스캔하면 도난당하나요? 출처가 불분명한 결제 QR 코드에 주의하세요.

QR 코드를 스캔하는 것만으로 어떻게 해킹이 가능할까요?

저자: Bitrace

최근 Bitrace는 QR 코드를 스캔하고 테스트를 위해 상대방에게 1 USDT를 송금한 후 지갑에 남아 있던 모든 자금을 도난당했다는 피해자의 지원 요청을 받았습니다. 피해자는 "단지 QR 코드를 스캔했을 뿐인데 어떻게 돈을 잃을 수 있죠?"라며 어리둥절해했습니다.

이 글에서는 QR 코드 전송 테스트 사기 수법을 자세히 살펴보고, 실제 사례를 통해 온체인 추적하여 암호화폐 거래 시 항상 경계를 늦추지 않도록 사용자에게 상기시키고자 합니다.

사기 분석

상황을 더 자세히 파악한 결과, 표면적으로는 QR 코드 전송 테스트를 이용해 절도를 저지르는 새로운 유형의 사기이지만, 본질적으로는 사람들을 속여 지갑 승인을 받아내는 수법이라는 것을 알게 되었습니다.

사기꾼들은 소셜 미디어 플랫폼에서 사용자를 친구로 추가하여 초기 신뢰를 구축한 후, 적절한 시기에 장외거래(OTC)를 요청합니다. 이들은 시장 환율보다 약간 낮은 환율을 제시하며 사용자를 유인합니다. 양측이 거래 세부 사항에 동의하면, 사기꾼은 신뢰를 얻기 위해 사용자에게 소량의 USDT를 먼저 송금하고 , 장기적인 협력을 가장하여 거래 수수료를 후하게 요구합니다.

사용자가 "관대한 사람"을 만나 감사를 표하기도 전에, 사기꾼은 사용자에게 결제 수단으로 사용할 QR 코드 스크린샷을 보냅니다. 이때 사기꾼은 사용자에게 소액 결제 테스트를 요청합니다.

일련의 사전 준비를 통해 사용자의 거래 리스크 최소화된 것처럼 보였습니다. "환불금과 거래 수수료는 모두 상대방이 내게 송금하는 것이므로, 설령 사기라 하더라도 손해는 없을 거야."라고 생각한 사용자는 환불 코드를 스캔했지만, 모든 금액을 도난당한 사실을 알게 되었습니다.

다음 분석에서는 실제 사례를 통해 사기 수법, 특히 피해자가 제공한 QR 코드를 자세히 살펴보겠습니다.

Bitrace가 빈 지갑을 사용하여 해당 사이트를 스캔한 결과, https://sktnid[.].com/이라는 제3자 웹사이트가 나타났습니다. 안내에 따라 사용자는 다음 인터페이스로 이동했습니다. 스크린샷에는 오른쪽 상단에 "European Easy Official Certification"이라는 태그 표시되어 있으며, 이는 USDT 송금을 지원한다는 것을 나타냅니다. 이 페이지는 품질이 매우 떨어지지만, 경험이 부족한 사용자는 위험을 인지하지 못하고 쉽게 간과할 수 있습니다.

사용자가 사기꾼들이 요구하는 대로 상환 금액을 입력하고 "다음"을 클릭하면 지갑 서명 화면으로 이동합니다. 사용자가 다시 "확인"을 클릭하면 스마트 계약과 상호 작용하게 되는데, 이때 지갑의 권한이 탈취됩니다. 사기꾼들은 이 권한을 이용해 피해자의 모든 자산을 빼돌립니다.

이처럼 소액 이체 테스트로 위장한 치밀하게 계획된 사기 행각이 QR 코드를 이용해 사람들을 속여 승인을 받아내는 방식으로 완료되었습니다.

자본 분석

QR 코드 송금 사기의 성공률과 피해 규모는 예상보다 훨씬 높습니다. Bitrace가 피해자들이 제공한 주소를 추가로 분석한 결과, 2024년 7월 11일부터 7월 17일까지 단 일주일 만에 TT...m1mV1이라는 의심스러운 주소가 이 수법을 이용해 27명의 피해자로부터 약 12만 달러(USDT)를 사취한 것으로 드러났습니다. 사취된 자금은 5단계의 주소를 거쳐 자금 세탁을 위해 3개의 Huione 계좌로 이체되었습니다.

블록체인에 내재된 익명성 때문에 암호화된 자금 이체를 추적하기 어렵습니다. 주소를 찾더라도 그 주소 뒤에 있는 주체를 식별하는 것은 여전히 ​​어려운 일입니다. 다행히 비트레이스는 해당 그룹의 결제 QR 코드에 표시된 TD...XRWVe 주소를 이용해 초기 거래 수수료가 중앙화 거래소 로 이체된 것을 추적했습니다. 이를 통해 익명의 온체인 주소와 실제 신원을 연결할 수 있었습니다.

비트레이스는 피해자들이 법 집행 절차를 준수하여 자금을 되찾을 가능성을 높일 수 있도록 경찰에 신고하도록 안내했습니다.

결론적으로

플랫폼을 통하지 않는 장외거래(OTC)의 경우, 사용자는 상대방의 신원을 신중하게 확인해야 하며 출처를 알 수 없는 QR 코드나 링크를 신뢰해서는 안 됩니다. 또한 거래 전에 상대방 주소에 대한 리스크 평가를 수행하는 것이 매우 중요합니다. Bitrace는 사용자가 대상 주소와 관련된 잠재적 리스크 식별하는 데 도움이 되는 원클릭 리스크 평가 도구를 곧 출시할 예정입니다. 무료 체험판을 이용할 수 있으니 기대해 주세요.

면책 조항: 본 사이트는 블록체인 정보 플랫폼으로서, 사이트에 게시된 글은 필자 및 초청 연사의 개인적인 관점 일 뿐이며 Web3Caff의 공식적인 입장을 반영하는 것은 아닙니다. 본 글에 포함된 정보는 참고용일 뿐이며 투자 자문 또는 투자 제안으로 간주될 수 없습니다. 각 국가 또는 지역의 관련 법률 및 규정을 준수하시기 바랍니다.