plu

최근 발생한 "ListaDAOLiquidStakingVault" 계약 공격 사건에 대해 ListaDAO 공식은 해당 공격받은 계약이 공식 배포된 것이 아니라, 검증되지 않은 제3자가 유사한 이름으로 만든 모조 계약임을 명확히 하는 성명을 발표했습니다. ListaDAO의 공식 계약은 이 사건의 영향을 받지 않았습니다.GoPlus 보안 팀의 심층 분석에 따르면, 이번 공격은 2026년 4월 16일에 발생했으며, 근본 원인은 해당 제3자 계약에 비즈니스 로직 결함이 존재했기 때문입니다. 토큰 전송이 이루어질 때 Dividend.setShares() 함수가 호출되어 계약 내의 지분 회계가 변경되며, 이로 인해 claimReward() 함수의 보상 계산에 영향을 미쳤습니다. 공격자는 바로 이 취약점을 이용해 해당 계약 내의 자산을 고갈시켰습니다.GoPlus는 위의 두 계약 코드에 동일한 로직 결함이 존재하기 때문에, 해당 코드를 분기하거나 재사용하는 개발 프로젝트는 높은 이용 위험에 직면해 있다고 경고합니다. 관련 개발자에게는 코드 점검 및 수정 작업을 신속히 진행하고, 스마트 계약의 안전성을 보장하기 위해 지속적인 감사 메커니즘을 도입할 것을 권장합니다.

Web3 지갑 인프라 Claw Wallet이 GoPlus와 전략적 협력을 발표했습니다. Claw Wallet은 GoPlus의 SafuSkill Launchpad를 통합하여 AI 기술(Skill)의 자산화 및 토큰화를 지원하며, 개발자가 GitHub 인증을 통해 지속적인 온체인 수익을 얻을 수 있도록 합니다.동시에 Claw Wallet은 GoPlus AgentGuard 보안 스캔 기술을 도입하여 다차원 평가 시스템을 통해 AI Agent의 코드, 민감한 데이터 및 실행 환경을 실시간으로 모니터링하고 위험을 시각화합니다. 이번 협력의 목적은 AI Agent 지갑의 보안성을 향상시키고 생태계 인센티브 메커니즘을 완비하는 것입니다.

GoPlus 중국 커뮤니티에 따르면, 한 사용자가 악성 Permit2 거래에 서명하여 지갑에 있는 약 316,000 달러의 USDC가 피싱 공격자에게 이동되었습니다.GoPlus는 사용자가 피싱 방지를 위한 "네 가지 하지 말아야 할 것" 원칙을 준수할 것을 권장합니다: 낯선 링크를 클릭하지 않기, 출처가 불분명한 소프트웨어를 설치하지 않기, 불명확한 내용의 거래에 서명하지 않기, 검증되지 않은 주소로 송금하지 않기, 그리고 GoPlus 보안 플러그인을 설치하여 실시간으로 피싱 위험을 차단할 것을 추천합니다.

바이낸스 계약 플랫폼은 2026년 4월 6일 21:30에 QQQUSDT 지수 영구 계약을 출시하며, 최대 레버리지는 10배에 이를 수 있습니다; 21:40에 SPYUSDT 지수 영구 계약을 출시하며, 최대 레버리지는 10배에 이를 수 있습니다; 21:50에 AAPLUSDT 지수 영구 계약을 출시하며, 최대 레버리지는 10배에 이를 수 있습니다; 22:00에 TSMUSDT 지수 영구 계약을 출시하며, 최대 레버리지는 10배에 이를 수 있습니다.

GoPlus Security에 따르면, Infiniti Stealer라는 이름의 스파이웨어가 "ClickFix" 사회 공학 공격 기법을 통해 Mac 사용자들의 암호화 지갑 및 민감한 자격 증명을 탈취하고 있습니다.공격자는 매우 사실적인 Cloudflare 인증 페이지를 위조하여 사용자가 터미널을 열고 악성 명령을 수동으로 붙여넣도록 유도합니다. 명령이 실행된 후, 스크립트는 macOS의 격리 속성을 제거하고 후속 페이로드를 /tmp 디렉토리에 조용히 실행합니다. 최종 페이로드는 Nuitka로 컴파일된 네이티브 macOS 바이너리 파일로, 보안 도구의 탐지 난이도를 크게 높입니다. Infiniti Stealer가 배포되면 Chromium / Firefox 브라우저 자격 증명, macOS 키체인, 암호화 지갑 및 개발자 키 파일(예: .env 파일)을 탈취할 수 있으며, 샌드박스 탐지 및 지연 실행 기능을 갖추어 추적을 회피할 수 있습니다.

