Safery: 이더리움 지갑 크롬 확장 프로그램

사이버 보안 연구원들이 합법적인 이더리움 지갑으로 위장한 위험한 크롬 확장 프로그램을 발견했습니다. Safery: Ethereum Wallet이라는 이름의 이 확장 프로그램은 "유연한 설정으로 이더리움 암호화폐를 관리할 수 있는 안전한 지갑"을 제공한다고 주장합니다. 2025년 9월 29일 크롬 웹 스토어에 처음 업로드되었으며, 최근 업데이트는 11월 12일입니다. 간단하고 안전한 이더리움(ETH) 지갑처럼 보이지만, 사용자의 시드 구문을 훔치도록 설계된 정교한 악성코드가 숨겨져 있습니다.

맬웨어 작동 방식

이 악성 확장 프로그램에는 지갑 니모닉 문구를 가짜 Sui 주소로 인코딩하여 유출시키는 백도어가 포함되어 있습니다. 이후 위협 행위자가 제어하는 Sui 지갑에서 소액 결제를 브로드캐스트하여 공격자가 기존의 명령제어(C2) 서버 없이도 민감한 정보를 추출할 수 있도록 합니다.

작업 흐름은 다음과 같습니다.

• 이 확장 기능은 사용자의 시드 문구를 Sui 주소로 인코딩합니다.
• 공격자의 지갑에서 가짜 주소로 소액의 마이크로 트랜잭션(0.000001 SUI)을 보냅니다.
• 공격자는 블록체인을 모니터링하고 수신자 주소를 디코딩하여 원래 시드 문구를 재구성합니다.
• 공격자는 지갑을 재구성한 후 피해자의 자산을 빼낼 수 있습니다.

이 방법을 사용하면 공격자는 기존의 탐지 메커니즘을 우회하여 겉보기에 정상적인 블록체인 거래를 통해 민감한 데이터를 밀수할 수 있습니다.

위협 탐지 과제

이 공격 기법은 특히 은밀한데, 위협 행위자가 체인과 RPC 엔드포인트를 쉽게 전환할 수 있기 때문입니다. 따라서 도메인, URL 또는 특정 확장 ID에만 의존하는 방어 시스템은 실패할 수 있습니다. 특히 제품이 단일 체인에서 작동한다고 주장하는 경우, 브라우저에서 예기치 않은 블록체인 RPC 호출은 고위험 신호로 간주해야 합니다.

권장되는 완화 전략

이러한 위협으로부터 보호하기 위해 사이버 보안 전문가들은 다음과 같은 예방 조치를 권고합니다.

사용자 안내 : 신뢰할 수 있고 검증된 출처의 지갑 확장 프로그램만 설치하세요. 새로 출시되었거나 리뷰가 부족한 확장 프로그램은 피하세요.

보안 담당자를 위한 안내 : 니모닉 인코더, 합성 주소 생성기, 하드코딩된 시드 문구와 같은 악성 행위를 탐지하기 위해 브라우저 확장 프로그램을 검사하십시오. 지갑 생성 또는 가져오기 중에 체인상에서 거래를 기록하려는 모든 확장 프로그램을 차단하십시오.

이러한 예방 조치를 적용하면 최종 사용자와 보안팀 모두 시드 문구 도난 및 무단 자금 인출 위험을 크게 줄일 수 있습니다.