Trust Wallet 크롬 익스텐션 공급망 공격으로 850만 달러 암호화폐 탈취 #

기사 정보 #

출처: The Hacker News
작성일: 2025-12-26
링크: https://thehackernews.com/2025/12/trust-wallet-chrome-extension-hack.html
카테고리: 공급망 공격/암호화폐 해킹

핵심 요약 #

Binance 소유의 Trust Wallet 크롬 익스텐션 버전 2.68이 2025년 12월 24일 크리스마스 이브에 악성 코드가 삽입된 채로 배포되어 사용자들의 니모닉 구문(시드 구문)이 탈취되었고, 이로 인해 약 850만 달러의 암호화폐가 도난당했다. 공격자는 유출된 Chrome Web Store API 키를 악용해 공식 업데이트 경로를 우회했으며, Shai-Hulud 공급망 공격과 연관된 것으로 추정된다.

사건/이슈 배경 #

무슨 일이 일어났는가? #

2025년 12월 24일 크리스마스 이브, Trust Wallet의 크롬 브라우저 익스텐션 버전 2.68이 Chrome Web Store를 통해 배포되었다. 그러나 이 버전에는 악성 코드가 삽입되어 있었고, 사용자가 익스텐션을 열고 로그인할 때마다 지갑의 니모닉 구문(복구 구문)을 탈취하도록 설계되어 있었다.

공격자는 유출된 Chrome Web Store API 키를 사용하여 Trust Wallet의 내부 릴리스 프로세스를 완전히 우회하고, 공식 Chrome Web Store를 통해 악성 버전을 직접 게시했다. 이 버전은 Chrome Web Store의 자동 검토를 통과했고, 2025년 12월 24일 12:32 PM UTC에 정식 배포되었다.

12월 25일부터 사용자들이 지갑 도난을 신고하기 시작했고, 블록체인 조사관 ZachXBT가 패턴을 확인했다. 12월 26일 Trust Wallet이 침해 사실을 공식 확인했고, 바로 버전 2.69를 긴급 배포하여 악성 코드를 제거했다. Binance 공동 창립자 Changpeng Zhao(CZ)는 피해자 전원에게 SAFU 펀드를 통해 전액 보상할 것을 약속했다.

악성 코드는 사용자가 익스텐션을 잠금 해제할 때마다 모든 저장된 지갑을 순회하며 니모닉 구문 요청을 트리거했다. 사용자가 비밀번호나 생체 인증으로 잠금을 해제하면, 암호화된 니모닉이 복호화되어 공격자가 제어하는 서버(api.metrics-trustwallet.com)로 전송되었다.

공격자는 데이터 유출을 정상 분석 트래픽으로 위장하기 위해 오픈소스 분석 라이브러리인 posthog-js를 활용했다. 탈취된 니모닉 구문은 “errorMessage” 필드 안에 숨겨져 전송되었으며, 이는 일반적인 잠금 해제 원격 측정 데이터처럼 보이도록 설계되었다.

누가 관련되었는가? #

공격자/위협 주체: 미확인 공격자(국가 지원 행위자 가능성 제기), Shai-Hulud 공급망 공격과 연관 추정
피해자/영향 받은 대상: Trust Wallet 크롬 익스텐션 버전 2.68 사용자 약 2,520개 지갑 주소, 약 100만 명의 익스텐션 사용자 중 일부
기타 관련 당사자: Binance(Trust Wallet 소유사), Chrome Web Store, 중앙화 거래소(ChangeNOW, FixedFloat, KuCoin, HTX)

원인 분석 #

기술적 원인 #

1. Chrome Web Store API 키 유출

공격자는 2025년 11월 발생한 Shai-Hulud 공급망 공격을 통해 Trust Wallet의 개발자 GitHub 시크릿에 접근했다
유출된 자격 증명에는 브라우저 익스텐션 소스 코드와 Chrome Web Store API 키가 포함되어 있었다
이 API 키를 사용해 공격자는 공식 Chrome Web Store에 직접 악성 버전을 게시할 수 있었다

2. manifest.json의 서명 키 제거

정상 버전 2.67의 manifest.json에는 익스텐션의 공개 키 서명을 담은 “key” 필드가 포함되어 있었다
악성 버전 2.68에서는 이 “key” 필드가 제거되었다
이는 공격자가 Trust Wallet의 원본 서명 키에 접근하지 못했거나, 서명 기반 탐지를 회피하기 위해 의도적으로 제거한 것으로 추정된다

3. 악성 코드의 정교한 은닉

악성 코드는 4482.js 파일 내에 삽입되어 있었으며, 분석 로직으로 위장되었다
사용자가 지갑을 잠금 해제할 때마다 자동으로 실행되도록 설계되었다(시드 구문 가져오기 시에만 동작하는 것이 아님)
정상 원격 측정 이벤트처럼 보이도록 errorMessage 필드를 악용하여 시드 구문을 전송했다

