크로스체인 해킹 ‘진행 중’…수백 지갑 털렸다, 피해액 1억 5,000만 원 넘어

수백 개 지갑 털린 크로스체인 해킹…ZachXBT “진행 중인 공격” 경고

복수의 블록체인 네트워크를 겨냥한 대규모 해킹 공격이 현재도 진행 중이다. 공격자들은 EVM 호환 체인에서 수백 개의 암호화폐 지갑을 노려 소액씩 자금을 탈취하고 있으며, 피해액은 이미 10만 7,000달러(약 1억 5,486만 원)를 넘어섰다.

해킹 사실은 2일(현지시간) 블록체인 분석가 ZachXBT가 처음 경고했다. 그는 “피해자 대부분은 한 지갑당 2,000달러(약 289만 원) 미만의 암호화폐를 도난당하고 있지만, 공격 규모가 상당하다”며 개인 피해보다는 광범위한 확산에 주목해야 한다고 지적했다.

이번 공격은 12월 잇따른 해킹 사태의 연장선으로 보인다. 지난달에만 총 26건의 주요 보안 사고가 발생해 약 7,600만 달러(약 1,100억 원)가 탈취됐다. 그중 크리스마스 당일 발생한 Trust Wallet 브라우저 확장 프로그램 해킹은 약 700만 달러(약 101억 원) 상당이 도난당한 사례다.

여러 체인 동시 노린 조직적 공격…주소 유사 패턴도

ZachXBT는 의심되는 공격자 주소 ‘0xAc29bFB’를 특정하며, 해당 주소와 연결된 피해자들의 지갑 목록을 수집 중이다. 그는 “피해를 입은 사용자는 X(구 트위터)를 통해 직접 제보해 달라”고 당부했다.

이번 공격은 고도화된 ‘분산형 크로스체인 해킹’으로 분석된다. 즉, 공격자가 단일 대형 지갑을 겨냥하지 않고 다수의 소규모 지갑에 각기 다른 체인에서 동시 침투해 자금을 분산 탈취하는 방식이다. 이로 인해 탐지가 늦어지고 응급 대응도 힘든 구조가 완성된다.

보안 연구자들도 이번 공격이 최근 유행하는 ‘주소 위장(address poisoning)’이나 ‘개인키 유출’ 사기와 유사한 정황이 존재한다고 진단했다. 특히 ‘크로스체인’ 전개 특성상, 뛰어난 인프라와 체계적인 조직력이 갖춰졌다고 보인다.

Trust Wallet 확장 프로그램 해킹…공급망 공격 흔적

이번 경고는 Trust Wallet 사용자가 아직 피해 여파에서 벗어나지 못한 가운데 나왔다. 최근 Trust Wallet의 크롬 확장 프로그램은 크롬 웹스토어에서 일시 제거되며 피해 복구 확인 절차까지 지연됐다.

회사 CEO 이오윈 첸은 “크롬 신버전 출시 과정에서 기술적 오류가 있었다”고 설명하며, 보안팀이 문제 해결에 나섰다고 강조했다. Trust Wallet은 총 2,520개의 피해 지갑을 확인했으며, 총 피해 금액은 약 850만 달러(약 122억 원)에 달한다고 밝혔다.

해킹 원인은 버전 2.68의 악성 확장 프로그램이었다. 이 버전은 정상처럼 보였고 구글 심사를 통과했지만, 내부에 복구 구문(시드문구)을 빼내는 숨겨진 코드를 포함하고 있었다. 공격은 12월 24~26일 사이 발생했으며, 피해는 이더리움(ETH), 비트코인(BTC), 솔라나(SOL) 등 여러 체인에서 동시에 이어졌다.

조사 결과, 이번 해킹은 ‘Sha1-Hulud’로 명명된 공급망 공격 일환이었다. 이 공격은 깃허브 비밀 관리 실패와 구글 API 키 유출 등을 활용해 기업 보안망을 우회했다. 내부 승인 없이 악성 확장 프로그램을 등록 가능케 한 방식이다.

보안 위협, 기술보다 사람의 실수 노린다

보안 전문가들은 이번 사건이 암호화폐 보안의 새로운 위협 지형을 보여준다고 입을 모은다. 스마트 컨트랙트 코드의 결함이 아니라, 운영상의 실수나 체계 부실, 사람을 노린 ‘사회공학’적 수법이 더 큰 위협으로 떠오른다는 의미다.

