크리스마스에 트러스트 월렛 해킹: 700만 달러 도난

트러스트 월렛 사용자들에게 2025년 크리스마스는 축제 때문이 아니라 약 700만 달러의 암호화폐를 도난당한 심각한 보안 사고로 기억에 남을 것입니다.

회사는 결함을 공식적으로 인정하고 버전 2의 출시를 긴급히 추진했습니다.69로 인한 피해를 막기 위해 Chrome 브라우저 확장 프로그램 2.68을 출시했습니다.

공격의 역학: 쓴 선물

이 모든 것은 12월 24일에 Chrome 확장 프로그램 2.68 업데이트가 출시되면서 시작되었습니다. 출시 직후 보안 연구자와 사용자들은 무단 거래와 완전히 비워진 지갑을 보고하기 시작했습니다.

BleepingComputer가 보고한 내용에 따르면, 가장 큰 위험은 자신의 seed-phrase에 감염된 버전이 활성화된 동안

이 소프트웨어 패키지를 분석한 전문가들은 '4482.js'라는 파일을 참조하는 JavaScript 파일 내에서 의심스러운 로직을 확인했습니다. 이 스크립트는 개인 키를 외부 호스트로 몰래 전송하여 공격자가 자금을 완전히 제어할 수 있도록 설계되었습니다.

피해 규모와 회사의 대응

크롬 웹 스토어 목록에는 해당 확장 프로그램의 사용자가 약 1,000,000명으로 표시되어 있지만 실제 노출은 버전 2와 상호작용한 사용자로 제한됩니다.온라인 상태가 된 몇 시간 동안 68명이었습니다.

초기 추정치는 600만 달러에서 700만 달러의 손실이 발생했다고 말했는데, 이 수치는 나중에 Trust Wallet 자체에서 공식 성명(이전 트위터)

회사는 또한 모바일 및 이전 버전의 확장 프로그램은 이 문제의 영향을 받지 않았다고 지적했습니다.

보안 지침: 업그레이드 또는 이전?

사용자의 경우 소프트웨어 업그레이드와 지갑 재구성을 구분하는 것이 중요합니다. 2.69 버전으로 업그레이드하면 브라우저에서 악의적인 동작이 제거되지만 시드 문구가 이미 가로챈 경우 자산을 보호할 수 없습니다.

보안을 위해 필요한 단계는 다음과 같습니다.

• 2.68 버전을 즉시 비활성화.
• 공식 스토어를 통해 2.69로 업그레이드.
• 손상이 의심되는 경우 새로운 시드 문구로 새 지갑을 생성하고 자금을 이체.
• token 의혹.

시장 및 잔여 위험

사고의 심각성에도 불구하고 네이티브 토큰 트러스트 월렛 토큰(TWT)은 약간의 회복력을 보였습니다. 장중 최저치인 0.767달러를 기록한 후 0.834달러에서 안정세를 보이며 전일 종가 대비 0.02% 소폭 상승했습니다.

그러나 위험이 완전히 끝난 것은 아닙니다. 사용자가 액세스 키를 다시 넘기도록 유도하기 위해 '빠른 수정'이나 즉각적인 환불을 약속하는 사기 웹사이트가 다수 발견되었습니다.

트러스트 월렛은 환불 과정에서 공식 커뮤니케이션 채널만 따를 것을 권장하며 주의를 촉구했습니다.