공개한 보고서에서 ‘크립토 코파일럿(Crypto Copilot)’이라는 이름의 구글 크롬 브라우저 확장 프로그램이 솔라나(SOL) 기반 거래 도중 ‘숨겨진 지갑 수수료’를 공격자 주소로 전송하고 있다고 경고했다. 이 확장 프로그램은 트위터로 알려진 X 플랫폼 피드를 통해 사용자가 직접 솔라나 토큰을 거래할 수 있게 도와주는 프로그램처럼 가장하고 있다.

소켓에 따르면 크립토 코파일럿은 일반적인 지갑 탈취형 악성코드와 달리 사용자의 전 잔액을 빼앗지 않는다. 대신 각 스왑(토큰 교환)마다 ‘0.0013 SOL 혹은 거래 금액의 0.05%’ 중 더 많은 금액을 자동으로 공격자에게 분배하는 방식으로 작동한다. 이는 하나의 거래에 ‘보이지 않는 이중 명령’을 삽입하는 수법으로, 사용자 입장에선 별도의 이체가 포함된 사실을 인식하기 어렵다.

문제의 확장 프로그램은 탈중앙화 거래소 레이디움(Raydium)을 통해 스왑을 실행한다. 그리고 그 뒤에 두 번째 ‘전송 명령’을 추가해 사용자로부터 공격자 주소로 소량의 솔라나를 이체하는 구조다. 지갑 확인 화면에서도 이 과정은 요약된 정보로만 표시되며, 개별 명령어까지는 드러나지 않기 때문에 사용자는 정상적인 단일 거래로 인식하게 된다.

소켓은 “사용자는 겉으로 보기에 하나의 스왑만 서명했다고 생각하지만, 블록체인 상에서는 두 명령어가 동시에 실행된다”며 “이런 방식을 통해 공격자는 지속적으로 거래 수수료를 탈취하고 있다”고 지적했다.

이번 사례는 점점 정교해지는 크롬 악성 확장 프로그램의 위험성을 보여주는 대표적인 예다. 단순한 해킹이나 피싱을 넘어, 탈중앙화 거래 행위 그 자체를 겨냥해 악용하는 방식으로 진화하고 있다.

기사요약 by TokenPost.ai

🔎 시장 해석

사용자 경험을 위장한 악성코드가 증가하면서 브라우저 기반 크립토 거래의 신뢰성 문제가 부각되고 있다. 솔라나 기반 생태계성과 탈중앙화 거래소 모델에 경고등이 켜졌다.

💡 전략 포인트

- 확장 프로그램 사용시, 공식 경로 설치 여부 철저히 검증

- 거래 서명 전, 개별 명령어 세부 내역 확인 습관화

- 트위터 연동형 거래 도구 사용에 각별한 주의 필요

📘 용어정리

- 스왑(Swap): 두 암호화폐를 실시간으로 교환하는 거래

- 악성 확장 프로그램: 브라우저에 악성 행위를 추가하는 플러그인

- 레이디움(Raydium): 솔라나 기반의 자동화된 시장조성(AMM) 탈중앙화 거래소

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.