트러스트 월렛의 브라우저 확장 프로그램 버전 2.68에서 치명적인 보안 결함이 발견되어 약 700만 달러 규모의 자산이 탈취되었다.
작성자 Jiwoo Jeong
작성일
3 분 소요
바이낸스의 공동 창립자인 창펑 자오(Changpeng Zhao, 이하 CZ)가 대주주로 있는 비수탁형 가상자산 지갑 트러스트 월렛(Trust Wallet)에서 심각한 보안 사고가 발생했다.
트러스트 월렛 측은 공식 발표를 통해 브라우저 확장 프로그램에서 발생한 보안 결함으로 인해 약 677만 달러(한화 약 96억 원) 규모의 사용자 자산 손실이 확인되었다고 공식 인정했다.
온체인 데이터 분석 업체인 룩온체인(Lookonchain)의 X 게시물에 따르면, 해커는 탈취한 자금 중 약 425만 달러를 쿠코인(KuCoin), HTX, 체인지나우(ChangeNOW), 픽스드플로트(FixedFloat) 등 주요 중앙화 암호화폐 거래소(CEX)와 가상자산 교환 플랫폼으로 전송한 것으로 파악되었다.
Trust Wallet(@TrustWallet) has been exploited, with hundreds of users affected and over $6.77M stolen so far.
The hacker has already sent ~$4.25M to ChangeNOW, FixedFloat, KuCoin, and HTX.
CZ(@cz_binance) has stated that Trust Wallet will fully cover the losses.
Check hacker… pic.twitter.com/6xjyOaxUEK
— Lookonchain (@lookonchain) December 26, 2025
탈취된 자산에는 비트코인(BTC), 이더리움(ETH), 테더(USDT), USDC, 바이낸스 코인(BNB) 등 다양한 주요 디지털 자산이 포함된 것으로 드러났다.
이번 사고는 브라우저 확장 프로그램의 ‘버전 2.68’에서 발생한 문제로 확인되었다. 트러스트 월렛 측은 사용자가 지갑을 복구하거나 설치할 때 사용하는 ‘시드 구문(Seed Phrase, 복구용 단어)’을 입력하는 과정에서 악성 코드가 활성화되도록 설계된 보안 허점이 있었음을 시인했다.
We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69.
Please refer to the official Chrome Webstore link here: https://t.co/V3vMq31TKb
Please note: Mobile-only users…
— Trust Wallet (@TrustWallet) December 25, 2025
회사 측은 추가 피해를 막기 위해 모든 웹 사용자에게 즉시 지갑을 ‘버전 2.69’로 업데이트할 것을 강력히 권고했다.
다행히 모바일 애플리케이션 사용자나 이전/이후 버전의 확장 프로그램 사용자는 이번 공격의 영향을 받지 않은 것으로 알려졌다.
트러스트 월렛의 지분 대다수를 보유하고 있는 창펑 자오는 본인의 소셜 미디어(X)를 통해 “회사가 이번 사용자들의 손실을 모두 보상할 것(Cover)”이라고 밝히며 사태 수습에 나섰다.
So far, $7m affected by this hack. @TrustWallet will cover. User funds are SAFU. Appreciate your understanding for any inconveniences caused. 🙏
The team is still investigating how hackers were able to submit a new version. https://t.co/xdPGwwDU8b
— CZ 🔶 BNB (@cz_binance) December 26, 2025
그러나 이러한 보상 약속에도 불구하고, 가상 자산 보안 커뮤니티에서는 이번 사고의 원인을 둘러싼 날 선 비판과 의혹이 이어지고 있다.
일부 전문가들은 이번 해킹이 단순한 실수라기보다 내부 관계자가 개입된 내부자 소행(Insider Job)일 가능성을 제기하고 있다. 기술적인 측면에서 보았을 때 너무나 기초적인 보안 결함이 노출되었기 때문이다.
Are you sure you have the right people for this?
