간단 요약
- 가짜 레저 앱으로 인한 피싱 공격으로 최소 950만달러 규모 자산 탈취 피해가 발생했다고 보도했다.
- 비트코인(BTC), 이더리움(ETH), 솔라나(SOL), 트론(TRX), XRP 등 다양한 블록체인 이용자 50명 이상이 피해를 입었다고 전했다.
- 탈취 자금이 다수의 쿠코인(KuCoin) 입금 주소로 이동했으며 레저는 어떤 경우에도 24개 복구 문구 입력을 요구하지 않는다고 강조했다고 밝혔다.
기간별 예측 흐름 리포트
애플 앱스토어에 등록된 가짜 레저(Ledger) 앱을 통한 피싱 공격으로 대규모 자산 탈취 사건이 발생했다.
14일 가상자산(암호화폐) 전문 미디어 코인데스크는 "가짜 레저 라이브 앱이 앱스토어에 유통되며 최소 950만달러 규모의 피해가 발생했다"고 보도했다.
이번 공격은 지난 7일부터 13일까지 약 일주일간 진행됐으며, 비트코인(BTC), 이더리움(ETH), 솔라나(SOL), 트론(TRX), XRP 등 다양한 블록체인 이용자 50명 이상이 피해를 입은 것으로 파악됐다.
피해자들은 정상 앱으로 오인해 복구 구문(시드 문구)을 입력했고, 이 과정에서 지갑 접근 권한이 공격자에게 넘어간 것으로 나타났다.
대표 사례로 한 이용자는 약 5.9BTC를 탈취당하며 10년간 모은 자산을 한순간에 잃었다고 밝혔다. 해당 이용자는 "은퇴 자금을 한 번에 잃었다"고 토로했다.
블록체인 분석가 잭엑스비티(ZachXBT)는 탈취된 자금 흐름을 추적한 결과, 자금이 다수의 거래를 거쳐 쿠코인(KuCoin) 입금 주소로 이동했으며 '아우디A6(AudiA6)'로 알려진 중앙화 자금 세탁 서비스와 연관된 패턴을 보였다고 설명했다.
실제 이번 사건에서 탈취된 자금은 150개 이상의 쿠코인 입금 주소를 통해 이동된 것으로 나타났다. 쿠코인은 최근 규제 이슈로 유럽 신규 이용자 유입이 제한되는 등 논란을 겪은 바 있다.
애플은 해당 가짜 앱을 앱스토어에서 삭제했지만, 심사 과정에서 어떻게 등록이 허용됐는지와 유통 기간에 대한 의문은 여전히 남아 있다. 일각에서는 이번 사건이 집단소송으로 이어질 가능성도 제기되고 있다.
한편 레저 측은 이번 사건과 관련해 사용자 보안 수칙을 재차 강조했다. 샤를 기예메(Charles Guillemet) 레저 최고기술책임자(CTO)는 "레저는 어떤 경우에도 24개 복구 문구 입력을 요구하지 않는다"며 "앱이나 누군가가 이를 요구할 경우 즉시 의심해야 한다"고 밝혔다.
이어 "브라우저, 앱스토어 등 소프트웨어 환경은 신뢰할 수 없으며, 개인 키는 반드시 하드웨어 기기에서만 관리해야 한다"며 "복구 문구는 곧 지갑 그 자체"라고 강조했다.
강민승 기자
minriver@bloomingbit.io여러분의 웹3 투자 인사이트를 더해줄 강민승 기자입니다. 트레이드나우·알트코인나우와 함께하세요! 📊🚀
