가상자산 하드웨어 지갑 업체 렛저가 12월 14일, 일부 서비스에서 보안 문제가 발생했다고 밝혔다. 이로 인해 렛저 지갑과 연결된 분산형 애플리케이션(dApp) 일부에서 사용자 자산이 유출됐을 가능성이 제기됐다.
블록체인 데이터 분석 기업 룩온체인에 따르면, 이미 약 48만 달러(약 6억 원) 상당의 가상자산이 도난당한 것으로 추정된다.
렛저 측은 해당 사고가 ‘Ledger Connect Kit’라는 라이브러리에서 발생했으며, 이는 하드웨어 지갑과 dApp 간 연결을 중개하는 기능을 수행한다.
공격자는 렛저의 전 직원을 대상으로 한 피싱 공격을 통해 내부 권한을 탈취한 후, Connect Kit에 악성 파일을 업로드한 것으로 확인됐다. 해당 악성 버전은 자산을 공격자의 지갑으로 전송하는 코드가 포함돼 있었다.
문제가 있었던 버전은 1.1.5, 1.1.6, 1.1.7이며, 약 5시간 동안 운영된 뒤 즉시 차단됐다. 현재 렛저는 수정된 1.1.8 버전을 배포한 상태다.
렛저는 공격을 인지한 즉시 악성 파일을 차단하고, 피해 사용자에게 연락해 자산 회복을 지원하고 있다고 밝혔다.
법 집행 기관과의 공조는 물론, 체이널리시스와 테더(Tether) 등과 협력해 도난 자산의 추적 및 회수를 진행 중이다. 해커 주소에 대해 스테이블 코인 USDT의 동결 조치도 취해졌다.
또한, 렛저 측은 사용자에게 비밀 복구 문구(24단어)를 절대 공유하지 말 것과 피싱 사기에 유의할 것을 강하게 권고했다.
하드웨어 지갑 기기 자체와 Ledger Live 앱에는 문제가 없다고 밝혔다.
각 dApp의 대응
이번 사고로 인해 디앱들 간 대응에도 차이가 나타났다.
스시스왑(SushiSwap)은 사용자에게 렛저의 악성 커넥터 삭제를 안내하고, 웹사이트의 정상 운영을 공지했다.
유니스왑(Uniswap)은 해당 라이브러리를 사용하지 않아 영향을 받지 않았다고 밝혔고, 메타마스크도 사용자 주의를 당부했다.
렛저는 시스템 복구는 완료됐으나, 해당 기능을 사용하는 dApp의 경우 최소 24시간 대기 후 사용을 권장하고 있다.
디앱이란?
디앱(Decentralized Application)은 중앙 서버 없이 블록체인 네트워크 상에서 구동되는 분산형 애플리케이션으로, 사용자 데이터 보호 및 투명한 기록 관리가 특징이다.
디파이(DeFi), NFT, 게임 등 다양한 분야에서 활용되고 있다.
