최근 암호화폐 투자자가 단 한 번의 사건으로 두 번의 사기를 당하며 총 2.5백만 달러에 달하는 스테이블코인을 잃게 되는 충격적인 사건이 발생했다. 사이버 보안 전문 기업 사이버스(Cyvers)에 따르면, 이 피해자는 처음 843,000 달러 상당의 USDT(테더)를 송금하며 사기의 첫 번째 피해자가 되었고, 3시간 후에는 추가로 2.6백만 달러를 송금하며 총 2.5백만 달러를 잃었다.

이 사기는 '제로 가치 전송(zero-value transfer)'이라는 방식으로 이루어졌다. 이는 고도화된 온체인 피싱 기법으로, 공격자가 사용자를 속여 실제 자금을 송금하도록 유도하는 메커니즘이다. 공격자는 피해자의 지갑에서 제로 토큰을 스푸프된 주소로 전송하는 방식으로 피해자의 신뢰를 착취하게 된다. 이러한 제로 가치 전송으로 인해 송금된 금액이 없기 때문에 피해자의 개인 키 서명이 필요하지 않다. 그 결과로 피해자는 거래 내역에서 이러한 송금 기록을 보게 되며, 이는 차후에 실제 자금을 송금할 때 해당 주소를 신뢰하게 만드는 원인이 된다.

피해자는 스푸프된 주소가 자신의 거래 내역에 포함되어 있다는 사실 때문에 미지의 자산을 공격자의 주소로 송금하게 된다. 이러한 방식은 실제로 한 사례에서 2천만 달러 상당의 USDT를 탈취한 고위험 사기범에 의해 사용되기도 했다. 이 사건은 2023년 여름에 발생하였으며, 해당 스테이블코인의 발행사는 이후 척결 조치를 취하게 된다.

뿐만 아니라, 제로 가치 전송 기법은 기존의 주소 오염(address poisoning) 기법의 진화판으로 볼 수 있다. 주소 오염은 공격자가 피해자의 실제 주소와 유사한 주소로 소액의 암호화폐를 송금해 피해자가 이후의 송금에서 실수로 공격자의 주소를 복사해 사용하도록 유도하는 방식이다. 사용자는 종종 부분 주소 매칭이나 클립보드 이력을 의존하기 때문에 이러한 공격에 취약하다. 사용자들은 종종 주소의 처음과 끝의 문자들만을 주의 깊게 살펴보는 경향이 있어, 이 점을 악용하는 것이 공격자들의 주요 전략이다.

최근 2025년 1월의 연구에 따르면, 2022년 7월부터 2024년 6월까지 BNB 체인과 이더리움에서 무려 2억 7천만 건 이상의 주소 오염 시도가 있었으며, 이 중 6,000건이 성공하여 총 8,300만 달러 이상의 손실을 초래했다. 이에 따라, 암호화폐 사이버 보안 업체인 트루가드와 블록체인 신뢰 프로토콜 웹어시(Webacy)는 암호 지갑 주소 오염 탐지를 위한 인공지능 기반 시스템을 발표하기도 했다. 이 새로운 툴은 알려진 공격 사례를 통해 테스트하며 97%의 성공률을 기록하고 있다.

최근의 이러한 사이버 범죄 수법은 점점 더 고도화되고 있는 추세이며, 투자자들은 더욱 철저한 보안 점검과 경계를 필요로 하고 있다. 변별력이 떨어진 타인의 주소를 신뢰함으로써 발생하는 손실은 앞으로 더욱 빈번해질 수 있다. 따라서 새로운 기술과 도구의 도입이 이루어져야 할 때이다.


crossorigin="anonymous">