4. 공격 인프라 사전 구축

악성 도메인 metrics-trustwallet.com은 2025년 12월 8일에 등록되었다
첫 데이터 유출 요청은 12월 21일에 시작되었다
이는 공격자가 악성 버전 배포 전에 이미 인프라를 준비했음을 보여준다

5. Bulletproof 호스팅 사용

악성 도메인은 IP 138.124.70.40에 호스팅되었으며, 이는 영국에 법인을 둔 bulletproof 호스팅 서비스 제공업체 Stark Industries Solutions가 운영하는 것으로 확인되었다

관리적/절차적 원인 #

1. 내부 릴리스 프로세스 우회 가능성

Trust Wallet CEO는 악성 버전 2.68이 “내부 수동 프로세스를 통해 배포되지 않았다"고 밝혔다
Chrome Web Store API를 통해 외부에서 게시된 것으로 확인되었다
내부 릴리스 검토 및 승인 절차가 완전히 우회되었다

2. 자격 증명 관리 부족

GitHub에 저장된 개발자 시크릿이 적절히 보호되지 않았다
Chrome Web Store API 키가 소스 코드 저장소에 노출되었다
정기적인 자격 증명 로테이션 정책이 없었거나 충분히 강력하지 않았다

3. 공급망 보안 프로세스 부재

Shai-Hulud 공격 이후 즉각적인 보안 강화 조치가 이루어지지 않았다
의존성 검증 및 공급망 무결성 검증 프로세스가 불충분했다
외부 npm 패키지를 통한 공격 벡터에 대한 모니터링이 부족했다

4. 배포 파이프라인 보안 부족

빌드 프로세스에 악성 코드 삽입을 탐지할 자동화된 검증 메커니즘이 없었다
릴리스 전 보안 스캔이나 무결성 검증이 충분하지 않았다
버전 간 manifest.json 변경사항을 모니터링하는 시스템이 없었다

5. 사고 탐지 지연

악성 버전이 배포된 후 사용자 신고가 있기 전까지 내부적으로 탐지하지 못했다
실시간 이상 징후 탐지 시스템이 부재했다
Chrome Web Store 업데이트 활동에 대한 모니터링 및 경보 시스템이 없었다

인적 원인 #

기사에서 인적 원인에 대한 구체적인 언급은 없었다. 다만 CZ(Changpeng Zhao)가 내부자 소행일 가능성을 암시했으나, 이를 뒷받침할 증거는 제공되지 않았다.

영향 및 파급효과 #

직접적 영향 #

1. 금전적 피해

약 850만 달러의 암호화폐가 탈취되었다
약 300만 달러의 비트코인, 431달러의 솔라나, 300만 달러 이상의 이더리움이 포함되었다
2,520개의 지갑 주소에서 자금이 유출되었다

2. 자금 세탁 경로

약 280만 달러가 아직 공격자의 지갑에 남아있다
400만 달러 이상이 중앙화 거래소로 전송되었다: ChangeNOW(약 330만 달러), FixedFloat(약 34만 달러), KuCoin(약 44.7만 달러), HTX

3. 사용자 계정 침해

버전 2.68을 설치하고 2025년 12월 24일~26일 11 AM UTC 사이에 로그인한 모든 사용자의 니모닉 구문이 탈취되었다
여러 지갑을 설정한 사용자의 경우 모든 지갑이 침해되었다(활성 지갑뿐만 아니라 모든 저장된 지갑)

4. 즉각적인 서비스 조치

악성 버전 2.68이 Chrome Web Store에서 제거되었다
클린 버전 2.67을 2.69로 재배포했다
백해커들이 공격자의 악성 도메인 api.metrics-trustwallet.com에 DDoS 공격을 수행하여 추가 피해를 최소화했다

간접적 영향 #

1. 신뢰도 손상

Trust Wallet의 보안 신뢰도가 심각하게 훼손되었다
크롬 익스텐션 기반 암호화폐 지갑 전반에 대한 신뢰도 하락
2023년에도 Ledger의 CTO가 Trust Wallet 크롬 익스텐션에서 “치명적인” 취약점을 발견한 이력이 있어 보안 문제가 반복되고 있다는 인식 확산

2. 브라우저 익스텐션 생태계 전반에 대한 우려

2024년 크리스마스 이브에 Cyberhaven도 유사한 공급망 공격을 당한 이력이 있다
크리스마스 시즌이 브라우저 익스텐션 공급망 공격의 주요 공격 타이밍으로 인식되기 시작했다
Chrome Web Store의 자동 업데이트 메커니즘이 악용 가능하다는 것이 입증되었다

