인기 하드웨어 월렛 '레저' 보안 사고에 디파이 생태계 발칵

인기 암호화폐 하드웨어 월렛 제공업체 '레저(Ledger)'가 해킹 공격에 노출돼 연결된 디파이 생태계 전체가 타격을 입었다.

14일(현지시간) 레저는 공식 채널을 통해 "악성코드가 주입된 '레저 커넥트 키트'를 확인하고 제거했다"며 해킹 사실을 확정했다. 업체는 "악성 버전을 대체할 정품 버전을 작업하고 있다"면서 "당분간 모든 디앱(dApp) 이용을 중단해달라"고 요청했다.

'커넥트 키트'는 디파이 프로토콜과 하드웨어 월렛을 연결해주는 소프트웨어다. 레저가 관리하며 메타마스크, 코인베이스, 스시, 리도 등 다양한 탈중앙 앱(dapp, 댑)에 널리 사용되고 있다.

해커는 커넥트 키트의 깃허브 라이브러리에 월렛 자산을 탈취하는 '악성코드'를 주입, 이를 사용하는 웹사이트나 앱의 프론트엔드를 조작했다. 해커는 해당 웹이나 앱에 접속한 사용자에 팝업창을 띄워 월렛 연결을 유도한 것으로 알려졌다.

대형 플레이어들이 해당 라이브러리를 사용하고 있었기 때문에 이번 공격은 생태계에 광범위한 피해를 줄 수 있었다. 레저 보안 사고로 인해 재퍼(Zapper), 스시스왑(SushiSwap), 팬텀(Phantom), 밸랜서(Balancer), 리보크캐시(RevokeCash) 등이 문제를 보고했다.

스시스왑을 일찍이 위험 상황을 알리고 사용자 접근을 제한시켰다.

매튜 릴리 스시 최고기술책임자(CTO)는 "웹3 커넥트가 손상된 것 같다"면서 "악성코드를 주입해 수많은 디앱에 영향을 줄 수 있는 만큼 추가 공지가 있을 때까지 디앱 이용을 중단해달라"고 경고했다.

이후 손상 의심 커넥터는 '레저 커넥터'로 추정된다면서 "이를 사용하는 모든 댑이 취약한 상황이며 단일 댑이 아닌 여러 댑에서 피해가 발생할 수 있다"고 전했다.

또한 "레저 월렛 커넥트를 제거하기 위해 노력 중"이라면서 "스시 페이지가 열려 있고 월렛 연결 팝업창이 나오면 접촉하거나 월렛을 연결하지 않도록 주의하라"고 촉구했다.

메타마스크는 해킹 발생 2시간 만에 악성코드 제거를 위한 수정 작업을 진행했다고 밝혔다.

현재 레저는 악성코드 버전을 삭제하고 대체 버전을 배포하며 수습에 나서고 있다.

레저는 해킹 발생 5시간 만에 내놓은 사후 분석 결과에서 "전직 레저 직원이 피싱 공격의 타깃이 됐으며 이후 해커가 악성코드를 주입한 '레저 커넥트 키트'를 퍼블리싱했다는 사실을 확인했다"고 발표했다.

현재는 악성코드를 제거하고 레저 커넥트 키트 버전을 업데이트다고 밝혔다. 다만, 안전을 위해 24시간 이후 사용을 권장한다고 덧붙였다.

업체는 "자금이 빠져나가는 틈을 2시간 이내에 차단했으며, 레저 하드월렛 기기나 레저 라이브 앱이 손상된 것은 아니다"라고 강조했다.

아울러, 스테이블코인 발행사 테더가 해커 지갑을 동결한 상태이며, 고소장을 제출하여 법 집행 기관과 협력해 조사를 진행 중이라고 밝혔다.

레저 커넥트 손상에 따른 정확한 피해 규모는 확인되지 않고 있다.

블록체인 보안업체 블록케이드는 "디파이 생태계 전반에 배치돼 있던 커넥트 키트가 공급망 공격을 받았다"면서 최대 15만 달러의 손실을 추정했다. 레저가 코드를 수정했지만 여전히 위험에 노출된 사이트나 이용자가 있을 것이라고 우려했다. 블록체인 데이터 분석업체 룩온체인은 약 48만4000달러, 블록체인 탐정 잭XBT(ZachXBT)는 약 61만 달러(7억8800만원) 상당이 탈취됐을 것으로 추산하고 있다.

[email protected]