한 암호화폐 트레이더가 정교한 ‘주소 중독’ 공격에 당해 테더의 USDT 5천만 달러를 잃었습니다.
12월 20일, 블록체인 보안업체 스캠 스니퍼(Scam Sniffer)는 피해자가 자신의 주소로 50달러 소액 테스트 거래를 보낸 뒤 공격이 시작되었다고 보고했습니다.
Sponsored주소 포이즈닝 수법 전개 과정
특히 트레이더들은 자금이 정확한 주소로 전달되는지 확인하기 위해 이와 같은 표준적인 안전조치를 사용합니다.
하지만 이 활동은 공격자가 통제하는 자동화된 스크립트에 의해 감지되었고, 공격자는 즉시 ‘위조’ 지갑 주소를 생성했습니다.
해당 가짜 주소는 수신 의도 주소의 영문 및 숫자 문자열 앞과 뒤가 동일하게 설계되었습니다. 차이는 중간 문자에서만 발생해 한눈에 발견하기 어렵습니다.
이후, 공격자는 위조된 주소에서 피해자의 지갑으로 극소량의 암호화폐를 보냈습니다.
Sponsored Sponsored이 거래로 인해 사기성 주소가 피해자의 최근 거래 내역에 남게 되었으며, 많은 지갑 인터페이스는 주소의 일부만을 표시합니다.
피해자는 이러한 시각적 단축 표시만 보고 거래 내역에서 주소를 복사했고, 전체 문자열을 확인하지 않았습니다. 그 결과, 트레이더는 안전한 개인 지갑이 아닌 공격자에게 USDT 4,999만 9,950달러를 직접 전송했습니다.
공격자는 자금을 받은 후, 온체인 기록에 나타난 바에 따르면 자산 압류 위험을 신속하게 줄이려 했습니다. 공격자는 메타마스크 스왑을 통해 발행사가 동결할 수 있는 USDT를 빠르게 DAI 스테이블코인으로 교환했습니다.
공격자는 이후 이 자금을 약 16,680 ETH로 환전했습니다.
Sponsored Sponsored추적을 더욱 어렵게 하기 위해 공격자는 ETH를 토네이도 캐시(Tornado Cash)에 입금했습니다. 이 디센트럴라이즈드 믹싱 서비스는 송금 및 수신 주소 간의 공개 연결고리를 끊도록 설계되어 있습니다.
피해자, $100만 현상금 제시
피해자는 자산 회수를 시도하며, 온체인 메시지를 통해 도난 자금 98% 반환 시 100만 달러 ‘화이트햇 바운티(white-hat bounty)’를 제공하겠다고 제안했습니다.
Sponsored“공식적으로 형사 고소를 진행했습니다. 법 집행기관과 사이버 보안 기관, 여러 블록체인 프로토콜의 도움을 받아 귀하의 활동에 관한 상당하고 실행 가능한 정보를 이미 수집했습니다.”라고 메시지는 전했습니다.
피해자는 공격자가 48시간 내에 응하지 않으면 ‘거침없는’ 법적 대응이 이뤄질 것이라고 경고했습니다.
“응하지 않는다면, 우리는 법적 절차와 국제 사법 당국을 동원하여 사안을 확대할 것입니다. 귀하의 정체는 밝혀져 관계 당국에 전달될 예정입니다. 우리는 형사 및 민사 조치를 포기하지 않고 끝까지 추적하여 반드시 정의를 실현할 것입니다. 이것은 요청이 아닙니다. 돌이킬 수 없는 결과를 피할 최후의 기회를 드리고 있습니다.”라고 피해자가 밝혔습니다.
이번 사건은 디지털 지갑이 거래 정보를 표시하는 방식에 지속적인 취약성이 있으며, 공격자들이 블록체인 코드의 결함이 아닌 사용자 행동을 악용하고 있음을 보여줍니다.
보안 분석가들은 지갑 제공업체가 사용성과 디자인을 이유로 긴 주소 문자열을 축약해 표시하는 관행이 지속적인 위험을 낳는다고 거듭 경고해 왔습니다.
이 문제가 해결되지 않는다면, 공격자들은 사용자가 주소의 앞부분과 마지막 한두 글자만 확인하는 습관을 계속 노릴 수밖에 없습니다.