3. 업계 전반의 보안 인식 제고

브라우저 익스텐션이 고위험 소프트웨어로 재평가되었다
지갑 기능은 브라우저 컨텍스트보다 전용 애플리케이션이나 하드웨어에 구현되어야 한다는 인식 확산
개발자 인프라 보안의 중요성이 부각되었다

4. 피싱 공격 증가

사건 이후 가짜 보상 양식, 모방 지원 계정, Telegram 광고를 통한 피싱 공격이 증가했다
공격자들이 피해자들을 대상으로 2차 공격을 시도하고 있다

예상 피해 규모 #

확인된 직접 피해: 약 850만 달러의 암호화폐 도난
영향 받은 사용자: 약 100만 명의 익스텐션 사용자 중 2,520개 이상의 지갑 주소 소유자
보상 약속: Binance의 SAFU 펀드를 통해 피해자 전원에게 전액 보상 예정
장기적 신뢰도 손실: 정량화 어려우나, Trust Wallet 및 브라우저 기반 지갑 전반에 대한 신뢰도 하락

예방 및 대응 방안 #

사전 예방 방법 #

하드웨어 지갑 사용: Ledger나 Trezor 같은 하드웨어 지갑을 사용하여 개인 키를 오프라인에 안전하게 보관한다.
다단계 인증(MFA) 활성화: 가능한 모든 계정에 MFA를 활성화하여 무단 접근을 어렵게 만든다.
브라우저 익스텐션 업데이트 모니터링: 자동 업데이트를 비활성화하고, 중요 업데이트가 있을 때 공식 채널에서 확인 후 수동으로 업데이트한다. manifest.json의 “key” 필드 제거 같은 구조적 변경사항을 모니터링한다.
지갑 다각화: 대량의 자산을 보유하는 경우 브라우저 기반 지갑에만 의존하지 말고, 모바일 또는 하드웨어 지갑도 함께 사용한다.
보안 뉴스 정기 확인: 지갑 제공업체의 보안 업데이트를 정기적으로 확인하고, 즉시 적용한다.

사고 발생 시 대응 방안 #

즉시 자금 이전: 침해된 지갑의 모든 자산을 새로운 시드 구문으로 생성한 새 지갑으로 즉시 이전한다.
침해된 익스텐션 제거: 악성 버전을 완전히 제거하고, 공식 Chrome Web Store에서 최신 클린 버전으로 재설치한다.
보상 청구 프로세스 진행: 공식 지원 채널을 통해 보상 청구를 진행한다. Trust Wallet의 경우 trustwallet-support.freshdesk.com에서 다음 정보를 제공해야 한다: 연락처 이메일, 거주 국가, 침해된 지갑 주소, 자금이 유출된 주소, 트랜잭션 해시.
피싱 경계: 가짜 보상 양식, 모방 지원 계정, 원치 않는 DM을 조심하고, 반드시 공식 채널에서만 상호작용한다.
블록체인 모니터링: 침해된 주소의 자금 이동을 모니터링하고, 거래소에 도난 신고를 한다.

재발 방지 대책 #

조직(Trust Wallet/개발사) 차원:

자격 증명 관리 강화:
- 모든 API 키와 배포 권한을 즉시 무효화하고 재발급한다
- 비밀번호, 키, 토큰을 소스 코드 저장소에 저장하지 않는다
- 정기적인 자격 증명 로테이션 정책을 수립한다
배포 파이프라인 보안 강화:
- 릴리스 전 자동화된 보안 스캔을 의무화한다
- manifest.json 변경사항에 대한 자동 경보 시스템을 구축한다
- 서명 검증을 통해 무단 재패키징을 탐지한다
- Chrome Web Store API 활동을 실시간으로 모니터링한다
공급망 보안 프로세스 구축:
- 의존성 스캐닝 및 SBOM(Software Bill of Materials) 관리
- 써드파티 패키지 검증 및 승인 프로세스
- 개발자 환경 보안 강화(엔드포인트 보안, EDR)
사고 탐지 및 대응 체계 구축:
- 이상 징후 탐지를 위한 실시간 모니터링 시스템
- 배포 활동에 대한 경보 메커니즘
- 사고 대응 플레이북 수립 및 정기 훈련
투명한 커뮤니케이션:
- 사고 발생 시 신속하고 투명한 공개
- 포렌식 조사 결과 공유
- 재발 방지 조치에 대한 정기적인 업데이트

사용자 차원:

