암호화 투자자가 스테이블코인 260만 달러 상당을 세 시간 내에 두 건의 거의 동일한 피싱 공격으로 잃었습니다. 이는 블록체인 기반 금융에서의 커지는 위협: 무이체 사기입니다.
5월 26일 암호화 보안 회사 Cyvers가 보고한 이 사건은 두 건의 큰 테더(USDT) 거래를 포함했는데, 첫 번째는 843,000달러이고 몇 시간 후에 175만 달러의 두 번째 이체가 있었습니다. 두 경우 모두 피해자는 무가치 전송이라는 속임수에 당했으며, 이는 지갑 주소 사용 습관을 목표로 하는 피싱 방법입니다.
이중 손실은 현재 사용자 직면 지갑 인터페이스의 한계, 암호화 범죄에서의 지능형 사회 공학의 증가, Web3 전반에 걸친 강력한 보안 솔루션의 긴급한 필요성을 강조합니다.
무가치 전송은 사용자가 거래 기록을 해석하고 지갑 주소를 신뢰하는 방법의 결함을 악용합니다. 이 기술은 ERC-20 토큰 표준의 transferFrom 기능을 악용하며, 이는 사용자 동의 없이 모든 당사자가 토큰 이체를 시작할 수 있도록 합니다 - 금액이 0인 경우에만 그렇습니다.
실제 토큰이 이동하지 않기 때문에 이러한 스푸핑된 무가치 거래에는 대상 지갑의 디지털 서명이 필요하지 않습니다. 그럼에도 불구하고 체인에 기록되어 있으며, 종종 피해자가 스푸핑된 주소가 이전에 신뢰했던 주소라고 믿게 만듭니다.
효과적으로, 사기꾼들은 피해자의 거래 기록에 적법해 보이는 무가치 전송을 주입함으로써 그것을 "오염"시킵니다. 피해자가 나중에 실제 거래를 하려고 할 때 - 아마도 지갑 기록을 사용하거나 이전에 상호 작용한 주소를 복사하는 과정에서 - 그들은 실수로 자금을 공격자의 스푸핑된 주소로 보낼 수 있습니다.
이익은 주소 오염이라는 관련된 공격 방법에서 비롯되며, 사기꾼들이 시각적으로 사용자의 알려진 연락처와 유사한 지갑 주소에서 소량의 암호화폐를 전송합니다. 이는 일반적으로 사용자가 전체 문자열을 확인하기보다는 부분 주소 매칭에 의존하는 것을 악용합니다 - 종종 처음과 마지막 네 문자.
고급 피싱
무이체 및 주소 오염 사기에서의 주요 위험은 암호화 프로토콜을 깨뜨리는 것이 아니라 사용자 행동을 조작하는 데 있습니다. 특히 브라우저 기반 지갑 및 모바일 앱은 종종 주소 역사와 과거 거래를 안전성, 신뢰성 또는 이전 사용의 지표로 표시합니다. 이는 코드의 취약성에 의존하지 않고 인간 결정에 취약한 공격 표면을 생성합니다.
최근 260만 달러 절도의 경우, 피해자는 아마도 자신의 지갑의 거래 기록을 사용하여 주소를 시작하거나 검증했으며, 자금을 알려졌거나 이전에 신뢰한 연락처로 보내고 있다고 믿었습니다. 공격이 3시간 이내에 반복된 것은 아마도 피해자가 초기 손실을 제 시간에 탐지하지 못했거나 첫 번째 거래가 합법적이라고 믿었기 때문일 것입니다 - 이는 실시간으로 사기가 얼마나 은밀하고 설득력 있는지를 보여줍니다.
손실은 전적으로 USDT(테더)로 발생했으며, 이는 일반적으로 대규모 기관 및 소매 거래에 사용되는 널리 사용되는 스테이블코인입니다. USDT는 종종 고액 지갑에 초점을 맞춘 정밀 사기의 주요 목표가 되었습니다.
증가하는 오염 공격
사건은 고립된 사례가 아닙니다. 2025년 1월에 발표된 포괄적인 연구에 따르면, 2022년 7월부터 2024년 6월까지 이더리움 및 BNB 체인 전역에서 2억 7천만 개 이상의 주소 오염 시도가 기록되었습니다. 그 중 6,000개의 공격만이 성공했지만, 이들은 총 8,300만 달러 이상의 확인된 손실을 초래했습니다.
