지난 1월, 한 암호화폐 사용자가 잘못된 지갑 주소를 복사하는 바람에 1,225만 달러를 잃었습니다. 12월에도 또 다른 사용자가 비슷한 방식으로 5,000만 달러를 날렸습니다.
인기 있는 웹3 보안 솔루션인 스캠 스니퍼(Scam Sniffer)에 따르면, 두 사건으로 인한 손실액은 총 6200만 달러에 달합니다.
암호화폐 관련 실수
1월에는 시그니처 피싱 공격도 급증했습니다. 실제로 스캠 스니퍼(Scam Sniffer)에 따르면 4,741명의 피해자로부터 총 627만 달러가 도난당했는데, 이는 12월 대비 207% 증가한 수치입니다. 가장 큰 규모의 공격은 permit/increaseAllowance를 이용한 SLVon 및 XAUt의 302만 달러, 그리고 permit을 이용한 aEthLBTC의 108만 달러였습니다.
단 두 개의 전자지갑이 전체 피싱 피해액의 65%를 차지했습니다.
주소 조작(Address poisoning)은 공격자가 실제 주소와 매우 유사한 지갑 주소로 소액 거래를 보내는 사기 수법입니다. 사용자가 거래 내역에서 잘못된 주소를 복사하도록 유도하여 자금이 사기꾼에게 직접 송금되도록 하는 것입니다. 서명 피싱(Signature phishing)은 사용자를 속여 악의적인 승인서에 서명하게 함으로써 공격자가 나중에 자금을 이동할 수 있도록 허용하는 방식으로 위험성을 더욱 높입니다. 이처럼 이러한 수법들은 사회 공학적 기법과 사람의 실수를 이용하기 때문에 숙련된 사용자조차도 취약할 수 있습니다.
작년 11월, 한 암호화폐 홀더 사기꾼의 지갑으로 자금을 잘못 송금하여 300만 달러 상당의 PYTH 토큰을 잃었습니다. 피해자는 거래 내역에서 가짜 입금 주소를 복사하는 과정에서 이러한 실수를 저질렀습니다.
블록체인 분석업체 룩온체인(Lookonchain)에 따르면, 공격자는 실제 지갑 주소의 처음 네 글자와 일치하는 가짜 주소를 생성하고, 합법적인 거래처럼 보이도록 소액의 솔라나(SOL) 토큰 거래를 전송했습니다. 피해자는 이후 주소 검증을 완료하지 않고 700만 개의 PYTH 토큰을 이체했고, 주소 오염 공격의 희생양이 되었습니다. 당시 이체된 토큰의 가치는 약 308만 달러였습니다.
조직적인 다중 서명 사기 시도
이러한 공격이 빈번해지는 가운데, 비 수탁형 지갑인 Safe(이전 명칭: 노시스(Gnosis) Safe)도 멀티시그 지갑을 표적으로 하는 대규모 주소 조작 및 소셜 엔지니어링 공격에 대해 사용자들에게 경고했습니다. Safe에 따르면 공격자들은 수천 개의 유사한 Safe 주소를 생성하여 사용자들이 잘못된 목적지로 자금을 송금하도록 유도했습니다. Safe는 이번 사건이 프로토콜 악용, 인프라 침해 또는 스마트 계약 취약점과는 무관하다고 밝혔습니다.
Safe는 약 5,000개의 악성 주소를 식별했으며, 이러한 주소는 실수로 인한 자금 이체 위험을 줄이기 위해 Safe Wallet 인터페이스에서 표시 및 제거되었습니다.