Chrome Web Store의 익스텐션 업데이트 알림을 주의 깊게 확인하고, 의심스러운 업데이트는 커뮤니티에서 먼저 확인한다
중요 자산은 하드웨어 지갑이나 콜드 스토리지에 보관한다
브라우저 익스텐션 사용을 최소화하고, 필요한 경우에만 활성화한다

개인 인사이트 #

배운 점 #

1. 공급망 공격의 치명성

개발자 인프라 침해가 최종 사용자까지 직접적인 영향을 미치는 공급망 공격의 위험성을 확인했다
Shai-Hulud 공격 → Chrome Web Store API 키 유출 → 악성 익스텐션 배포로 이어지는 공격 체인을 학습했다
공급망 보안은 단순히 코드 보안을 넘어 개발 도구, 빌드 파이프라인, 배포 인프라 전반에 걸쳐 이루어져야 한다

2. 크리스마스 시즌의 전략적 취약점

2024년과 2025년 연속으로 크리스마스 이브에 브라우저 익스텐션 공급망 공격이 발생했다(Cyberhaven, Trust Wallet)
공휴일 시즌은 보안 인력이 축소되고 대응이 지연될 수 있어 공격자들이 선호하는 타이밍이다
중요 시스템은 공휴일에도 모니터링 및 대응 체계를 유지해야 한다

3. API 키 관리의 중요성

Chrome Web Store API 키 하나만으로 공식 배포 채널을 완전히 장악할 수 있다는 것을 확인했다
API 키는 코드 저장소가 아닌 안전한 시크릿 관리 시스템(Vault, KMS)에 보관해야 한다
정기적인 키 로테이션과 접근 제어가 필수적이다

4. manifest.json 변경 모니터링의 필요성

“key” 필드 제거는 익스텐션이 재패키징되었다는 강력한 신호다
버전 간 manifest.json 변경사항을 자동으로 비교하는 시스템이 있었다면 조기 탐지가 가능했을 것이다
구조적 변경사항에 대한 자동 경보 시스템 구축이 중요하다

5. 브라우저 익스텐션의 근본적 위험

브라우저 익스텐션은 사용자의 브라우저 컨텍스트에서 실행되며, 민감한 데이터에 접근할 수 있다
암호화폐 지갑 같은 고위험 기능은 브라우저 익스텐션보다는 전용 애플리케이션이나 하드웨어에 구현하는 것이 더 안전하다
익스텐션 자동 업데이트 메커니즘은 편리하지만 공급망 공격의 완벽한 벡터가 될 수 있다

6. 백해커 커뮤니티의 역할

백해커들이 공격자의 C2 서버에 DDoS 공격을 수행하여 추가 피해를 최소화했다
보안 커뮤니티의 협력적 대응이 피해 확산 방지에 기여할 수 있다
다만 이러한 대응은 임시방편이며, 근본적인 보안 강화가 우선이다

7. 데이터 유출 은닉 기법

정상적인 분석 트래픽으로 위장하여 탐지를 회피하는 기법(posthog-js 라이브러리 악용, errorMessage 필드 악용)을 학습했다
일반적인 코드 리뷰에서는 정상적인 원격 측정 이벤트로 보일 수 있다
외부로 전송되는 모든 데이터의 내용과 목적지를 철저히 검증해야 한다

느낀 점 #

이번 사건은 암호화폐 지갑 보안의 취약성과 공급망 공격의 파괴력을 여실히 보여준다. 특히 사용자가 아무리 조심해도 공급자 측의 보안 실패로 인해 피해를 입을 수 있다는 점이 우려스럽다.

Trust Wallet은 Binance가 소유한 대형 지갑 서비스임에도 불구하고 기본적인 보안 관리(API 키 보호, 배포 프로세스 모니터링)에 실패했다. 이는 규모가 크다고 해서 반드시 보안이 우수한 것은 아니라는 교훈을 준다.

다행히 Binance가 SAFU 펀드를 통해 전액 보상을 약속했지만, 모든 암호화폐 서비스가 이런 보상 능력을 갖춘 것은 아니다. 사용자는 서비스 제공자의 보안 수준을 맹목적으로 신뢰하지 말고, 하드웨어 지갑 같은 추가 보호 수단을 활용해야 한다.

또한 크리스마스 시즌이 연속으로 공격 타이밍으로 악용되고 있다는 점에서, 보안 담당자는 공휴일에도 모니터링을 강화하고, 중요 업데이트는 공휴일을 피해 배포하는 것이 필요하다.

이 사건은 개발자 환경 보안의 중요성도 강조한다. Shai-Hulud 같은 npm 공급망 공격은 개발자의 로컬 환경을 침해하여 자격 증명을 탈취할 수 있다. 개발자들은 자신의 환경도 공격 대상이 될 수 있음을 인식하고, 엔드포인트 보안을 강화해야 한다.