뉴스
리서치
마켓정보
라운지
커뮤니티
매체소개
고객센터
0
세계 최대 규모의 자바스크립트 코드 저장소인 npm에서 발생한 사상 최악의 공급망 해킹 사태에 대해 주요 암호화폐 기업들이 공식 입장을 내놨다. 폴리곤(MATIC), 레저(Ledger), 트레저(Trezor)는 일제히 이번 공격의 영향을 받지 않았음을 확인하며 사용자 안심에 나섰다.
폴리곤은 9월 8일(현지시간) 발생한 npm 해킹에 대해 자사 기술 아키텍처가 완전히 무사하며, 어떠한 위협도 없었다는 입장을 밝혔다. 폴리곤 블록체인의 중심인 '폴리곤 PoS' 및 'Agglayer'는 모두 안전하다고 강조했다. 폴리곤은 이더리움 가상머신(EVM)을 기반으로 한 대표적 레이어2 플랫폼으로, 수많은 개발자와 디앱이 의존하고 있는 인프라다.
이번 사태를 처음 외부에 알린 인물이 바로 하드웨어 지갑 업체 레저의 CTO인 샤를 기예메트(Charles Guillemet)다. 레저 측은 성명을 통해 "이번 생태계 전체를 겨냥한 공급망 공격에서도 레저 디바이스는 공격 영향권에 있었던 적이 단 한 번도 없었다”며 “레저는 애초에 이런 유형의 공격을 방어하도록 설계되었다"고 덧붙였다.
트레저도 같은 날 공식 채널을 통해 입장을 전하며 모든 기기와 소프트웨어가 안전하다고 밝혔다. 특히 트레저 지갑을 컴퓨터와 연결하기 위해 사용하는 ‘트레저 스위트’ 앱 역시 이번 공격 대상에 포함되지 않았다고 강조했다.
문제가 된 해킹은 유명 자바스크립트 개발자의 npm 계정이 탈취되며 시작됐다. 해커는 의도적으로 악성 코드(클리퍼 멀웨어)가 삽입된 패키지를 업로드했다. 이 멀웨어는 암호화폐 주소를 자동으로 바꿔치기하는 기능을 갖고 있어 피해자가 전송한 코인이 해커의 지갑으로 송금되도록 유도한다.
자바스크립트는 소프트웨어, 웹, 블록체인 개발 등 다양한 분야에서 가장 보편적으로 활용되는 언어다. 이에 따라 악성 npm 패키지가 수십억 번 다운로드될 가능성도 제기된다. 암호화폐 업계에서 "역사상 최대 규모의 공급망 공격"으로 불리는 이유다.
이번 사건을 계기로 전문가들은 사용자들이 웹3 지갑으로 트랜잭션을 검토하거나 체인 위에서 송금 작업을 수행할 때, 반드시 대상 지갑 주소를 반복 확인하고, 수상한 승인을 피할 것을 권고하고 있다.
암호화폐 보안에 있어 '개인 주의'가 어느 때보다 중요한 시점임을 보여주는 대표 사례로 기록될 전망이다.
![[Episode 12] IXO™2024 참여하고, 2억원 상당 에어드랍 받자!](https://f1.tokenpost.kr/2024/03/bk2tc5rpf6.png)
![[Episode 11] 코인이지(CoinEasy) 에어드랍](https://f1.tokenpost.kr/2024/02/g0nu4cmps6.png)
![[Episode 8] Alaya 커뮤니티 입장하고, $AGT 받자!](https://f1.tokenpost.kr/2023/10/0evqvn0brd.png)
![[Episode 6] 아트테크 하고, 에어드랍 받자!](https://f1.tokenpost.kr/2023/08/3b7hm5n6wf.jpg)
![[토큰포스트] 기사 퀴즈 410회차](https://f1.tokenpost.kr/2025/09/r88dltn218.jpg)
![[토큰포스트] 기사 퀴즈 409회차](https://f1.tokenpost.kr/2025/09/hz4poicov3.jpg)
![[토큰포스트] 기사 퀴즈 408회차](https://f1.tokenpost.kr/2025/09/bzxtqjo2ya.jpg)
![[토큰포스트] 기사 퀴즈 407회차](https://f1.tokenpost.kr/2025/09/s8phqanvnd.jpg)