포브스에 따르면, Plume 법률 고문 B. Salman Banaei가 의회에서 증언하며 미국 증권 거래 위원회(SEC)에 토큰화 규칙을 신속하게 제정하고 DeFi 프로토콜의 완전한 ATS(대체 거래 시스템) 등록을 추진할 것을 강력히 촉구했습니다. 단순히 "혁신 면제"에 의존해서는 안 된다고 강조했습니다.Banaei는 SEC가 "모든 계란을 혁신 면제라는 한 바구니에 담고 있다"고 비판하며, 이러한 접근 방식이 "어리석다"고 언급했습니다. 그는 거래량과 제품 제한을 설정하는 것이 대형 기관을 유치할 수 없다고 경고했습니다. "왜냐하면 그들은 2~3년 후에 사라질 수 있는 인프라에 자원을 투자하지 않을 것이기 때문입니다." 그는 또한 SEC가 현재 규칙의 비호환성에 대한 의견을 수렴하고 영구적인 해결책을 마련할 것을 제안했습니다.Plume은 2025년 10월 SEC의 승인을 받아 등록된 전환 대리인으로, 체인 상의 토큰화된 증권의 주주 기록, 이전 및 배당금을 처리할 수 있으며, 현재 FINRA 중개인 라이센스를 기다리고 있습니다. Banaei는 현재 SEC의 리더십 기간이 10개월밖에 남지 않았으며, 실제 세계 자산(RWA) 토큰화 발전을 촉진하기 위해 신속하게 행동해야 한다고 지적했습니다.

GoPlus Security에서 발표한 보안 경고에 따르면, Silverfort 보안 연구원들이 OpenClaw의 기술 저장소 ClawHub에서 심각한 취약점을 발견했습니다. 공격자는 내부 함수 downloads:increment를 호출하여 모든 방어 메커니즘을 우회할 수 있으며, 단 한 줄의 curl 요청으로 다운로드 수를 몇 분 만에 2만 회 이상으로 조작하여 악성 코드가 포함된 기술을 검색 순위 1위로 올리고 사용자 또는 AI 에이전트가 자동으로 설치하도록 유도할 수 있습니다.악성 기술이 실행되면 암호화 지갑, API 키 등 민감한 데이터를 탈취할 수 있습니다. 현재 이 취약점은 24시간 이내에 수정되었습니다. GoPlus는 사용자에게 높은 다운로드 수가 안전을 의미하지 않으며, AgentGuard를 사용하여 보안 스캔 및 방어를 수행할 것을 권장합니다.

공식 블로그에 따르면, Plume Network의 총 법률 고문 Salman Banaei는 미국 하원 금융 서비스 위원회에서 열린 청문회에서 토큰화된 증권은 전혀 새로운 자산 클래스로 간주되어서는 안 되며, 이를 위해 새로운 규칙이나 면제를 만들 필요도 없다고 밝혔습니다.그는 규제가 금융 상품의 경제적 본질과 위험에 의해 주도되어야 하며, 사용되는 기술에 의해 주도되어서는 안 된다고 주장했습니다. 따라서 기존 규정을 대상으로 한 수정 작업을 통해 새로운 기술 현실을 성숙한 규제 프레임워크에 통합해야 한다고 강조했습니다.Salman은 공공 블록체인과 체인 상의 규정 준수 도구(예: Plume 내장 프로토콜 수준의 반자금세탁 필터링)를 활용하면 기존 규제 기준을 유지하거나 초과하는 동시에 시장 투명성을 크게 향상시키고, 비용을 절감하며, 중개 기관에 대한 의존도를 줄일 수 있다고 지적했습니다.마지막으로, Salman은 경고했습니다: 전 세계 토큰화 인프라의 경쟁이 가속화되고 있으며, 홍콩, 싱가포르, 아랍에미리트 등 지역이 적극적으로 포지셔닝하고 있습니다. 만약 미국이 정책 불확실성으로 인해 규제가 뒤처진다면, 글로벌 자본 시장의 디지털 전환에서의 리더십을 잃게 될 것이며, 이 전략적 기회가 지정학적 목표가 다른 외국 경쟁자에게로 흘러갈 수 있습니다.

