암호화폐 세계에는 "되돌리기" 버튼이 없습니다. 자금이 잘못된 주소로 전송되면 복구 가능성은 극히 희박합니다.
작성자: etherscan.eth
작성: AididiaoJP, Foresight News
몇 주 전, 이더스캔 사용자 니마는 불쾌한 경험을 공유했습니다. 스테이블코인 이체를 두 번 완료했을 뿐인데, 짧은 시간 안에 주소 모니터링 경고 이메일을 89통 이상 받았다고 합니다.
니마가 지적했듯이, 이러한 경고는 주소 변조 거래로 인해 발생합니다. 공격자는 사용자의 거래 내역에 매우 유사한 가짜 주소를 심어 사용자가 실수로 다음 거래에서 이러한 가짜 주소를 복사하여 사용하도록 유도하는 것을 목적으로 이러한 거래를 생성합니다.
이더 에서 주소 포이즈닝 공격은 수년 전부터 존재해 왔습니다. 그러나 이번 사건은 이러한 공격이 얼마나 자동화되고 대규모로 이루어지고 있는지를 보여줍니다. 과거에는 간헐적인 스팸 공격에 그쳤던 것이 이제는 대규모로 자행될 수 있으며, 공격자는 일반적으로 정상적인 거래 후 몇 분 안에 악성 코드를 삽입할 수 있습니다.
오늘날 이러한 공격이 더욱 만연해진 이유를 이해하려면 두 가지 측면에서 분석해야 합니다. 첫째는 주소 오염 공격 방법의 진화이고, 둘째는 이러한 공격이 쉽게 확장될 수 있는 근본적인 이유입니다.
또한, 이 글에서는 사용자가 이러한 공격에 효과적으로 대응할 수 있도록 돕는 핵심 예방 원칙에 대해 중점적으로 다룰 것입니다.
I. 지리적 오염의 산업화
주소 변조 공격은 한때 기회주의적인 공격자들이 사용하는 틈새 사기 수법으로 여겨졌습니다. 그러나 그 운영 방식이 점차 산업화되고 있습니다.
2025년에 발표된 한 연구는 2022년 7월부터 2024년 6월까지(후사카 업그레이드 이전) 발생한 주소 포이즈닝 활동을 분석했습니다. 이 연구에 따르면 이더 에서 약 1,700만 건의 포이즈닝 시도가 발생했으며, 약 130만 명의 사용자가 연루되었고, 최소 7,930만 달러의 손실이 확인되었습니다.
아래 표는 "블록체인 주소 포이즈닝 연구" 결과를 바탕으로 2022년 7월부터 2024년 6월까지 이더 과 BSC 블록체인에서 발생한 주소 포이즈닝 활동의 규모를 보여줍니다. 데이터에 따르면 거래 수수료가 훨씬 낮은 온체인 포이즈닝된 전송이 1355% 더 빈번하게 발생했습니다.
공격자는 일반적으로 블록체인 활동을 모니터링하여 잠재적 공격 대상을 식별합니다. 대상 사용자의 거래가 감지되면 자동화 시스템이 해당 사용자와 거래한 정상적인 주소와 첫 글자와 마지막 글자가 동일한 매우 유사한 주소를 생성합니다. 그런 다음 공격자는 이러한 가짜 주소가 포함된 악성 전송을 대상 주소로 보내 사용자의 거래 내역에 해당 주소가 나타나도록 합니다.
공격자들은 일반적으로 수익성이 높은 주소를 표적으로 삼습니다. 빈번하게 자금을 이체하거나, 대량 잔액 토큰을 보유하거나, 대규모 거래에 참여하는 주소는 일반적으로 스푸핑 공격을 받을 가능성이 더 높습니다.
경쟁 메커니즘은 공격 효율성을 향상시킵니다.
2025년 연구에 따르면 우려스러운 현상이 발견되었습니다. 바로 서로 다른 공격 그룹들이 경쟁하는 경우가 많다는 것입니다. 많은 스푸핑 캠페인에서 여러 공격자가 거의 동시에 동일한 대상 주소로 스푸핑된 송금을 보냅니다.
각 공격 그룹은 사용자 거래 내역에 가짜 주소를 먼저 심어 넣으려고 시도했는데, 이는 사용자들이 나중에 주소를 복사할 때 자신들의 가짜 주소가 우선적으로 선택될 가능성을 높이기 위한 것이었습니다. 가짜 주소를 먼저 심는 데 성공한 그룹은 사용자들이 실수로 자신들의 주소를 복사할 확률이 더 높았습니다.
