주의보! GitHub의 ’Solana-pumpfun-bot’에 숨은 토큰 도난 함정 (2025년 7월 분석)
- 어떻게 시작되었나? 7월 2일의 SOS 신호
- 깃허브 계정 농단사건 - 한 사람의 다중 페르소나
- 2025년 해킹 트렌드 - 기술보다 교묘함이 승부처
- EIP-7702 악용 사례와 디파이 피해 규모
- 자주 묻는 질문
2025년 7월, SlowMist 보안팀은 GitHub에서 유포된 'Solana-pumpfun-bot' 오픈소스 프로젝트가 실제로는 악성 코드를 포함한 토큰 도난 트랩이라는 충격적인 사실을 발견했습니다. 이번 사건은 사회공학적 기법과 기술적 공격이 결합된 정교한 사기로, 피해자들의 암호화폐 자산이 FixedFloat 거래소로 유출되는 과정이 확인되었습니다. 특히 NPM 패키지 변조, 다중 깃허브 계정 연계 등 기존과 차별화된 전략이 사용되었는데요, 이제부터 이 복잡한 사기 메커니즘을 낱낱이 파헤쳐 보겠습니다.
어떻게 시작되었나? 7월 2일의 SOS 신호
2025년 7월 2일, 한 피해자가 SlowMist 보안팀에 도움을 요청하면서 이 사건이 수면 위로 떠올랐습니다. 피해자는 전날 GitHub의 'Solana-pumpfun-bot' 프로젝트를 사용한 후 지갑 자산이 증발하는 충격적인 경험을 했는데요. 조사 결과 이 프로젝트에는 'crypto-layout-utils'라는 의존성 패키지가 포함되어 있었으며, 이 패키지는 공식 NPM 저장소에서 삭제된 후 악성 버전으로 교체된 상태였습니다. BTCC 보안 분석팀은 "이 코드는 실행 시 사용자 컴퓨터에서 지갑 관련 파일을 탐색해 공격자의 서버로 민감 데이터를 전송하는 기능을 포함하고 있었다"고 밝혔습니다.
Source: SlowMist
깃허브 계정 농단사건 - 한 사람의 다중 페르소나
흥미로운 점은 이 공격의 배후로 추정되는 프로젝트 작성자가 여러 깃허브 계정을 동시에 운영했다는 사실입니다. 약 15개의 깉 계정이 서로 다른 프로젝트를 포크(fork)하고 악성 코드를 배포하는 데 사용되었는데요, 일부는 'bs58-encrypt-utils'라는 또 다른 악성 패키지를 포함하고 있었습니다. "이런 다중 계정 전략은 프로젝트의 신뢰도를 인위적으로 부풀리고 검증 절차를 우회하기 위한 목적이었다"고 SloWMist의 리사 운영팀장은 분석했습니다. 특히 6월 12일부터 본격화된 이 공격은 점차 진화하면서 더 많은 포크 프로젝트로 확산된 상태입니다.
2025년 해킹 트렌드 - 기술보다 교묘함이 승부처
SlowMist가 공개한 2분기 MistTrack 보고서에 따르면, 최근 암호화폐 해킹 기법은 기술적 진보보다는 교묘한 사기 전략에 집중되고 있습니다. 특히 ①가짜 브라우저 확장 프로그램 ②변조된 하드웨어 지갑 ③사회공학적 공격이 47% 증가했는데요, "순수 온체인 공격에서 벗어나 브라우저 확장, SNS 계정, 인증 프로세스 등 오프체인 접점이 새로운 표적이 되고 있다"는 게 전문가들의 설명입니다. 실제로 공격자들은 노션(Notion)이나 줌(ZoOM) 같은 신뢰도 높은 사이트를 사칭해 악성 파일을 다운로드하도록 유도하거나, "무료 하드웨어 지갑 당첨"이라는 피싱 메시지를 활용하기도 합니다.
EIP-7702 악용 사례와 디파이 피해 규모
이번 보고서에는 이더리움의 최신 업그레이드 Pectra에 포함된 EIP-7702 기능을 악용한 사례도 다뤄졌습니다. 또한 중국의 인기 메신저 위챗 계정 탈취 사건과 연계된 공격 사례도 확인되었는데요, 2025년 상반기 기준 이더리움 생태계의 보안 손실액은 약 4.7억 달러(디파이 플랫폼 중심)로 모든 블록체인 중 최악의 기록을 남겼습니다. BTCC 마켓 분석가는 "이러한 피해 사례들은 단순한 기술적 취약점보다는 인간의 심리를 공략한 사회공학적 요소가 83%를 차지한다"고 지적했습니다.
자주 묻는 질문
Q: Solana-pumpfun-bot은 정식 프로젝트였나요?
A: 원본 프로젝트는 합법적이었으나, 공격자가 이를 포크하여 악성 코드를 추가한 버전을 유포한 것으로 확인되었습니다. 특히 npm 패키지 저장소에서 정상 패키지를 삭제하고 악성 버전으로 대체하는 수법이 사용되었죠.
Q: 현재 피해 규모는 어느 정도인가요?
A: SlowMist가 확인한 바로는 FixedFloat 거래소로의 자금 이동이 확인되었으나 정확한 피해액은 아직 집계 중입니다. 다만 관련 GitHub 저장소의 별(StAR) 수와 다운로드 횟수를 고려할 때 상당한 규모의 피해가 예상됩니다.
Q: 일반 사용자는 어떻게 대응해야 하나요?
A: ①의심스러운 오픈소스 프로젝트는 반드시 커뮤니티 검증을 받을 것 ②npm 등 패키지 매니저 사용 시 버전 해시값을 확인할 것 ③불필요한 지갑 권한은 즉시 취소할 것을 권장합니다. 특히 "무료"나 "특별 이벤트"를 강조하는 오퍼는 99%가 사기라고 보셔도 됩니다.