호주 최대 규모의 연금 기금 중 하나인 Hostplus가 암호화폐를 투자 옵션에 포함하는 것을 고려하고 있습니다. Hostplus는 1,500억 호주 달러(약 1,050억 달러) 이상의 자산을 관리하고 있으며, 최고 투자 책임자인 Sam Sicilia는 이 기금이 Choiceplus 투자 옵션을 통해 회원들에게 비트코인 및 기타 디지털 자산의 배분 경로를 제공하는 방안을 연구하고 있다고 밝혔습니다.Choiceplus는 회원들이 퇴직 저축 포트폴리오를 자율적으로 관리할 수 있도록 허용하며, 현재 이 옵션 하의 자산은 기금 총 규모의 약 1%를 차지하고 있습니다.

Arkham 데이터에 따르면, 15:54에 16억 개의 GPS(약 1231만 달러 가치)가 GoPlus에서 한 계약 주소(0x7448...로 시작)로 전송되었습니다.

GoPlus 보안 모니터링에 따르면, 특정 0x9709로 시작하는 주소가 악성 Permit 및 Approve 거래에 서명하여 약 20만 달러의 USDC와 wmtUSDT가 피싱 공격자에게 도난당했습니다.GoPlus는 사용자가 어떤 체인 상의 승인(Approve) 또는 오프라인 서명(Permit) 요청에 서명할 때 거래 세부사항과 계약 주소를 반드시 신중하게 확인하여 출처가 불분명한 악성 요청에 서명하지 않도록 하여 자산 도난을 방지해야 한다고 밝혔습니다.

코인텔레그래프에 따르면, 이더리움 유동성 재질질 플랫폼 EtherFi가 Plume의 현실 세계 자산 프로토콜 Nest에 2500만 달러를 배정하여 토큰화된 RWA 수익을 직접 플랫폼에 통합합니다.초기 단계는 Plume의 nBASIS 금고에 배치되며, 이 금고는 Superstate의 USCC 암호화 차익 거래 펀드와 연결되어 있습니다. 향후 EtherFi 인터페이스에 전용 RWA 금고를 직접 추가할 계획입니다. 이번 통합을 통해 EtherFi의 60억 달러 이상의 사용자 예치금이 RWA 노출을 갖게 됩니다. 전통적인 DeFi 수익과 달리, RWA 전략의 수익은 정부 증권 이자 및 대출 활동과 같은 현금 흐름에서 발생합니다.

GoPlus 모니터링에 따르면, 약 8시간 전, 한 사용자가 악성 Permit 거래에 서명한 후, 피싱 공격자에게 176만 달러 가치의 USDC가 전송되었습니다.

GoPlus는 소셜 미디어에서 ClawHub 생태계의 가장 핵심적인 100개의 고빈도 다운로드 Skill에 대해 전체 보안 스캔을 실시한 보고서를 발표했으며, 차단된(Blocked) 기술 수는 21개(비율 21%)에 달하고, 경고(Warning)를 받은 기술 수는 17개(비율 17%)에 이릅니다.GoPlus는 Top 100 Skills 중 21%가 명확한 고위험 작업(예: 직접적인 네트워크 침투, 민감한 API 호출, 자동 발신 등)을 포함하고 있으며, 이러한 Skills를 실행할 때 "Human-in-the-Loop (HITL) 인공지능 확인" 메커니즘을 강제로 추가하여 고위험 행동에 대해 인공지능 검토를 수행할 것을 권장합니다. 17%의 Skills는 일정한 위험을 가지고 있으며, 신중하게 실행할 것을 권장합니다. 보안 요구 사항이 높은 사용자에게는 인공지능 확인을 추가할 것도 권장합니다.이러한 배경 속에서 GoPlus Security는 SafuSkill을 출시한다고 발표했습니다. SafuSkill은 보안을 우선시하는 Skills 시장으로, BNB Chain 위에 구축되어 있으며, Skills 시장, 자동 Skills 보안 스캔 엔진 및 개발자 관리 도구를 통합한 AI Agent Skills 플랫폼으로, 사용자가 더 안전한 AI Agent Skills를 선별하고 발견하는 데 도움을 주기 위해 설계되었습니다. AI Agent Skills에 대한 보안 스캔 및 실행 시 보호 기능을 제공하여 AI Agent 생태계가 더욱 투명하고 안전한 인프라 계층으로 발전하도록 촉진합니다.

