Trust Wallet Chrome Extension 공급망 공격 #

기사 정보 #

• 출처: The Hacker News, Koi Security Research
• 작성일: 2025-12-24 (공격 발생일)
• 링크:
  • https://thehackernews.com/2025/12/trust-wallet-chrome-extension-bug.html
  • https://www.koi.ai/blog/trust-wallet-binance-compromised-inside-the-code-that-stole-7m-on-christmas-eve
• 카테고리: 공급망 공격/악성코드/암호화폐 탈취

핵심 요약 #

2025년 12월 24일(크리스마스 이브), Binance 소유의 암호화폐 지갑 Trust Wallet의 Chrome 확장 프로그램 버전 2.68이 악성코드에 감염되어 배포되었다. 공격자는 Chrome Web Store API 키를 탈취하여 악성 업데이트를 공식 스토어를 통해 배포했으며, 48시간 내에 약 700만 달러(약 100억원)의 암호화폐가 탈취되었다. 이는 2024년 크리스마스 이브 Cyberhaven 사건에 이은 두 번째 크리스마스 공급망 공격이다.

사건/이슈 배경 #

무슨 일이 일어났는가? #

공격 타임라인:

• 12월 8일: 공격자 인프라 구축 (metrics-trustwallet.com 도메인 등록)
• 12월 21일: 첫 exfiltration 요청 시작
• 12월 24일 12:32 UTC: 악성 버전 2.68.0이 Chrome Web Store를 통해 배포
• 12월 25일: 사용자들의 지갑 탈취 신고 시작, ZachXBT가 패턴 발견
• 12월 26일: Trust Wallet 공식 침해 확인, 버전 2.69 배포
• 12월 26일: Binance CEO CZ, 전액 환불 발표

공격 메커니즘:

1. 공격자는 Chrome Web Store API 키를 탈취
2. 정상적인 업데이트 프로세스를 우회하여 악성 버전 2.68.0 제출
3. Chrome Web Store 리뷰 프로세스 통과
4. 100만 사용자에게 자동 업데이트 배포
5. 사용자가 지갑을 잠금 해제할 때마다 시드 프레이즈(seed phrase) 탈취

피해 규모:

• 약 700만 달러 탈취
  • Bitcoin: 약 300만 달러
  • Ethereum: 약 300만 달러 이상
  • Solana: 약 43만 달러
• 수백 명의 피해자 발생
• 100만 명 이상의 확장 프로그램 사용자 위험 노출

누가 관련되었는가? #

• 공격자/위협 주체:

  • 신원 미상 (국가 지원 행위자 가능성 제기)
  • Binance CEO는 내부자 소행 가능성 언급 (증거 미제시)

• 피해자/영향 받은 대상:

  • Trust Wallet Chrome 확장 프로그램 버전 2.68 사용자
  • 12월 24-26일 사이 지갑을 잠금 해제한 모든 사용자
  • 모바일 앱 사용자는 영향 없음

• 기타 관련 당사자:

  • Binance (Trust Wallet 소유사)
  • ZachXBT (온체인 조사관, 최초 발견)
  • Akinator (보안 연구원, 확장 프로그램 추적)
  • Koi Security, SlowMist (기술 분석)

원인 분석 #

기술적 원인 #

공급망 공격 메커니즘:

1. Chrome Web Store API 키 탈취

   • 공격자가 Trust Wallet의 Chrome Web Store API 키를 확보
   • 이를 통해 정상적인 배포 프로세스를 우회
   • Chrome Web Store의 자동 리뷰 프로세스 통과

2. 악성 코드 주입 (4482.js 파일)

   • PostHog 분석 라이브러리의 엔드포인트를 공격자의 서버로 변경

   api.metrics-trustwallet.com (공격자 서버)
   

   • 정상적인 Trust Wallet 인프라로 위장

3. 시드 프레이즈 탈취 로직 (8423.js 파일)

   • 비밀번호와 생체인증 두 가지 인증 경로 모두에 악성 코드 삽입
   • 모든 지갑을 반복하여 각각의 시드 프레이즈 추출
   • “errorMessage” 필드에 시드 프레이즈를 숨겨서 정상 텔레메트리로 위장

4. 추가 공격 기능

   • 새로운 WASM 암호화 모듈 추가 (4f8cd8a01d2966c5de9b.module.wasm)
   • secp256k1 타원 곡선 암호화 라이브러리 (Bitcoin/Ethereum 서명에 사용)
   • 트랜잭션 직접 서명 가능