다음 사례는 이러한 경쟁의 치열함을 생생하게 보여줍니다. 이 경우, 정상적인 USDT 이체가 이루어진 지 불과 몇 분 만에 13건의 악성 거래가 발생했습니다.
참고: 이더스캔은 기본적으로 금액이 0인 거래를 숨깁니다. 하지만 시연 목적으로 이 기능을 제거했습니다.
주소 오염 공격에 사용되는 일반적인 기법에는 더스트 전송, 위조 토큰 전송 및 값이 0인 토큰 전송이 포함됩니다.
II. 주소 독극물 공격이 쉽게 확대될 수 있는 이유
언뜻 보면 주소 포이즈닝 공격의 성공률은 낮아 보입니다. 대부분의 사용자가 속지 않을 것이라고 생각하기 때문입니다. 하지만 경제적인 관점에서 보면 이러한 공격 방식의 논리는 상당히 다릅니다.
확률 게임의 논리
연구원들은 이더 에서 발생하는 스푸핑 공격의 성공률이 약 0.01%라는 사실을 발견했습니다. 다시 말해, 평균적으로 1만 건의 스푸핑 공격 중 단 한 건만이 사용자가 실수로 공격자에게 자금을 보내는 결과로 이어질 수 있다는 뜻입니다.
따라서, 스푸핑 공격은 더 이상 몇몇 주소에만 국한되지 않고, 수천 또는 수백만 건의 스푸핑된 전송을 시도하는 경향이 있습니다. 시도 횟수가 충분히 많으면, 성공률이 낮더라도 누적되어 상당한 불법 수익을 창출할 수 있습니다.
단 한 번의 대규모 송금 사기 성공으로 수천 건의 실패한 시도에 드는 비용을 쉽게 충당할 수 있습니다.
거래 비용 감소는 독살 시도 증가를 부추겼다.
2025년 12월 3일에 활성화된 후사카 업그레이드는 이더 의 거래 비용을 효과적으로 줄이는 확장성 최적화를 도입했습니다. 이러한 변화는 일반 사용자와 개발자 모두에게 이점을 제공하는 동시에 공격자가 단일 포이즈닝 전송을 시작하는 데 드는 비용을 크게 줄여 전례 없는 규모로 포이즈닝 공격을 시도할 수 있도록 합니다.
후사카 업그레이드 이후 이더 네트워크 활동이 크게 증가했습니다. 업그레이드 후 90일 동안 일평균 거래량은 업그레이드 전 90일 대비 30% 증가했습니다. 같은 기간 동안 신규 생성 주소의 일평균 증가율은 약 78%였습니다.
또한, 소액 토큰 전송 활동이 크게 증가한 것을 확인했습니다. 이러한 전송에서 공격자는 사용자의 과거 전송과 동일한 토큰을 사용하지만, 극히 소량의 토큰을 전송합니다.
다음 데이터는 후사카 업그레이드 전후 90일 동안 주요 자산의 소액 이체 활동을 비교합니다. USDT, USDC, DAI와 같은 스테이블코인의 경우 소액 이체는 0.01달러 미만의 거래를 의미하며, 이더리움(ETH)의 경우 0.00001 ETH 미만의 이체 금액을 가진 거래를 의미합니다.
USDT
- 업그레이드 전: 420만회
- 업그레이드 후: 2990만회
- 증가율: +2,570만 배 (+612%)
미국
- 업그레이드 전: 260만회
- 업그레이드 후: 1490만회
- 증가율: +1230만 배 (+473%)
다이
- 업그레이드 전: 142,405회
- 업그레이드 후: 811,029회
- 증가율: +668,624배 (+470%)
이더리움
- 업그레이드 전: 1억 450만 회
- 업그레이드 후: 1억 6970만 회
- 증가율: +6520만 배 (+62%)
데이터에 따르면 후사카 업그레이드 직후 먼지 이동 활동(0.01달러 미만)이 급증하여 최고치를 기록했고, 이후 다소 감소했지만 업그레이드 이전 수준보다 상당히 높은 수준을 유지했습니다. 반면, 0.01달러 이상의 이동 활동은 같은 기간 동안 비교적 안정적인 상태를 유지했습니다.
차트: 후사카 업그레이드 전후 90일 동안의 USDT, USDC 및 DAI 소액 거래(0.01 USD 미만) 추세 비교 (출처)
차트: 후사카 업그레이드 전후 90일 동안 USDT, USDC 및 DAI 일반 이체(>0.01 USD) 추세 비교 (출처)
많은 공격 캠페인에서 공격자는 먼저 토큰과 이더리움을 새로 생성된 가짜 주소로 대량 발송한 다음, 해당 가짜 주소들을 통해 목표 주소로 소량의 토큰을 하나씩 전송합니다. 소량 전송은 거래 비용이 낮아지기 때문에 공격자는 매우 적은 비용으로 대규모 공격을 수행할 수 있습니다.
