트러스트 월렛의 크롬 확장 프로그램 해킹 사건의 여파는 12월 26일 창펑 자오(창펑자오(CZ))가 내부자가 해킹에 연루되었을 가능성을 공개적으로 제기하면서 더욱 심화되었습니다.
이러한 언급은 트러스트 월렛이 지금까지 약 700만 달러 상당의 사용자 자금이 피해를 입었다고 확인한 직후에 나왔습니다.
내부자 접근권 확보가 핵심 수사 방향
창펑자오(CZ) 트러스트 월렛이 피해를 입은 사용자들에게 전액 환불해 줄 것이며 고객 자금은 안전하게 보호될 것이라고 강조했습니다.
하지만 그는 수사관들이 해킹된 브라우저 확장 프로그램 업데이트가 어떻게 배포 통제를 통과했는지 여전히 조사 중이며, 내부자의 소행일 가능성이 "가장 높다"고 덧붙였습니다.
해당 성명은 외부 공격 자체보다는 내부 접근 및 업데이트 관리 체계에 대한 우려를 증폭시켰습니다.
트러스트 월렛은 이후 해당 문제가 브라우저 확장 프로그램 버전 2.68에만 영향을 미쳤으며 모바일 사용자 및 다른 버전에는 영향을 미치지 않았다고 재차 확인했습니다 .
회사 측은 환불 절차를 마무리 중이며, 영향을 받은 사용자들에게 명확한 지침을 발표할 예정이라고 밝혔습니다.
한편, 사용자들은 공식 지원을 가장한 피싱 시도에 대해 경계를 늦추지 않아야 합니다.
내부자적 관점은 암호화 보안 커뮤니티 내에서 특히 주목을 받고 있습니다. 브라우저 확장 프로그램은 업데이트를 게시하기 위해 서명 키, 개발자 자격 증명 및 승인 워크플로가 필요합니다.
공식 크롬 웹 스토어를 통해 악성 또는 손상된 빌드가 배포된 경우, 조사관들은 일반적으로 자격 증명 유출이나 직접적인 내부 접근을 조사합니다.
두 시나리오 모두 기존의 소프트웨어 취약점보다는 운영 보안상의 약점을 지적합니다.
이러한 위험은 이론적인 것이 아닙니다. 지난 한 해 동안 여러 건의 주목할 만한 브라우저 확장 프로그램 관련 사고가 개발자 계정 탈취 또는 배포 파이프라인 손상에서 비롯되었습니다.
트러스트 월렛 토큰(TWT) 토큰, 일시 하락 후 반등
시장 반응은 불확실성을 반영했습니다. 트러스트 월렛의 네이티브 토큰 인 트러스트 월렛 토큰(TWT) 는 12월 25일 초기 보도 이후 급격한 매도세를 보였습니다.
하지만 손실 규모가 제한적이고 환불이 진행될 것이라는 확인이 있은 후 12월 26일에 가격이 안정되고 반등했습니다.
트러스트 월렛 토큰(TWT) 토큰 가격 차트. 출처: CoinGecko트러스트 월렛은 이번 사건을 신속하게 수습했지만, 이번 사건은 업계 전반에 걸친 더 큰 문제점을 보여줍니다.
암호화폐 지갑이 브라우저 확장 프로그램에 점점 더 의존함에 따라 업데이트 보안 및 내부자 위험 관리가 부차적인 문제가 아닌 중요한 공격 표면으로 부상하고 있습니다.
