암호화폐 거래자가 지갑 주소 사기로 5천만 달러를 잃었습니다.

한 암호화폐 거래자가 주소 조작 공격의 희생양이 되어 약 5천만 달러 상당의 USDT 스테이블코인을 잃었습니다. 보안 회사들에 따르면 이는 많은 사람들이 방심하다가 당하는 비교적 간단한 사기 수법입니다.

온체인 분석 플랫폼인 룩온체인(Lookonchain)은 피해자가 12월 20일 실수로 사기꾼이 관리하는 주소로 49,999,950 USDT를 이체했다고 보고했습니다 . 이는 피해자가 바이낸스에서 자금을 인출한 후 개인 지갑으로 이체하려던 과정에서 발생했습니다.

예방 조치로 피해자는 먼저 목표 주소로 50 USDT의 테스트 거래를 보냈습니다. 그러나 얼마 지나지 않아 공격자가 만든 자동화 스크립트가 실제 주소의 시작과 끝 부분을 유사하게 만든 가짜 지갑 주소를 생성했습니다.

구체적으로, 악성 주소는 정상적인 지갑 주소와 처음 5자리와 마지막 4자리가 동일합니다. 유일한 차이점은 중간 문자인데, 많은 지갑 인터페이스에서 가독성을 높이기 위해 "..."로 축약되는 경우가 많습니다. 사기꾼은 이 가짜 주소로 피해자의 지갑에 소액 거래를 보내 거래 내역을 조작합니다. 피해자가 거래 내역에서 주소를 복사하여 약 5천만 달러에 달하는 거액 거래를 시도할 때, 대부분 의도치 않게 가짜 주소를 선택하게 됩니다.

이더스캔 데이터에 따르면 테스트 거래는 UTC 기준 3시 6분에 발생했으며, 약 26분 후인 UTC 기준 3시 32분에 약 5천만 달러에 달하는 오류 거래가 실행되었습니다.

SlowMist에 따르면 공격자는 탈취한 자금을 신속하게 처리했습니다. USDT를 수령한 지 30분 만에 전체 금액을 MetaMask Swap을 통해 DAI로 변환했는데, 이는 USDT가 테더에 의해 제재 대상이 될 경우 동결될 수 있는 반면 DAI는 중앙 집중식 제어 메커니즘이 없는 탈중앙화 스테이블코인이라는 점을 이용한 의도적인 조치였습니다. 이 DAI는 다시 약 16,690 ETH로 변환되었고, 그중 약 16,680 ETH는 이전에 제재를 받은 적이 있는 암호화폐 믹싱 서비스인 Tornado Cash로 전송되어 거래를 은폐하는 데 사용되었습니다.

피해자는 자산을 되찾기 위해 공격자에게 온체인 메시지를 보내, 도난당한 자금의 98%를 돌려주면 100만 달러의 "화이트햇 현상금"을 지급하겠다고 제안했습니다.

피해자는 메시지에서 "우리는 정식으로 형사 고발을 제기했습니다. 사법 기관, 사이버 보안 부서 및 다양한 블록체인 프로토콜의 지원을 받아 중요한 정보를 수집했으며, 귀사의 활동에 대해 조치를 취할 수 있게 되었습니다."라고 밝혔습니다.

이번 사건은 2024년 5월 이더리움 사용자가 주소 오염 공격으로 7,100만 달러 상당의 래핑된 비트코인을 잃었던 유사 사건을 떠올리게 합니다. 당시 피해자는 블록체인 보안 회사인 Match Systems와 Cryptex 거래소의 도움을 받아 온체인 협상을 통해 거의 모든 자금을 되찾았습니다. 그러나 이번 사건에서는 자금이 신속하게 토네이도 캐시로 이전되었기 때문에 복구 가능성이 불확실합니다.