리패키징 증거:

• manifest.json에서 key 필드 제거 (확장 프로그램 서명 키)
• 이는 공격자가 원본 서명 키에 접근하지 못했거나 의도적으로 제거했음을 시사

관리적/절차적 원인 #

배포 파이프라인 보안 부재:

• Chrome Web Store API 키 관리 실패
• API 키가 어떻게 유출되었는지에 대한 명확한 설명 부재
• 버전 업데이트에 대한 서명 검증 메커니즘 부재

크리스마스 타이밍 악용:

• 2024년 크리스마스 이브: Cyberhaven 확장 프로그램 침해
• 2025년 크리스마스 이브: Trust Wallet 침해
• 보안팀 인력 부족 시기를 노린 계획적 공격

초기 대응 지연:

• 공격자 인프라가 12월 8일에 구축되었으나 탐지 실패
• 악성 코드가 배포된 후 24시간 이후 커뮤니티에 의해 발견

인적 원인 #

내부자 관여 가능성:

• Binance CEO CZ가 내부자 소행 가능성 언급
• 개발자 디바이스 침해 또는 배포 권한 탈취 가능성
• 구체적 증거는 제시되지 않음

영향 및 파급효과 #

직접적 영향 #

금전적 피해:

• 총 약 700만 달러 탈취
• Bitcoin: 약 300만 달러
• Ethereum: 약 300만 달러 이상
• Solana: 약 43만 달러

자금 세탁 경로:

• ChangeNOW: 약 330만 달러
• KuCoin: 약 44.7만 달러
• FixedFloat: 약 34만 달러
• 크로스체인 브리지를 통한 자금 이동

사용자 피해:

• 수백 명의 직접 피해자
• 100만 명 이상의 잠재적 위험 노출
• 12월 24-26일 사이 지갑 잠금 해제한 모든 사용자 시드 프레이즈 탈취

간접적 영향 #

신뢰 손상:

• Trust Wallet 브랜드 이미지 타격
• Binance의 보안 관리 능력에 대한 의문
• Chrome Web Store의 리뷰 프로세스 신뢰성 문제

업계 전반:

• 브라우저 확장 프로그램 보안에 대한 재인식
• 크리스마스 공급망 공격 패턴 확립
• 암호화폐 지갑의 브라우저 확장 형태 위험성 부각

보안 패러다임 변화:

• 공식 스토어를 통한 배포도 안전하지 않음을 입증
• 버전 업데이트 쿨다운 정책의 필요성 부각

예상 피해 규모 #

즉각적 대응:

• Binance SAFU 펀드를 통한 전액 환불 발표
• 환불 금액: 약 700만 달러 (확정)

장기적 영향:

• 브랜드 신뢰도 회복 비용
• 보안 시스템 재구축 비용
• 법적 소송 가능성

예방 및 대응 방안 #

사전 예방 방법 #

1. 버전 업데이트 쿨다운 정책

   • 확장 프로그램 업데이트를 48-72시간 지연
   • 커뮤니티가 조기 경보 시스템 역할 수행
   • 이번 사건의 경우 24시간 내 발견되어 쿨다운 정책으로 예방 가능했음

2. 확장 프로그램 배포 파이프라인 보안

   • API 키 접근 제어 강화
   • 다중 인증(MFA) 필수
   • 서명 검증 메커니즘 구현
   • 리패키징 탐지 시스템 구축

3. Manifest 변경 모니터링

   • 버전 간 manifest.json의 key 필드 제거 감지
   • 새로운 권한 요청 모니터링
   • 파일 구조 변경 추적

사고 발생 시 대응 방안 #

1. 즉각적 격리

   • 악성 버전 즉시 제거
   • 새 버전 긴급 배포
   • 사용자 대상 긴급 공지

2. 피해자 지원

   • 전액 환불 약속 (Binance SAFU 펀드)
   • 보상 신청 프로세스 구축
   • 피해자 확인 시스템 운영

3. 포렌식 조사

   • 공격자 인프라 분석
   • 침투 경로 파악
   • IOC(Indicators of Compromise) 공개

재발 방지 대책 #

기술적 대책:

1. 하드웨어 지갑 우선 사용

   • 브라우저 확장보다 전용 하드웨어 지갑 권장
   • 민감한 암호화폐 자산은 하드웨어 분리

2. 서명 검증 자동화

   • 빌드에서 배포까지 전 과정 서명 검증
   • 무단 리패키징 탐지

3. 실시간 모니터링

   • 확장 프로그램 행위 이상 탐지
   • 예상치 못한 네트워크 요청 차단

조직적 대책:

