트러스트월렛, 해킹 피해 전액 보상…CZ "자산은 안전하다"

창펑자오(CZ) 바이낸스 창업자가 소유한 가상자산(암호화폐) 지갑 서비스 '트러스트월렛(Trust Wallet)'이 지난 25일 발생한 해킹 피해액 약 700만 달러를 전액 보상하기로 했다.

26일(현지시간) 트러스트월렛과 보안 업체 슬로우미스트(SlowMist)에 따르면, 이번 해킹은 트러스트월렛의 구글 크롬 브라우저 확장 프로그램 버전 2.68을 타깃으로 한 '공급망 공격'으로 확인됐다.

해커는 오픈소스 분석 라이브러리인 '포스트호그(posthog-js)'를 악용해 정상적인 분석 로직인 것처럼 위장한 뒤, 악성 코드를 심은 업데이트를 배포했다. 해당 버전(2.68)을 설치한 사용자가 지갑에 접속하면 백그라운드에서 시드 구문을 가로채 해커의 서버로 전송하는 방식이었다.

이로 인해 약 300만달러 상당의 비트코인(BTC)과 300만달러 규모의 이더리움(ETH), 그리고 다수의 솔라나(SOL) 및 EVM 호환 토큰이 탈취됐다. 전체 피해 규모는 약 700만 달러로 추산된다.

이처럼 피해가 심화되자 CZ는 이날 자신의 X를 통해 "사용자의 자산은 안전하다"며 "트러스트월렛은 이번 해킹으로 인한 모든 손실을 전액 보전할 것"이라고 밝혔다. 이어 "현재 피해를 입은 모든 사용자가 온전히 보상받을 수 있도록 절차를 마무리하고 있다"고 덧붙였다.

한편, 트러스트월렛 측은 즉각 악성 코드를 제거한 버전 2.69를 배포하고, 데스크톱 확장 프로그램 사용자들에게 즉시 업데이트할 것을 강력히 권고했다. 또한 비트겟, 쿠코인, 체인지나우 등 주요 거래소들과 공조하여 해커가 탈취 자금을 현금화하지 못하도록 동결 조치에 나섰다.