시도 건수는 성공 여부와 관계없이 방대한데, 이는 오염 전략이 실행하기 저렴하고 사용자 행동 경향 및 일반 암호화 지갑의 안티 피싱 UX 부재로 인해 여전히 효과적임을 시사합니다.
특히 개별 사례의 피해 규모는 상당합니다. 2023년에는 유사한 무이체 사기로 인해 USDT 2천만 달러가 도난당했으며, 이후 테더가 결국 지갑을 블랙리스트 처리했습니다. 하지만 블랙리스트는 보편적인 안전장치가 아닙니다 - 많은 토큰은 발행자 블랙리스트를 지원하지 않으며, 모든 블록체인 네트워크가 유사한 개입 도구를 제공하는 것은 아닙니다.
AI 탐지 도구 및 인터페이스 개선
무이체 피싱의 증가에 대응하여, 여러 사이버 보안 및 지갑 인프라 회사들은 더 스마트한 탐지 시스템을 통해 위험을 줄이기 위해 시도하고 있습니다.
올해 초, 블록체인 보안 회사 트루가드는 온체인 보안 프로토콜 웹에이시와 협력하여 특히 주소 오염 시도를 플래그할 수 있도록 설계된 AI 기반 탐지 시스템을 도입했습니다. 개발자들에 따르면, 이 도구는 역사적인 공격 데이터를 포함한 테스트에서 97% 의 정확도를 입증했습니다.
시스템은 거래 메타데이터, 전송 행동 및 주소 유사성의 패턴을 분석함으로써 작동하며, 사용자에게 거래가 확정되기 전에 경고합니다. 그러나 인기 있는 지갑 전반에 걸친 광범위한 채택은 제한적이며, 많은 플랫폼이 여전히 타사 보안 도구를 통합하는 과정에 있습니다.
일부 지갑 개발자들은 또한 거래 기록이 표시되는 방식을 변경하는 것을 모색하고 있습니다. 예를 들어, 무가치 거래를 플래그하고, 신뢰 점수를 기반으로 주소를 색칠하며, 전체 주소 검증을 쉽게 만드는 것이 사기 성공률을 방해할 수 있는 방법으로 고려되고 있습니다. 그러나 그러한 인터페이스 변경이 산업 전반에서 표준화되지 않는 한, 사용자는 여전히 노출될 위험이 있습니다.
법적 및 규제 사각지대
무이체 사기는 기술적으로 간단하지만 가해자에 대한 법적 조치는 복잡하고 거의 성공하지 못합니다. 많은 이러한 사기는 익명적이거나 외국의 주체에서 비롯되며, 자금은 비중앙화된 거래소, 믹서 또는 교차 체인 브리지를 통해 빠르게 세탁됩니다.
테더와 같은 스테이블코인 발행자는 중앙 제어 메커니즘이 존재하는 경우에만 개입할 수 있으며, 도난된 자금이 그대로이거나 추적 가능한 경우에만 가능합니다. 공격자가 경비를 비밀 풀로 이동시키거나 다른 자산으로 전환하면 회수가 거의 불가능해집니다.
더 나아가, 법 집행 기관은 그러한 공격을 조사할 기술적 전문성이나 관할권을 갖고 있지 않으며, 이러한 공격이 더 큰 조직적 캠페인의 일부가 아닌 한 조사 자체가 불가능합니다.
최종 방어선
당분간, 최종 사용자는 특히 고액 거래에 대해 블록체인 주소와 상호 작용할 때 더욱 주의를 기울여야 합니다. 모범 사례로는:
- 항상 전체 주소를 확인하고, 처음/마지막 문자만 확인하지 않기.
- 지갑 기록을 사용하여 주소를 복사하지 않기.
- 공식 출처에서 알려진 주소를 수동으로 북마크하기.
- 내부에 피싱 탐지 기능이 있는 지갑 사용, 가능하면 사용.
- 잠재적 적신호로서, 무가치 수신 전송 모니터링하기.
무이체 피싱 공격의 증가는 프로토콜 수준 해킹에서 온체인 메타데이터를 사용한 사회 공학 공격으로서의 Web3 위협의 전환을 보여줍니다. 공공 블록체인상의 자산 가치가 커질수록, 이러한 방법의 정교함도 증가할 것입니다 - 사용자 교육 및 더 나은 지갑 도구가 자산 보호에 필수적입니다.