사이버보안 기업 소켓(Socket)은 화요일 보고서에서, ‘Crypto Copilot’ 이라는 악성 크롬 확장 프로그램이 사용자가 X(트위터) 피드에서 솔라나(SOL) 거래를 실행할 수 있도록 해주는 것처럼 보이지만, 실제로는 모든 스왑 거래에 숨겨진 추가 전송 명령을 덧붙여 수수료를 갈취한다고 밝혔다.
소켓에 따르면 Crypto Copilot은 전체 잔액을 비우는 일반적인 월릿 드레이닝 악성코드와 달리, “모든 솔라나 스왑에 최소 0.0013 SOL 혹은 거래량의 0.05% 를 추가로 전송하게 만드는 방식”을 사용한다.
백엔드에서는 탈중앙화 거래소 레이디움(Raydium)을 통해 사용자의 스왑을 정상적으로 수행하지만, 여기에 두 번째 전송 명령이 추가된다. 이 명령은 사용자의 SOL 일부를 공격자 주소로 전송한다. 확장 프로그램 UI는 스왑 정보만 표시하며, 지갑의 확인 화면도 “단일 트랜잭션 요약만 보여줄 뿐, 개별 명령이 표면에 드러나지 않는다”고 소켓은 설명했다.
“사용자는 하나의 스왑에 서명한다고 생각하지만, 두 명령이 블록체인 상에서 원자적으로 실행된다.”
관련 기사: 5 ‘insidious’ crypto scams to watch out for this year
장기간 운영된 악성 확장…
소켓은 Chrome Web Store 보안팀에 해당 확장 프로그램의 삭제 요청을 제출했다고 밝혔다. Crypto Copilot은 2024년 6월 18일에 게시된 비교적 ‘장수’ 악성 확장 프로그램이지만, 기사 작성 시점 기준 사용자 수는 15명에 불과하다.
확장 프로그램은 자신을 “트레이딩 기회를 놓치지 않고 X에서 바로 솔라나 스왑을 실행할 수 있게 해주는 편의 도구”로 홍보하며, “앱이나 플랫폼을 전환할 필요 없이 즉시 거래를 실행할 수 있다”고 주장해왔다.
관련 기사: NPM supply-chain attack compromises major ENS and crypto libraries
반복되는 악성 크롬 확장 사기…솔라나 이용자 대상 공격 증가
구글 크롬의 방대한 사용자 기반과 확장성은 오래전부터 암호화폐 관련 공격의 주요 표적이 되어왔다. 이번 악성 확장 프로그램 발견은 최근 연이어 발생한 사례와 맞물린다. 이달 초, 소켓은 크롬 웹스토어에서 네 번째로 인기 있는 암호화폐 지갑 확장 프로그램이 사용자 자금을 탈취하고 있다고 경고했다. 8월 말, DEX 애그리게이터 주피터(Jupiter)는 또 다른 악성 크롬 확장이 솔라나 지갑을 비우고 있다고 보고했다.
2024년 6월, 한 중국 트레이더는 ‘Aggr’라는 크롬 플러그인을 설치한 뒤 브라우저 쿠키 탈취를 통한 계정 장악으로 100만 달러를 도난당했다. 여기에는 바이낸스 계정 접근도 포함돼 있었다.
매거진: ‘Help! My robot vac is stealing my Bitcoin’: When smart devices attack
