goplus

GoPlus Security는 한 사용자가 전형적인 주소 중독 공격을 당했다고 밝혔습니다. 거래 기록에서 유사한 주소를 복사하여 공격자가 위조한 주소로 100,000 DAI를 잘못 전송했습니다.사건에서 해당 사용자는 이전에 목표 주소로 300,000 DAI를 전송했으며, 공격자는 이후 문자 배열이 유사한 주소로 0.0003 DAI를 전송하여 두 번째 전송 시 주소를 잘못 선택하도록 유도했습니다.GoPlus Security는 거래 기록에서 주소를 복사하지 말고, 전송 전에 전체 주소를 확인하며, 대규모 전송 전에 소규모 테스트를 먼저 수행할 것을 권고합니다.

GoPlus에 따르면, 지난 36시간 동안 두 건의 공개 개인 키 유출 사건이 발생했으며, 총 손실액은 23.8만 달러에 달합니다. 그 중 0xUnihax0r는 20만 달러를 잃었으며, 그는 거래 봇과 텔레그램을 업로드한 적이 있습니다; @Eli5defi의 도난 주소는 이전 574개의 주소와 대규모 개인 키 유출 사건과 관련이 있습니다. GoPlus는 이러한 집중적인 대규모 개인 키 유출을 고려하여, 즉시 개인 키 유출 자가 점검 목록에 따라 위험을 점검할 것을 권장합니다.

GoPlus Security의 트윗에 따르면, 지난 48시간 동안 이더리움 메인넷에서 연속적으로 4건의 스마트 계약 공격이 발생했으며, 총 손실은 150만 달러를 초과했습니다.여기에는 Onchain 집계기 계약이 공격을 받아 약 98.3만 달러의 손실; TradingProtocol 관련 제3자 금고 계약이 도난당해 약 39.8만 달러의 손실; BCB 계약이 재진입 취약점으로 공격받아 약 3.98만 달러의 손실; 특정 계약이 임의 호출 취약점으로 인해 QNT 자산이 약 12.49만 달러 손실이 포함됩니다.GoPlus Security는 AI 기술이 전장에 진입함에 따라 해커 공격이 더욱 정밀하고 신속해지고 있으며, 취약점 발견이 "며칠"에서 "초 단위"로 압축되고 있다고 경고했습니다.

최근 발생한 "ListaDAOLiquidStakingVault" 계약 공격 사건에 대해 ListaDAO 공식은 해당 공격받은 계약이 공식 배포된 것이 아니라, 검증되지 않은 제3자가 유사한 이름으로 만든 모조 계약임을 명확히 하는 성명을 발표했습니다. ListaDAO의 공식 계약은 이 사건의 영향을 받지 않았습니다.GoPlus 보안 팀의 심층 분석에 따르면, 이번 공격은 2026년 4월 16일에 발생했으며, 근본 원인은 해당 제3자 계약에 비즈니스 로직 결함이 존재했기 때문입니다. 토큰 전송이 이루어질 때 Dividend.setShares() 함수가 호출되어 계약 내의 지분 회계가 변경되며, 이로 인해 claimReward() 함수의 보상 계산에 영향을 미쳤습니다. 공격자는 바로 이 취약점을 이용해 해당 계약 내의 자산을 고갈시켰습니다.GoPlus는 위의 두 계약 코드에 동일한 로직 결함이 존재하기 때문에, 해당 코드를 분기하거나 재사용하는 개발 프로젝트는 높은 이용 위험에 직면해 있다고 경고합니다. 관련 개발자에게는 코드 점검 및 수정 작업을 신속히 진행하고, 스마트 계약의 안전성을 보장하기 위해 지속적인 감사 메커니즘을 도입할 것을 권장합니다.

Web3 지갑 인프라 Claw Wallet이 GoPlus와 전략적 협력을 발표했습니다. Claw Wallet은 GoPlus의 SafuSkill Launchpad를 통합하여 AI 기술(Skill)의 자산화 및 토큰화를 지원하며, 개발자가 GitHub 인증을 통해 지속적인 온체인 수익을 얻을 수 있도록 합니다.동시에 Claw Wallet은 GoPlus AgentGuard 보안 스캔 기술을 도입하여 다차원 평가 시스템을 통해 AI Agent의 코드, 민감한 데이터 및 실행 환경을 실시간으로 모니터링하고 위험을 시각화합니다. 이번 협력의 목적은 AI Agent 지갑의 보안성을 향상시키고 생태계 인센티브 메커니즘을 완비하는 것입니다.

