deBridge와 Flow 블록체인 해킹 사건
deBridge의 창립자 Alex Smirnov는 영향을 받은 사용자들을 위한 복구 계획이 마련될 때까지 검증자들에게 거래를 중단할 것을 촉구했다. Trust Wallet은 Chrome 확장 프로그램에 삽입된 악성 코드로 인해 여러 블록체인에서 약 700만 달러의 자산이 도난당했다고 확인하며, 지갑 제공업체가 공식 보상 절차를 시작했다고 밝혔다. Binance의 창립자 Changpeng Zhao는 모든 피해를 보상할 것이라고 말했다.
거래 중단 요청과 해킹의 여파
크로스 체인 브리지 제공업체 deBridge의 창립자인 Alex Smirnov는 Flow 블록체인에서 검증자들에게 네트워크의 논란이 된 롤백 제안으로 영향을 받은 사용자들을 위한 명확한 복구 계획이 수립될 때까지 거래 처리 중단을 공개적으로 촉구했다. 이 요청은 12월 27일에 발생한 390만 달러의 해킹 사건 이후에 이루어졌다. 공격자는 Flow의 실행 계층의 취약점을 이용해 여러 크로스 체인 브리지를 통해 네트워크에서 자금을 빼냈다.
Smirnov는 롤백이 사용자 잔액에 혼란을 초래했다고 경고했으며, 특히 영향을 받은 기간 동안 Flow에서 자산을 브리지한 사용자들은 잔액이 두 배가 되거나 불일치할 가능성에 직면해 있다고 말했다.
Flow의 주요 브리지 제공업체 중 하나인 deBridge는 이러한 불일치에 직접적으로 노출되어 있었으며, 이는 Smirnov가 Flow 재단에 더 나은 투명성과 조정을 요구하게 만든 원인이 되었다. 요청에도 불구하고 Flow 검증자들은 아직 응답하지 못하고 있다. 블록체인 데이터에 따르면 Flow는 토요일 밤 늦게부터 블록 높이 137,385,824에서 정체되어 있으며, Flow 재단은 네트워크가 4~6시간 내에 재시작될 것으로 예상한다고 밝혔다. 지금까지 시장 반응은 심각하다. CoinCodex의 데이터에 따르면 FLOW 토큰은 해킹 이후 약 42% 하락했다.
회복 계획과 비판
10월에 Flow의 제작사인 Dapper Labs는 수정된 회복 계획이 롤백의 필요성을 완전히 없애고 합법적인 사용자 활동을 보존하면서 네트워크 운영을 복원할 것이라고 말했다. 그러나 비평가들은 신뢰에 대한 피해가 이미 발생했다고 주장한다. Smirnov는 롤백 결정이 서두른 것이라고 설명하며 생태계 파트너들이 적절히 통보받지 못했다고 말했다. 그는 롤백이 브리지, 수탁자, 거래소 및 선의로 행동한 사용자들에게 연쇄적인 문제를 일으킬 수 있다고 경고했다.
Delphi Labs의 법률 고문인 Gabriel Shapiro는 Flow의 접근 방식을 비판하며, 이는 사실상 담보 없는 자산을 생성하고 완화의 부담을 브리지와 발행자에게 전가한다고 주장했다.
Dapper Labs는 어떤 사용자 잔액—자신의 재무를 포함하여—도 영향을 받지 않았다고 주장했지만, 여전히 회의적인 시각이 남아 있다. Flow는 한때 많은 지원을 받았고, Andreessen Horowitz와 Union Square Ventures를 포함한 기업들로부터 7억 2500만 달러의 자금을 확보하기도 했다. 그러나 현재 이 네트워크는 총 잠금 가치가 8550만 달러에 불과하며, FLOW는 시가 총액 기준으로 300위 밖으로 밀려났다.
Trust Wallet의 보상 절차
또 다른 암호화폐 관련 회사는 최근 해킹 이후 회복을 시도하고 있다. Trust Wallet은 Chrome 브라우저 확장 프로그램과 관련된 최근 보안 사건으로 영향을 받은 사용자들을 위한 공식 보상 절차를 시작한다고 발표했다. 이는 소프트웨어 버전 2.68에 삽입된 악성 코드가 발견된 이후의 일이다. 이 문제는 발표 이틀 전에 확인되었으며, 12월 24일에 출시된 업데이트 직후 사용자 자금이 유출되고 있다는 보고가 있었다.
영향을 받은 사용자들은 이제 Trust Wallet 웹사이트에 호스팅된 공식 지원 양식을 통해 청구를 제출할 수 있다. 청구 과정에서는 사용자 이메일 주소, 거주 국가, 손상된 지갑 주소, 공격자의 수신 주소 및 관련 거래 해시와 같은 세부 정보를 제공해야 한다. Trust Wallet은 사건의 영향을 받은 모든 사용자에게 보상할 것이라고 밝혔다.
Trust Wallet에 따르면, 약 700만 달러의 디지털 자산이 비트코인, 이더리움, 솔라나를 포함한 여러 블록체인에서 도난당했다.
블록체인 보안 회사인 PeckShield는 도난당한 자금 중 400만 달러 이상이 ChangeNOW, FixedFloat 및 KuCoin과 같은 중앙 집중식 거래소를 통해 유입되었다고 보고했다. Trust Wallet을 2018년에 인수한 Binance의 창립자 Changpeng Zhao는 모든 손실이 보상될 것이라고 공개적으로 확인했다. Zhao는 X에서 사용자 자금이 “SAFU” 상태라고 밝혔다.
이 사건은 크리스마스 날에 온체인 조사관 ZachXBT에 의해 처음으로 공개적으로 경고되었으며, 여러 Trust Wallet 사용자들이 Chrome 확장 프로그램 업데이트 직후 잔액이 유출되고 있다고 보고했다. Trust Wallet은 12월 25일에 버전 2.69에서 수정 사항을 발표했다. CEO Eowyn Chen은 12월 26일 오전 11시 UTC 이전에 확장 프로그램에 접근한 사용자들이 잠재적으로 영향을 받았다고 설명했다. 회사의 조사에 따르면, 유출된 Chrome 웹 스토어 API 키가 손상된 확장 프로그램을 게시하는 데 사용되어 내부 릴리스 통제를 우회한 것으로 확인되었다. 보안 회사 SlowMist는 악성 코드가 수정된 오픈 소스 분석 라이브러리를 사용하여 지갑 시드 문구를 수집했다고 밝혔다. Trust Wallet은 모바일 앱 사용자와 다른 브라우저 확장 프로그램 사용자는 영향을 받지 않았다고 확인했다.
