2022년 솔라나 지갑 해킹은 어떤 원인으로 발생했나요?

아래는 2022년 솔라나 지갑 해킹 사고의 원인을 정리한 FAQ 형식입니다.

1. Q: 2022년 솔라나 지갑 해킹이란 무엇인가요?
A: 2022년 8월경 솔라나 블록체인 기반 지갑(주로 모바일·브라우저 확장형)이 대규모로 해킹되어 약 8,000여 개 지갑에서 5백만 달러(약 70억원) 상당의 자산이 탈취된 사건입니다.

2. Q: 해킹의 직접적인 원인은 무엇인가요?
A: 주요 원인은 “프라이빗 키(또는 시드 프레이즈)가 지갑 앱 밖으로 유출”된 점입니다. 구체적으로는:
• 지갑 앱 내부에서 서명 요청을 가로채는 악성 자바스크립트 코드 삽입
• 지갑 확장 프로그램이 외부 서버로 키 정보 전송
• 사용자 승인 없이 무제한 토큰 전송 권한 허용

3. Q: 어떤 지갑이 취약했나요?
A: 대표적으로 Slope Wallet, Phantom, Trust Wallet(iOS 버전) 등이 주요 피해 지갑으로 지목되었습니다. 특히 Slope Wallet은 시드 프레이즈를 중앙 서버에 전송하는 구조적 취약이 있었습니다.

4. Q: 공격자는 어떻게 프라이빗 키를 탈취했나요?
A:
• 악성 dApp(분산 애플리케이션)에 접속 시 삽입된 스크립트가 키를 탈취 • Solana Pay 결제 링크 형태로 위장해 사용자가 악성 URL을 클릭하도록 유도
• 지갑 확장 프로그램이 승인 요청 화면을 조작해 사용자 동의 없이 서명 실행

5. Q: 근본 원인은 무엇으로 분석되나요?
A:
• 지갑 개발사들의 키 보관·서명 프로세스 불투명성
• 미검증 dApp에 대한 과도한 권한 부여
• 보안성 검증(감사) 부재 또는 미흡
• 모바일·브라우저 환경에서 민감 정보 노출 위험에 대한 미숙지

6. Q: 향후 같은 사고를 방지하려면 어떻게 해야 하나요?
A:
• 소프트웨어 지갑 대신 하드웨어 월렛 사용
• dApp 접근 전 URL·RPC 엔드포인트 철저 확인
• 트랜잭션 서명 시 요청 상세 내역 꼼꼼히 검토
• 지갑·브라우저 확장 프로그램 정기 업데이트 및 감사 리포트 확인
• 가능한 멀티시그(multi-signature)·탈중앙화 커스텀 시그니처 활용

2022년 솔라나 지갑 해킹 사건은 결코 체인 자체의 취약점(Consensus나 스마트컨트랙트 버그)이 아니라, 지갑(Wallet) 클라이언트 쪽에서 사용자 개인키가 유출된 것이 직접적 원인이었습니다.

구체적인 전개와 원인을 요약하면 다음과 같습니다.

1. 사고 개요 • 시기: 2022년 8월 초 • 피해 규모: 약 800여 개 지갑에서 5~10백만 달러 규모의 SOL·토큰 탈취 • 피해 방식: 피해자 지갑의 개인키(private key)를 이용해 미리 승인된 트랜잭션 없이 자산을 모두 전송

2. 사고 원인 분석 1) 클라이언트 지갑 라이브러리(특히 Slope 모바일 지갑)의 설계 결함 – Slope 지갑이 사용하는 JavaScript/React Native 기반 키 생성·서명 모듈에서, 사용자 개인키를 내부 로깅(logging) 및 원격 분석 서버에 전송하는 코드가 포함되어 있었음 – 이 코드는 “개인키가 절대 외부로 누출되어서는 안 된다”는 보안 원칙을 완전히 위반한 것으로, 사용자 동의 없이 평문(plaintext) 형태의 시드 시리즈(seed phrase 또는 private key 바이트 배열)가 외부 엔드포인트로 전송됨

2) 로그 서버 접근 권한 탈취 또는 로그 데이터 유출 – 원격 분석 서버 또는 해당 로그가 저장된 스토리지에 침투자가 접근하여, 평문으로 저장된 개인키 정보를 탈취 – 이렇게 확보한 개인키를 이용해 피해자 지갑의 자산을 계좌 이체 방식으로 일괄 탈취

3) 타 지갑·애플리케이션 간의 SDK 공유 – Slope 측 자바스크립트 SDK를 채택한 다른 서드파티 서비스(데스크톱·모바일 지갑, 디앱)의 사용자도 동일한 라이브러리 취약점에 노출 – 결과적으로 Slope 본인 사용자뿐 아니라, 해당 SDK를 임포트한 수십여 개 프로젝트 이용자까지 피해 규모가 커짐

3. 왜 ‘솔라나 프로토콜’의 문제가 아니었나 • 체인 상 모든 거래는 정상 서명과 트랜잭션 구조를 갖추고 있었고, 블록체인 네트워크 자체는 문제 없이 작동 • 공격자는 단지 “유효한 개인키”만 탈취해 사용했을 뿐, 프로토콜 레이어를 교란하거나 합의를 조작한 것은 아님 • 즉, “클라이언트 측(지갑 애플리케이션) 보안”의 실패가 온체인 트랜잭션 탈취로 이어진 사례

4. 시사점 및 대응 조치 1) 지갑 개발 시 개인키·시드 구문은 절대 애널리틱스나 외부 로깅 시스템으로 보내지 말아야

2) RNG(랜덤 넘버 생성기)부터 키 관리(Lifecycle), 메모리 상 임시 저장소 관리까지 보안 원칙 준수 필요

3) 제3자 SDK 사용 시 내부 코드 리뷰·감사를 철저히 하고, 의심스러운 네트워크 호출이 없는지 확인

4) 멀티시그(Multisig)·하드웨어 월렛 등 추가 보안 수단 활용 권장 2022년 솔라나 지갑 해킹은 ‘프로토콜 결함’이 아닌 ‘지갑 클라이언트 구현상의 치명적 실수(개인키 외부 유출)’가 근본 원인이었습니다.

이 사건은 블록체인에서 가장 중요한 자산 보호 요소가 결국 키 관리(key management)임을 다시 한번 일깨워 주었습니다.