GoPlus 중국 커뮤니티에 따르면, 한 사용자가 악성 Permit2 거래에 서명하여 지갑에 있는 약 316,000 달러의 USDC가 피싱 공격자에게 이동되었습니다.GoPlus는 사용자가 피싱 방지를 위한 "네 가지 하지 말아야 할 것" 원칙을 준수할 것을 권장합니다: 낯선 링크를 클릭하지 않기, 출처가 불분명한 소프트웨어를 설치하지 않기, 불명확한 내용의 거래에 서명하지 않기, 검증되지 않은 주소로 송금하지 않기, 그리고 GoPlus 보안 플러그인을 설치하여 실시간으로 피싱 위험을 차단할 것을 추천합니다.

GoPlus Security에 따르면, Infiniti Stealer라는 이름의 스파이웨어가 "ClickFix" 사회 공학 공격 기법을 통해 Mac 사용자들의 암호화 지갑 및 민감한 자격 증명을 탈취하고 있습니다.공격자는 매우 사실적인 Cloudflare 인증 페이지를 위조하여 사용자가 터미널을 열고 악성 명령을 수동으로 붙여넣도록 유도합니다. 명령이 실행된 후, 스크립트는 macOS의 격리 속성을 제거하고 후속 페이로드를 /tmp 디렉토리에 조용히 실행합니다. 최종 페이로드는 Nuitka로 컴파일된 네이티브 macOS 바이너리 파일로, 보안 도구의 탐지 난이도를 크게 높입니다. Infiniti Stealer가 배포되면 Chromium / Firefox 브라우저 자격 증명, macOS 키체인, 암호화 지갑 및 개발자 키 파일(예: .env 파일)을 탈취할 수 있으며, 샌드박스 탐지 및 지연 실행 기능을 갖추어 추적을 회피할 수 있습니다.

GoPlus Security에서 발표한 보안 경고에 따르면, Silverfort 보안 연구원들이 OpenClaw의 기술 저장소 ClawHub에서 심각한 취약점을 발견했습니다. 공격자는 내부 함수 downloads:increment를 호출하여 모든 방어 메커니즘을 우회할 수 있으며, 단 한 줄의 curl 요청으로 다운로드 수를 몇 분 만에 2만 회 이상으로 조작하여 악성 코드가 포함된 기술을 검색 순위 1위로 올리고 사용자 또는 AI 에이전트가 자동으로 설치하도록 유도할 수 있습니다.악성 기술이 실행되면 암호화 지갑, API 키 등 민감한 데이터를 탈취할 수 있습니다. 현재 이 취약점은 24시간 이내에 수정되었습니다. GoPlus는 사용자에게 높은 다운로드 수가 안전을 의미하지 않으며, AgentGuard를 사용하여 보안 스캔 및 방어를 수행할 것을 권장합니다.

Arkham 데이터에 따르면, 15:54에 16억 개의 GPS(약 1231만 달러 가치)가 GoPlus에서 한 계약 주소(0x7448...로 시작)로 전송되었습니다.

GoPlus 보안 모니터링에 따르면, 특정 0x9709로 시작하는 주소가 악성 Permit 및 Approve 거래에 서명하여 약 20만 달러의 USDC와 wmtUSDT가 피싱 공격자에게 도난당했습니다.GoPlus는 사용자가 어떤 체인 상의 승인(Approve) 또는 오프라인 서명(Permit) 요청에 서명할 때 거래 세부사항과 계약 주소를 반드시 신중하게 확인하여 출처가 불분명한 악성 요청에 서명하지 않도록 하여 자산 도난을 방지해야 한다고 밝혔습니다.

GoPlus 모니터링에 따르면, 한 사용자가 악의적인 Approve 거래에 서명하여 피싱 공격자에게 약 8.5만 달러의 sNUSD를 빼앗겼습니다.

GoPlus 모니터링에 따르면, 약 8시간 전, 한 사용자가 악성 Permit 거래에 서명한 후, 피싱 공격자에게 176만 달러 가치의 USDC가 전송되었습니다.

