최근 세계 최대 자바스크립트 코드 저장소인 npm에서 발생한 심각한 공급망 해킹 사건에 대해 주요 암호화폐 기업들이 공식적으로 입장을 발표했다. 폴리곤, 레저, 트레저 등은 이번 해킹의 영향으로부터 안전하다고 밝혀 사용자들의 안심을 도모하고 있다.
폴리곤은 9월 8일(현지시간) 발생한 npm 해킹과 관련하여 자사의 기술 아키텍처가 전혀 손상되지 않았음을 주장했다. 특히 폴리곤 PoS와 Agglayer와 같은 핵심 블록체인 구조가 전혀 위협받지 않았다고 강조했다. 폴리곤은 이더리움 가상머신(EVM)을 기반으로 한 대표적인 레이어2 플랫폼으로, 많은 개발자와 분산 애플리케이션(DApp)들이 이 플랫폼에 의존하고 있다.
해킹 사건을 최초로 알린 것은 하드웨어 지갑 업체 레저의 CTO인 Charles Guillemet였다. 레저는 공식 성명을 통해 “이번 공급망 공격에서 레저 디바이스가 공격의 영향권에 있었던 적이 없다”며, 그들이 설계 단계에서부터 이러한 공격을 방어하도록 고안되었다고 밝혔다. 이를 통해 레저는 사용자들에게 강력한 보안성을 약속했다.
트레저 또한 같은 날 공식 입장을 내놓으며 모든 기기와 소프트웨어가 안전하다는 점을 재차 강조했다. 특히 트레저 지갑을 컴퓨터와 연결하는 데 사용하는 트레저 스위트 앱도 이번 공격의 대상에 포함되지 않았다고 밝혔다. 이런 입장은 사용자들에게 더욱 신뢰감을 주고 있다.
이번 해킹 사건은 유명 자바스크립트 개발자의 npm 계정이 탈취되면서 발생했다. 해커는 악성 코드가 포함된 패키지를 업로드함으로써 피해자의 암호화폐 주소를 자동으로 변경하도록 유도하는 클리퍼 멀웨어를 배포했다. 이 멀웨어는 피해자가 전송한 암호화폐가 해커의 지갑으로 유입되도록 하는 기능을 가지고 있다.
자바스크립트는 소프트웨어와 웹, 블록체인 개발 등 다양한 분야에서 가장 널리 사용되는 프로그래밍 언어로, 이러한 악성 npm 패키지가 수십억 번 다운로드될 가능성도 제기되고 있다. 이 때문에 이번 해킹 사건은 암호화폐 업계에서 “역사상 최대의 공급망 공격”으로 불리고 있다.
전문가들은 이번 사건을 계기로 사용자가 웹3 지갑으로 트랜잭션을 검토하거나 체인에서 송금 작업을 수행할 때, 반드시 지갑 주소를 반복적으로 확인하고, 의심스러운 승인 요청은 피해야 한다고 경고하고 있다. 따라서 암호화폐 보안에서 개인의 주의가 어느 때보다 중요한 시점임을 여실히 보여주고 있다.
이번 npm 해킹 사건은 암호화폐 업계의 공급망 보안에 대한 경각심을 더욱 높이는 계기가 될 것이다. 주요 기업들이 보안 대응에 힘쓰고 있으며, 사용자들도 더욱 주의해야 할 시점에 놓여 있다.