The code that the so-called hackers slid in is ridiculously easy to spot, you could even catch this via basic automated audits for any and all external URLs. Are we being told that there are no automated audits looking for… pic.twitter.com/TaTiodXUfq
— ʝㄐ🔆 (@j4hangir) December 26, 2025
핀테크 업체 쿠비(Kuvi)와 알투라(Altura)의 최고기술책임자(CTO) 제이 나스르(Jay Nasr)는 “유니코드 문자 처리조차 제대로 되어 있지 않은 코드는 대놓고 피싱 공격을 허용한 것이나 다름없다”며, “자동화된 단위 테스트나 내부 검토 절차에서 어떻게 이런 기초적인 오류를 발견하지 못했는지 이해할 수 없다”고 강력히 비판했다.
또한, 많은 사용자는 단순히 자금을 돌려받는 것보다 근본적인 보안 취약점을 해결하고 유사한 사고의 재발을 방지할 수 있는 강력한 대책 마련을 촉구하고 있다.
보안 사고 소식이 전해진 직후, 트러스트 월렛의 거버넌스 토큰인 TWT 가격은 몇 시간 만에 0.82달러에서 0.76달러로 하락하며 시장의 불안감을 반영했다.
하지만 창펑 자오의 빠른 보상 발표와 사태 수습 노력에 힘입어 가격은 다시 0.83달러 선을 회복했으며, 현재 시가총액은 약 3억 6,000만 달러 규모를 유지하고 있다.
디파이라마(DefiLlama)의 데이터에 따르면, 트러스트 월렛은 2025년 현재까지 약 1,359만 달러의 수익을 기록하고 있다. 이는 2024년 기록한 1,813만 달러의 수익과 비교했을 때 약 25% 하락한 수치다.
수익성 하락과 보안 사고라는 이중고에도 불구하고, 트러스트 월렛은 지난주 공식 발표를 통해 2025년 기준 전체 사용자 수가 2억 2,000만 명을 돌파하며 선도적인 암호화폐 지갑으로서의 입지를 지키고 있다고 주장했다.
현재 트러스트 월렛은 브라우저 확장 프로그램의 코드 전반에 대한 전수 점검과 보안 프로토콜 강화 작업에 돌입한 것으로 알려졌다. 이번 사고가 사용자들의 신뢰도에 어떤 장기적인 영향을 미칠지는 향후 보안 체계를 얼마나 신속하고 철저하게 보완하느냐에 따라 결정될 전망이다.
면책 조항: 코인스피커는 공정하고 투명한 보도를 제공하기 위해 노력합니다. 이 기사는 정확하고 시의적절한 정보를 제공하는 것을 목표로 하며, 재정 또는 투자 조언으로 간주되어서는 안 됩니다. 암호화폐 시장은 매우 빠르게 변동할 수 있으므로, 이 콘텐츠를 기반으로 어떠한 결정을 내리기 전에 반드시 별도의 조사를 수행하시기 바라며, 필요 시 전문가와 상담할 것을 권장합니다.
본 작가는 <a href="https://www.caltech.edu/">Caltech</a>에서 블록체인 기술과 분산 시스템을 주제로 석사 과정을 마쳤습니다. 지난 6년간 글로벌 핀테크 스타트업 및 Web3 프로젝트에서 스마트 컨트랙트 개발, 체인 간 호환성, 그리고 L2 확장성 솔루션 분야에 몸담아 왔습니다. 현재는 암호화폐와 탈중앙화 기술의 실제 활용 가능성과 산업적 영향에 대한 분석 콘텐츠를 전문적으로 작성하고 있으며, 기술적 깊이와 시장 흐름을 함께 다룰 수 있는 드문 전문 필진으로 활동 중입니다. 기술 문서뿐만 아니라 정책 변화, 온체인 데이터 분석, 토크노믹스 설계 관련 글을 통해 독자들이 실질적인 투자 판단과 기술 이해에 도움을 받을 수 있도록 균형 잡힌 정보를 제공합니다.