GoPlus는 소셜 미디어에서 ClawHub 생태계의 가장 핵심적인 100개의 고빈도 다운로드 Skill에 대해 전체 보안 스캔을 실시한 보고서를 발표했으며, 차단된(Blocked) 기술 수는 21개(비율 21%)에 달하고, 경고(Warning)를 받은 기술 수는 17개(비율 17%)에 이릅니다.GoPlus는 Top 100 Skills 중 21%가 명확한 고위험 작업(예: 직접적인 네트워크 침투, 민감한 API 호출, 자동 발신 등)을 포함하고 있으며, 이러한 Skills를 실행할 때 "Human-in-the-Loop (HITL) 인공지능 확인" 메커니즘을 강제로 추가하여 고위험 행동에 대해 인공지능 검토를 수행할 것을 권장합니다. 17%의 Skills는 일정한 위험을 가지고 있으며, 신중하게 실행할 것을 권장합니다. 보안 요구 사항이 높은 사용자에게는 인공지능 확인을 추가할 것도 권장합니다.이러한 배경 속에서 GoPlus Security는 SafuSkill을 출시한다고 발표했습니다. SafuSkill은 보안을 우선시하는 Skills 시장으로, BNB Chain 위에 구축되어 있으며, Skills 시장, 자동 Skills 보안 스캔 엔진 및 개발자 관리 도구를 통합한 AI Agent Skills 플랫폼으로, 사용자가 더 안전한 AI Agent Skills를 선별하고 발견하는 데 도움을 주기 위해 설계되었습니다. AI Agent Skills에 대한 보안 스캔 및 실행 시 보호 기능을 제공하여 AI Agent 생태계가 더욱 투명하고 안전한 인프라 계층으로 발전하도록 촉진합니다.

据 GoPlus 发布的安全警报，攻击者通过 Google 搜索广告投放像素级完美克隆的 #Claude Code 官方安装页面的恶意软件，该恶意软件会窃取用户密码、Cookies、会话令牌和 Crypto 钱包、凭证、系统信息。GoPlus 建议识别搜索结果中的广告标识，仔细核对网址与官方网站的细微差别；通过官方文档、社交媒体或 GitHub 仓库等多渠道验证安装方法；对不熟悉的命令不要直接执行，运行前分析命令行为；安装安全插件以实时拦截钓鱼链接、风险签名、授权和交易。

Web3 보안 회사 GoPlus는 AI 개발 도구 OpenClaw가 최근 자가 공격 보안 사건에 노출되었다고 발표했습니다. 자동화 작업을 수행하는 과정에서 시스템이 Shell 명령을 호출하여 GitHub Issue를 생성하는 과정에서 잘못된 Bash 지시어를 구성하여 명령 주입이 우발적으로 발생하였고, 이로 인해 많은 민감한 환경 변수가 공개되었습니다.사건에서 AI가 생성한 문자열은 백틱으로 감싸진 set을 포함하고 있으며, 이는 Bash에 의해 명령 대체로 해석되어 자동으로 실행되었습니다. Bash가 인자 없이 set을 실행할 경우 현재 모든 환경 변수를 출력하기 때문에, 결국 100줄이 넘는 민감한 정보(텔레그램 키, 인증 토큰 등)가 GitHub Issue에 직접 작성되어 공개되었습니다. GoPlus는 AI 자동화 개발 또는 테스트 시나리오에서 Shell 명령을 직접 연결하는 대신 API 호출을 사용하고, 최소 권한 원칙에 따라 환경 변수를 격리하며, 고위험 실행 모드를 비활성화하고, 중요한 작업에 인적 검토 메커니즘을 도입할 것을 권장합니다.

GoPlus는 Custos와 장기 전략적 파트너십을 체결했다고 발표했습니다. 양측 팀은 토큰 잠금 사업을 중심으로 심층 협력을 진행하며, 온체인 자산 관리의 새로운 가능성을 탐색하고, 토큰 잠금을 기본 도구에서 프로토콜 수준의 자본 전략 인프라로 향상시킬 것입니다.양측은 명확한 경계와 서로 다른 역할을 유지하며 독립적으로 발전하는 동시에 전략적 시너지를 실현할 것입니다. Custos는 자산 관리 프로토콜 층의 혁신에 집중하여 토큰 잠금 사업을 더 높은 수준으로 발전시키는 데 힘쓸 것입니다. GoPlus는 안전한 인프라를 계속 구축하는 한편, Custos의 발전에 전략적 지원을 제공할 것입니다.

