트러스트 월렛의 브라우저 확장 프로그램에서 보안 사고가 발생하며 약 700만 달러(약 101억 원) 규모의 피해가 확인됐다. 이번 사고는 수백 개 지갑에 영향을 미쳤으며, 특히 버전 2.68 사용자들이 피해를 입었다. 바이낸스 창업자이자 트러스트 월렛 소유주인 창펑 자오(CZ)는 사용자 자금이 전액 보상될 것이라고 약속하며, 내부자 연루 가능성도 시사했다.

브라우저 확장 프로그램에서 취약점 발생

이번 사건은 온체인 분석가 잭엑스비티(ZachXBT)가 처음 경고하며 알려졌다. 그는 커뮤니티 경고를 통해 트러스트 월렛 사용자 다수의 지갑에서 짧은 시간 내 자금이 유출됐다는 사실을 공유했다. 이후 블록체인 보안 기업 슬로우미스트(SlowMist)가 확인에 나서며, 브라우저 확장 프로그램 버전 2.68에서 보안 취약점이 발견됐다고 밝혔다. 슬로우미스트는 사용자들에게 피해 방지를 위해 즉시 해당 확장을 비활성화하고 공식 크롬 웹스토어를 통해 버전 2.69로 업그레이드할 것을 권고했다.

슬로우미스트의 초기 분석에 따르면, 이번 사고에는 공급망 공격이 연루됐을 가능성이 있다. 공격자는 소프트웨어 업데이트 과정에서 악성 코드를 삽입해, 사용자가 지갑을 잠금 해제할 때 시드 프레이즈(지갑의 비밀 복구키)를 탈취하고 이를 특정 악성 웹사이트로 전송한 것으로 추정된다.

모바일 앱 및 다른 버전 사용자는 영향 없어

트러스트 월렛 측은 사고 발생 후 공식 X(구 트위터)를 통해 성명을 내고, 특정 버전의 확장 프로그램이 해킹 피해를 입었다고 인정했다. 하지만 모바일 사용자는 물론 다른 브라우저 확장 프로그램 버전은 영향을 받지 않았다고 강조했다. 이어 아직 업데이트하지 않은 사용자는 확장을 열지 말고 버전 업그레이드를 마칠 때까지 사용을 중단하라고 경고했다. 아울러 피해 사용자에게는 전액 보상이 이뤄질 것이라고 밝혔다.

CZ “피해액 700만 달러, 내부자 연루 가능성도”

바이낸스의 창펑 자오 역시 이번 사고에 대해 직접 언급했다. 그는 트러스트 월렛 사용자 자산은 보상 대상이며, 고객 자금은 안전하다고 밝혔다. 피해 추정 규모는 약 700만 달러(약 101억 원)에 이른다. CZ는 이 사건을 단순한 외부 해킹이 아닌 ‘공격’으로 규정하면서, 내부자 연루 가능성을 배제하지 않았다.

지갑 보안 우려 커지며 업계 경계 강화

이번 사고는 브라우저 기반 지갑 보안의 취약성을 다시 한 번 부각시켰다. 최근 몇 년간 공급망 공격이나 악성 업데이트를 통한 해킹 시도가 늘면서, 개인 지갑 보호에 대한 경각심도 높아지고 있다. 체이널리시스(Chainalysis)는 2024년 들어 12월 초까지 약 34억 달러(약 4조 9,062억 원) 규모의 암호화폐가 도난당했다고 추산했다. 특히 전체 탈취 자산 중 개인 지갑 침해가 차지하는 비중은 2022년 7.3%에서 2024년 44%까지 급증해 눈길을 끈다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.