据 GoPlus 发布的安全警报，攻击者通过 Google 搜索广告投放像素级完美克隆的 #Claude Code 官方安装页面的恶意软件，该恶意软件会窃取用户密码、Cookies、会话令牌和 Crypto 钱包、凭证、系统信息。GoPlus 建议识别搜索结果中的广告标识，仔细核对网址与官方网站的细微差别；通过官方文档、社交媒体或 GitHub 仓库等多渠道验证安装方法；对不熟悉的命令不要直接执行，运行前分析命令行为；安装安全插件以实时拦截钓鱼链接、风险签名、授权和交易。

GoPlus는 Custos와 장기 전략적 파트너십을 체결했다고 발표했습니다. 양측 팀은 토큰 잠금 사업을 중심으로 심층 협력을 진행하며, 온체인 자산 관리의 새로운 가능성을 탐색하고, 토큰 잠금을 기본 도구에서 프로토콜 수준의 자본 전략 인프라로 향상시킬 것입니다.양측은 명확한 경계와 서로 다른 역할을 유지하며 독립적으로 발전하는 동시에 전략적 시너지를 실현할 것입니다. Custos는 자산 관리 프로토콜 층의 혁신에 집중하여 토큰 잠금 사업을 더 높은 수준으로 발전시키는 데 힘쓸 것입니다. GoPlus는 안전한 인프라를 계속 구축하는 한편, Custos의 발전에 전략적 지원을 제공할 것입니다.

GoPlus는 Gork 4.2 테마의 4AGENT 토큰(계약 시작 주소 0x15ea)을 피리수토큰으로 간주하며, KOL과 스마트 머니가 피해를 입었고, 총 손실은 170 #BNB(약 10만 달러)라고 발표했습니다.공격 수익 중 123.7개의 BNB는 0xFcc7로 시작하는 주소로 전송되었고, 추가로 46개의 BNB는 orbiter를 통해 ETH로 교환되어 0x96f4로 시작하는 주소로 전송되었습니다. 개발자 자금 출처는 Bitget이며, 교차 체인 주소를 통해 확인해보면 이전에 동일하게 오픈 소스가 아닌 두 개의 악성 토큰: DEBOT과 U Lottery가 발행된 적이 있습니다.

GoPlus 한국 커뮤니티는 X 플랫폼에서 경고를 발표하며, 북한 해커가 npm 레지스트리에 26개의 악성 패키지를 배포했다고 전했습니다. 이 악성 패키지들은 모두 설치 스크립트("install.js")를 포함하고 있으며, 이 스크립트는 패키지 설치 과정에서 자동으로 실행되어 "vendor/scrypt-js/version.js"에 위치한 악성 코드를 실행합니다.악성 코드는 동일한 악성 URL을 통해 원격 접근 트로이 목마(RAT)를 다운로드하고 실행하여 키보드 기록, 클립보드 도용, 브라우저 자격 증명 수집, TruffleHog 비밀 스캔 Git 저장소 및 SSH 키 도용 등의 악성 행위를 수행합니다. 이번 사건은 "Famous Chollima"라는 이름의 북한 해커 활동과 관련이 있습니다.

GoPlus 한국 커뮤니티에서 경고를 발표했습니다. OpenClaw Gateway에 심각한 취약점이 발견되었으니, 즉시 2026.2.25 또는 그 이상의 버전으로 업그레이드하고, Agent 인스턴스에 부여된 불필요한 자격 증명, API 키 및 노드 권한을 감사하고 철회하시기 바랍니다.분석에 따르면, OpenClaw는 로컬 호스트에 바인딩된 WebSocket Gateway를 통해 실행되며, 이 Gateway는 Agent의 핵심 조정 계층으로 OpenClaw의 중요한 구성 요소입니다. 이번 공격은 Gateway 계층의 취약점을 겨냥하고 있으며, 단 하나의 조건을 충족하면 됩니다: 사용자가 브라우저에서 해커가 제어하는 악성 웹사이트에 접근하는 것입니다.완전한 공격 체인은 다음과 같습니다: 1. 피해자가 브라우저에서 공격자가 제어하는 악성 웹사이트에 접근합니다; 2. 페이지 내의 JavaScript가 로컬 호스트의 OpenClaw 게이트웨이에 WebSocket 연결을 시도합니다; 3. 이후 공격 스크립트가 초당 수백 번의 시도로 게이트웨이 비밀번호를 무차별 대입합니다; 4. 비밀번호가 성공적으로 해킹되면, 공격 스크립트가 신뢰할 수 있는 장치로 조용히 등록됩니다; 5. 공격자는 Agent의 관리자 수준의 제어 권한을 획득합니다.