암호화폐 지갑 트러스트 월렛(Trust Wallet) 은 12월 26일 금요일 새벽, 약 7백만 달러에 달하는 고객 자금이 해킹으로 손실되었다고 확인했습니다 . 이번 해킹은 지갑의 크롬 브라우저 확장 프로그램 업데이트 오류와 관련이 있는 것으로 알려졌으며, 사용자들은 공급망 공격으로 추정되는 방식으로 자금 손실을 입었다고 보고했습니다.
트러스트 월렛은 어제 저녁 X 스레드를 통해 해당 취약점이 발견됐음을 처음 확인하며, 이번 문제는 트러스트 월렛 브라우저 확장 프로그램 버전 2.68에만 영향을 미친다고 밝혔습니다. 사용자들에게는 확장 프로그램 사용을 중단하고, 종료한 후 버전 2.69로 업그레이드할 것을 권고했습니다. 모바일 사용자 및 다른 버전은 이번 문제의 영향을 받지 않았다고 회사 측은 덧붙였습니다.
이 경고는 블록체인 전문가인 ZachXBT가 자신의 텔레그램 채널에서 새로운 크롬 확장 프로그램 업데이트가 배포된 직후 몇몇 트러스트 월렛 사용자의 자금이 몇 시간 만에 빠져나갔다고 보고한 지 불과 몇 시간 만에 나왔습니다.
사용자에게 보상이 지급될 예정입니다.
2018년 트러스트 월렛을 인수한 암호화폐 거래소 바이낸스 의 창립자 창펑 자오는 목요일 저녁 X 게시물을 통해 이번 해킹으로 사용자 자금 700만 달러가 도난당했으며, 트러스트 월렛이 피해 사용자들에게 보상할 것이라고 밝혔습니다.
"현재까지 이번 해킹으로 7백만 달러가 피해를 입었습니다. 트러스트 월렛에서 보상해 드릴 예정입니다. 사용자 자금은 안전하게 보관되어 있습니다. 불편을 드려 죄송합니다."라고 자오 대표는 밝혔습니다.
블록체인 보안 회사인 SlowMist는 12월 26일 X 스레드 에서 해당 공격이 손상된 타사 라이브러리가 아닌 Trust Wallet 자체의 확장 코드에 대한 직접적인 변조를 수반했을 가능성이 높다고 밝혔습니다.
보안 업체는 "버전 2.67과 2.68을 비교 분석한 결과, 2.68 업데이트에 악성 코드가 은밀하게 삽입된 것이 발견됐다. 이 삽입된 코드는 확장 프로그램에 저장된 모든 지갑을 순회하며 각 지갑에 대한 니모닉 구문 가져오기 요청을 발생시킨다"고 밝혔다.
공격자들은 합법적인 분석 도구를 이용해 자신들이 통제하는 서버로 데이터를 몰래 전송한 것으로 알려졌다.
트러스트 월렛의 브라우저 확장 프로그램이 보안 문제를 일으킨 것은 이번이 처음이 아닙니다. 2023년, 하드웨어 월렛 레저의 최고 기술 책임자(CTO)인 찰스 길레멧은 X 스레드에서 레저의 보안 팀이 트러스트 월렛의 크롬 확장 프로그램에서 사용자의 개입 없이도 공격자가 지갑의 자금을 모두 빼낼 수 있는 "치명적인" 취약점을 발견했다고 밝혔습니다.
당시 기예메는 해당 취약점이 대규모로 악용되기 전에 발견되었다고 밝혔습니다.