1. 휴일 보안 강화

   • 크리스마스/주요 휴일 보안팀 대기 체계
   • 긴급 대응 프로토콜 사전 수립

2. 공급망 보안 감사

   • 정기적 배포 파이프라인 감사
   • 제3자 의존성 검토
   • API 키 로테이션 정책

개인 인사이트 #

배운 점 #

1. 공급망 공격의 새로운 패턴: 크리스마스 타이밍

   • 2024, 2025년 연속 크리스마스 이브 공격
   • 보안팀 인력이 부족한 시기를 노린 계획적 공격
   • 공격 인프라가 2주 이상 사전에 구축됨
   • 휴일 기간은 이제 고위험 시기로 인식해야 함

2. 공식 배포 채널도 안전하지 않음

   • Chrome Web Store의 공식 리뷰 프로세스 통과
   • API 키 탈취로 정상 프로세스를 우회
   • “공식 스토어 배포 = 안전"이라는 믿음의 붕괴
   • 공급망의 모든 단계에 대한 검증 필요

3. 버전 업데이트 쿨다운의 효과

   • 48-72시간 업데이트 지연으로 예방 가능
   • 커뮤니티가 조기 경보 시스템으로 작동
   • “첫 번째 사용자가 되지 않기” 전략의 유효성
   • 속도보다 안전이 우선

4. 악성 코드 위장 기법의 정교함

   • PostHog 분석 라이브러리를 악용한 데이터 탈취
   • 시드 프레이즈를 “errorMessage” 필드에 숨김
   • 정상적인 텔레메트리로 위장하여 코드 리뷰 회피
   • 모든 인증 경로(비밀번호, 생체인증) 커버

5. Manifest 변경의 중요성

   • key 필드 제거는 리패키징의 강력한 증거
   • 새로운 WASM 모듈 추가도 의심 신호
   • 버전 간 구조적 변경 모니터링의 중요성

느낀 점 #

암호화폐 지갑의 브라우저 확장 형태의 본질적 위험:

• 브라우저는 본질적으로 높은 공격 표면을 가진 환경
• 민감한 암호화폐 자산을 브라우저 컨텍스트에 두는 것의 위험성
• 하드웨어 지갑이나 전용 애플리케이션으로의 전환 필요
• 편의성과 보안 사이의 근본적 트레이드오프

공급망 공격의 비대칭성:

• 공격자는 한 번의 성공으로 수백만 명에게 영향
• 방어자는 모든 단계를 완벽하게 방어해야 함
• API 키 하나의 유출이 100만 사용자의 피해로 연결
• 공급망 보안은 가장 약한 고리만큼만 강함

커뮤니티 기반 보안의 힘:

• 24시간 내 커뮤니티에 의해 발견
• ZachXBT, Akinator 등 독립 연구자들의 역할
• 분산된 모니터링이 중앙화된 보안팀보다 빠를 수 있음
• 투명성과 정보 공유의 중요성

크리스마스 공격 패턴의 확립:

• 2년 연속 크리스마스 이브 공격
• 이제 패턴으로 인식되어야 함
• 휴일 보안 대비의 필요성
• 공격자들도 우리의 약점을 학습하고 활용

빠른 보상 대응의 중요성:

• Binance의 즉각적인 전액 환불 약속
• 피해자 신뢰 유지 및 브랜드 이미지 회복
• 보상 프로세스가 명확하고 투명해야 함
• 그러나 근본적 해결책은 예방임

학습해야 할 기술 영역:

• Chrome 확장 프로그램 아키텍처 및 배포 프로세스
• PostHog 등 분석 라이브러리의 작동 원리
• secp256k1 타원 곡선 암호화 (Bitcoin/Ethereum)
• WASM 모듈을 이용한 공격 기법
• 브라우저 확장 프로그램 리패키징 탐지 기법

관련 자료 #

• Koi Security: Trust Wallet 기술 분석
• Koidex: Trust Wallet 버전 2.68.0 리포트
• Trust Wallet 공식 발표
• ZachXBT 조사 내용
• Chrome Web Store 확장 프로그램 보안 가이드

분석일: 2024-12-28
키워드: #공급망공격 #Chrome확장프로그램 #암호화폐탈취 #크리스마스공격 #TrustWallet #시드프레이즈