면제 플랫폼 '이뮤니파이(Immunefi)'의 CEO 미첼 아마도르는 “이제 공격자들은 잘 짜여진 코드보다, 출시 이후의 업데이트 과정, 통합 구간의 허점을 노린다”고 진단했다.

실제 지난해 12월 해킹 피해는 전월 대비 60% 감소한 7,600만 달러였지만, 단건 피해액은 여전히 컸다. 한 사용자는 비슷하게 생긴 가짜 지갑 주소로 전송해 5,000만 달러(약 723억 원)를 날렸고, 또다른 해킹은 멀티시그 지갑의 개인키가 유출되며 약 2,730만 달러(약 395억 원) 피해를 입혔다.

뉴욕 브루클린에 거주하는 로널드 스펙터는 약 100명의 코인베이스 사용자에게 사기 전화를 걸어 총 1,600만 달러(약 231억 원)를 갈취한 혐의로 기소되기도 했다.

보안 경계심 높여야…운영절차·확장 프로그램 주의

연이은 해킹 사건은 단지 기술적 방비만으로는 충분치 않다는 경고다. 사용자는 지갑 확장 프로그램 설치 전 반드시 개발자 출처와 업데이트 기록을 확인하고, 주소 복사·붙여넣기 시에는 항상 뒷부분 문자열까지 일치하는지 검토할 필요가 있다.

암호화폐가 탈중앙화된 만큼 책임도 분산되어 있다. 이번 크로스체인 공격처럼 관리자가 없는 환경이라면 피해 회복 또한 더 어려워진다. 바야흐로 개인의 보안의식이 자산 보호의 최전선이 되고 있다.

기사요약 by TokenPost.ai

🔎 시장 해석

이번 대규모 크로스체인 해킹은 단일 플랫폼의 문제가 아닌, 전체 웹3 생태계의 보안 경각심을 일깨운다. 스마트컨트랙트가 강화되면서 사람이나 운영 시스템의 허점을 파고드는 공격이 급증하고 있어, 보안 패러다임 전환이 절실하다.

💡 전략 포인트

- 브라우저 확장 프로그램 설치 전 출처와 버전 확인 필수

- 지갑 주소 입력 시 반드시 전체 문자열 대조

- 신원 미확인자가 보내는 디앱 링크, 지갑 연동 알림 주의

📘 용어정리

- EVM 호환 체인: 이더리움 가상 머신(EVM)을 기반으로 한 블록체인 네트워크. 메타마스크 등 이더리움 지갑과 연동 가능

- 크로스체인 해킹: 서로 다른 블록체인 간 자산을 이동 또는 연계하는 구조를 악용해 자금을 탈취하는 공격

- 공급망 공격: 개발 과정이나 배포 경로에서 사용되는 외부 도구나 코드에 악성 요소를 심어 침투하는 방식

💡 더 알고 싶다면? AI가 준비한 다음 질문들

Q. 이번 크로스체인 해킹은 어떤 방식으로 이뤄졌나요?

A. 공격자는 여러 EVM 기반 체인에서 무작위 지갑에 침투해 소액씩 자금을 탈취하는 방식으로 진행 중입니다. 이는 탐지를 어렵게 하며 피해가 광범위하게 확산되는 결과를 낳고 있습니다.

Q. Trust Wallet 확장 프로그램 해킹은 왜 문제였나요?

A. 정상으로 보였던 확장 프로그램에 복구 구문을 유출하는 코드가 포함됐고, 구글 크롬의 검증을 통과해 이용자 피해가 발생했습니다. 이는 공급망 공격의 전형적인 사례입니다.

Q. 공급망 공격이란 무엇인가요?

A. 개발자나 기업이 믿고 사용하는 도구나 외부 서비스에 악성코드를 심어 배포 과정에서 보안을 뚫는 공격 방식입니다.

Q. 어떤 보안 수칙을 지켜야 하나요?

A. 크롬 확장 설치 시 개발자 정보와 버전을 확인하고, 디앱 접근 및 주소 복사 시에는 전체 주소가 정확히 일치하는지 확인해야 합니다. 또 지인이나 기업을 사칭한 메시지에 특히 주의하는 것이 좋습니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.