GoPlus는 Gork 4.2 테마의 4AGENT 토큰(계약 시작 주소 0x15ea)을 피리수토큰으로 간주하며, KOL과 스마트 머니가 피해를 입었고, 총 손실은 170 #BNB(약 10만 달러)라고 발표했습니다.공격 수익 중 123.7개의 BNB는 0xFcc7로 시작하는 주소로 전송되었고, 추가로 46개의 BNB는 orbiter를 통해 ETH로 교환되어 0x96f4로 시작하는 주소로 전송되었습니다. 개발자 자금 출처는 Bitget이며, 교차 체인 주소를 통해 확인해보면 이전에 동일하게 오픈 소스가 아닌 두 개의 악성 토큰: DEBOT과 U Lottery가 발행된 적이 있습니다.

GoPlus 한국 커뮤니티는 X 플랫폼에서 경고를 발표하며, 북한 해커가 npm 레지스트리에 26개의 악성 패키지를 배포했다고 전했습니다. 이 악성 패키지들은 모두 설치 스크립트("install.js")를 포함하고 있으며, 이 스크립트는 패키지 설치 과정에서 자동으로 실행되어 "vendor/scrypt-js/version.js"에 위치한 악성 코드를 실행합니다.악성 코드는 동일한 악성 URL을 통해 원격 접근 트로이 목마(RAT)를 다운로드하고 실행하여 키보드 기록, 클립보드 도용, 브라우저 자격 증명 수집, TruffleHog 비밀 스캔 Git 저장소 및 SSH 키 도용 등의 악성 행위를 수행합니다. 이번 사건은 "Famous Chollima"라는 이름의 북한 해커 활동과 관련이 있습니다.

GoPlus 한국 커뮤니티에서 경고를 발표했습니다. OpenClaw Gateway에 심각한 취약점이 발견되었으니, 즉시 2026.2.25 또는 그 이상의 버전으로 업그레이드하고, Agent 인스턴스에 부여된 불필요한 자격 증명, API 키 및 노드 권한을 감사하고 철회하시기 바랍니다.분석에 따르면, OpenClaw는 로컬 호스트에 바인딩된 WebSocket Gateway를 통해 실행되며, 이 Gateway는 Agent의 핵심 조정 계층으로 OpenClaw의 중요한 구성 요소입니다. 이번 공격은 Gateway 계층의 취약점을 겨냥하고 있으며, 단 하나의 조건을 충족하면 됩니다: 사용자가 브라우저에서 해커가 제어하는 악성 웹사이트에 접근하는 것입니다.완전한 공격 체인은 다음과 같습니다: 1. 피해자가 브라우저에서 공격자가 제어하는 악성 웹사이트에 접근합니다; 2. 페이지 내의 JavaScript가 로컬 호스트의 OpenClaw 게이트웨이에 WebSocket 연결을 시도합니다; 3. 이후 공격 스크립트가 초당 수백 번의 시도로 게이트웨이 비밀번호를 무차별 대입합니다; 4. 비밀번호가 성공적으로 해킹되면, 공격 스크립트가 신뢰할 수 있는 장치로 조용히 등록됩니다; 5. 공격자는 Agent의 관리자 수준의 제어 권한을 획득합니다.

GoPlus Security는 사용자에게 PromptSpy라는 새로운 Android 악성 소프트웨어에 주의할 것을 경고합니다. 이 악성 소프트웨어는 피싱 웹사이트(예: 은행 웹사이트로 위장)로 사용자를 유도하여 APK 파일을 다운로드하게 하고, 보조 기능 권한을 얻은 후 원격으로 장치를 제어할 수 있습니다.PromptSpy의 특별한 점은 Google Gemini API를 이용해 장치 인터페이스를 분석하고 공격 전략을 수립하여, 다양한 휴대폰 브랜드와 시스템 버전에 더 잘 적응할 수 있도록 하여 공격의 은폐성과 성공률을 높인다는 것입니다.