그림: 주소 Fake_Phishing1688433은 단일 거래로 여러 개의 가짜 주소로 토큰과 ETH를 대량으로 전송했습니다. (출처)
모든 더스트 전송이 스푸핑 시도는 아니라는 점을 명확히 해야 합니다. 더스트 전송은 토큰 스왑이나 주소 간의 소규모 거래와 같은 합법적인 활동에서 발생할 수도 있습니다. 그러나 대량 의 더스트 전송 기록을 검토한 결과, 상당 부분이 스푸핑 시도일 가능성이 매우 높다는 것을 알 수 있습니다.
III. 핵심 예방 원칙
송금하기 전에 항상 수신 주소를 꼼꼼히 확인하십시오.
Etherscan 사용 시 리스크 줄이기 위한 몇 가지 실용적인 팁을 소개합니다.
식별 가능한 주소 식별자를 사용하십시오.
자주 상호 작용하는 주소에 대해 Etherscan에서 비공개 이름 태그를 설정하세요. 이렇게 하면 정상적인 주소를 유사한 주소와 쉽게 구분할 수 있습니다.
ENS와 같은 도메인 이름 서비스를 사용하면 브라우저 전체에서 주소의 가시성을 향상시킬 수 있습니다.
동시에, 자금이 항상 의도한 목적지로 전송되도록 지갑의 주소록 기능을 사용하여 자주 사용하는 주소를 화이트리스트에 추가하는 것이 좋습니다.
주소 강조 표시를 활성화합니다
이더스캔의 주소 강조 표시 기능은 사용자가 유사하게 보이는 주소를 시각적으로 구분하는 데 도움을 줍니다. 두 주소가 거의 동일해 보이지만 강조 표시되는 방식이 다르다면, 그중 하나가 스푸핑에 사용된 주소일 가능성이 매우 높습니다.
주소를 복사하기 전에 다시 한번 확인하세요.
Etherscan은 사용자가 의심스러운 활동과 연관될 수 있는 주소를 복사할 경우 경고 창을 사전에 표시합니다. 이러한 의심스러운 활동에는 다음이 포함됩니다.
- 소액 토큰 전송
- 가짜 토큰 전송
- 평판이 좋지 않은 토큰
- 오래된 정보를 가진 토큰
이러한 알림이 표시되면 작업을 일시 중지하고 복사한 주소가 실제로 상호 작용하려는 대상 주소인지 신중하게 확인하십시오.
암호화폐 세계에는 "되돌리기" 버튼이 없다는 점을 명심하세요. 자금이 잘못된 주소로 전송되면 복구 가능성은 극히 희박합니다.
요약하다
거래 비용이 감소하면서 대량 공격 전략이 더욱 경제적이 되어짐에 따라 이더 에서 주소 오염 공격이 점점 더 만연하고 있습니다. 이러한 공격은 또한 사용자 경험에도 부정적인 영향을 미쳐, 악성 스팸 메시지가 다양한 사용자 대상 거래 내역 인터페이스에 대량 유입되고 있습니다.
주소 도용 공격을 효과적으로 방지하려면 사용자 보안 인식 제고뿐만 아니라 인터페이스 디자인 개선도 필요합니다. 사용자에게 가장 중요한 습관은 송금 전에 대상 주소를 꼼꼼히 확인하는 것입니다.
동시에 관련 도구와 사용자 인터페이스는 사용자가 의심스러운 활동을 신속하게 식별하는 데 더욱 중요한 역할을 해야 합니다.
이더스캔(Etherscan)의 '포이즌 주소' 라벨(https://etherscan.io/accounts/label/poisoning-address)
이더스캔은 사용자가 이러한 공격을 더 쉽게 식별할 수 있도록 브라우저 인터페이스와 API 서비스를 지속적으로 개선하고 있습니다. 이더스캔은 스푸핑된 주소를 사전에 태그, 가치가 없는 토큰 전송을 식별 및 숨기며, 위조 토큰에 라벨을 부착합니다. 이렇게 선별된 데이터를 제공함으로써 사용자는 방대한 거래 기록을 일일이 검토하지 않고도 잠재적인 주소 포이즈닝 시도를 더 쉽게 발견할 수 있습니다.
자동화 및 대량의 분말 이송을 이용한 독성 물질 공격이 점점 더 정교해짐에 따라, 이러한 리스크 신호를 명확하게 식별하는 것은 사용자가 의심스러운 활동과 합법적인 거래를 구분하는 데 매우 중요합니다.
