트러스트 월렛의 크롬 확장 프로그램에서 발생한 해킹 사건으로 인해 피해액은 무려 97억 원에 달한다. 트러스트 월렛 측은 이번 해킹 피해자의 보상 절차가 예상보다 길어지고 있다고 발표했다. 이는 크롬 웹스토어의 버그로 인해 확장 프로그램이 일시적으로 삭제되면서 중요한 검증 기능 업데이트가 늦춰진 데 따른 것이다.

트러스트 월렛의 CEO인 에오윈 첸은 새로운 버전의 확장 프로그램이 피해자들이 지갑 소유권을 증명하고 보상 청구를 할 수 있도록 돕는 기능을 포함하고 있었으나, 배포 과정에서 오류로 인해 출시가 중단되었다고 설명했다. 그는 "구글 측이 문제를 인지하고 있으며, 내부에서 문제 해결 작업을 하고 있다"고 말하며, 사용자의 주의도 당부했다.

이번 사건은 지난해 12월 25일 발생한 해킹 사건과 관련이 있다. 트러스트 월렛은 크롬 확장 프로그램의 버전 2.68이 악성 코드가 포함된 채로 배포되었다고 공식 인정했다. 이 악성 코드는 사용자의 지갑 정보 및 복구 문구를 탈취해 약 850만 달러(한화 약 122억 6,950만 원) 상당의 자산을 빼앗게 만든 원인으로 지목되고 있다.

해킹 피해자들 중에서는 12월 24일부터 26일 사이에 버전 2.68을 설치하고 로그인한 사용자만 피해를 입었으며, 모바일 앱 사용자나 해당 기간에 사용하지 않은 다른 버전의 사용자들은 영향을 받지 않았다. 보안 전문가들은 이 악성 코드가 정식 소프트웨어처럼 위장해 크롬 심사를 통과했다고 지적하며, 사용자가 복구 문구를 입력하는 즉시 자산의 유출이 발생했다고 강조했다.

트러스트 월렛은 공격의 원인을 지난해 11월에 발생한 공급망 공격 'Sha1-Hulud'와 연결짓고 있다. 이 공격은 여러 기업의 개발 도구가 해킹되면서 발생했으며, 해커들이 크롬 API 키를 도용해 악성 확장을 공식적으로 배포할 수 있는 권한을 확보했던 것으로 알려졌다.

결국 트러스트 월렛은 악성 버전을 제거하고 버전 2.69로 롤백했으며, 유출된 배포 권한을 비활성화시켰다. 이후 12월 29일부터 피해자 지원을 위한 청구 절차를 시작하였지만, 제기된 청구가 5,000건을 넘는 상황에서 실제 피해를 입은 지갑은 더 적은 수로 나타나 중복 및 허위 청구에 대한 우려가 제기되고 있다.

트러스트 월렛은 보상을 위해 추가 검증 기능을 준비하고 있었으나, 크롬 웹스토어에서 발생한 문제로 인해 이도 지연되고 있는 상황이다. 보안 전문가들은 최근 암호화폐 지갑 해킹 사건이 증가하고 있으며, 개인 사용자들은 공식 출처 외에 프로그램 설치를 피하고 시드 구문은 절대로 외부에서 입력하지 않도록 주의해야 한다고 경고하고 있다.

이번 해킹 사건은 단순히 개인의 피해를 넘어, 웹3 업계 전체의 보안 허점을 드러낸 사례로 보인다. 보상 지연 문제는 사용자 신뢰에 큰 타격을 줄 수 있으며, 향후 사용자들이 이와 같은 사건에 더욱 주의해야 할 필요성을 시사한다.