해커, 개발자 이메일 피싱으로 악성 배포
피해액 500달러(약 70만원) 수준
유니스왑·아베 등 주요 프로젝트 영향 없어
가상자산 업계를 겨냥한 대규모 해킹 시도가 있었지만 피해는 거의 없었던 것으로 나타났다.
레저의 샤를 기예메 CTO는 9월 8일, 해커들이 NPM(자바스크립트 오픈소스 저장소) 개발자 계정을 이메일 피싱으로 탈취해 악성 코드를 넣었지만, 기술적 오류로 배포 과정이 멈추면서 즉시 발견됐다고 설명했다. 이 악성 코드는 이더리움·솔라나 등에서 송금 주소를 해커 지갑으로 바꿔치기하는 방식이었으나 실제로 해커가 훔친 자금은 503달러(약 70만원)에 불과했다.
보안단체 SEAL Org는 매주 10억 회 이상 내려받는 패키지가 노출됐지만 결과적으로 큰 피해가 없었던 건 “운이 좋았다”고 평가했다. 기예메는 다만 공급망 공격은 계속되는 위협이라며, 하드웨어 지갑 사용과 거래 내역 확인이 필수라고 강조했다.
유니스왑·메타마스크·아베·OKX 월릿·트레저·리도·수이 등 주요 서비스들은 이번 공격의 영향을 받지 않았다고 밝혔다. 아카움은 9일 기준 탈취액을 159달러(약 22만원)로 집계했으며, NPM 보안팀이 악성 코드를 대부분 삭제했지만 일부 프로젝트는 여전히 점검이 필요하다고 전했다.
