지난 24일 , 트러스트 월렛(Trust Wallet)의 브라우저 확장 프로그램 v2.68에서 악성 코드가 발견되어, 이틀 만에 사용자들이 총 약 7백만 달러(공식 통계) 상당의 손실을 입은 것으로 확인되었습니다. 트러스트 월렛은 즉시 모든 손실에 대해 공식 팀 차원에서 보상하겠다고 발표했습니다. 이번 사건은 '가짜 버전' 공격이었기 때문에, 출시 단계에 취약점이 있는 소프트웨어와 동일한 상황이며, 사용자들이 아무리 주의를 기울였더라도 취약점을 피할 수 없었습니다.
악성 소프트웨어가 공식 버전에 침투하는 방법
슬로우 미스트 (SlowMist) 팀의 리버스 엔지니어링 결과에 따르면, 공격자들은 분석 모듈 로 위장한 4482.js라는 파일을 버전 2.68에 추가했습니다. 사용자가 니모닉 단어 입력하거나 가져오면, 해당 스크립트는 개인 키를 패키징하여 api.metrics-trustwallet.com에 있는 서버로 전송합니다. 배포 과정의 허점 때문에 악성 구성 요소가 공식 서명과 함께 배포되어 안티바이러스 소프트웨어와 브라우저 검열 시스템이 제때 차단할 수 없었습니다.
온체인 증거에 따르면 이 범죄는 "전문 팀"에 의해 저질러진 것으로 보입니다.
온체인 분석가인 ZachXBT와 Lookonchain은 여러 개의 활발한 자금 인출 경로를 추적했습니다. BTC, ETH, SOL이 신속하게 분할되어 KuCoin, ChangeNOW, FixedFloat 등의 플랫폼으로 흘러들어갔고, 약 425만 달러가 이미 자금 세탁된 것으로 확인되었습니다. 12월 26일 오전 현재 공격자의 주소에는 약 280만 달러가 남아 있습니다. 자금 분할 속도와 자금 이체 계정의 준비성을 고려할 때, 이는 급조된 피싱 그룹이 아닌 잘 훈련된 팀에 의해 자행된 것으로 보입니다.
공식 대응 및 보상 계획
사건 발생 후 30시간이 넘도록 아무런 진전이 없자, 트러스트 월렛은 마침내 취약점을 인정하는 성명을 발표했습니다. 실제 관리자인 자오창펑 (CZ)(CZ)는 이후 커뮤니티 미디어 게시물을 통해 다음과 같이 밝혔습니다.
손실액이 감당 가능한 범위 내에 있다면, SAFU 기금을 통해 전액 보상해 드리겠습니다.
이러한 약속이 시장을 일시적으로 안정시키기는 했지만, 탈중앙화 구제되어야 한다는 모순을 부각시키기도 합니다.
피해 사용자 긴급 조치
니모닉 단어 이미 유출되었기 때문에 확장 프로그램을 업데이트하거나 제거하는 것만으로는 리스크 완전히 제거할 수 없습니다. 사이버 보안팀은 다음과 같이 권장합니다.
- 네트워크 연결을 끊고 오프라인 환경에서 새 지갑을 생성하세요.
- 하드웨어 지갑이나 새 기기를 사용하여 개인 키를 입력하면 남은 자산을 전송할 수 있습니다.
- 기존 주소를 비활성화하고 영구적으로 폐기하십시오.
Trust Wallet은 추후에 전체 포렌식 보고서와 개선 절차를 공개할 예정입니다. 사이버 보안 커뮤니티 오픈 소스 프로젝트들이 공급망 변조 가능성을 줄이기 위해 재현 가능한 빌드 도입을 가속화할 것을 촉구하고 있습니다.
