피싱 피해만 4,500억 원 돌파…X 계정 뚫린 '아비트럼', 에어드롭 사칭까지

아비트럼 공식 X 계정 해킹…에어드롭 사칭 피싱 경고

아비트럼(ARB) 커뮤니티 운영 계정인 @arbitrumdao_gov 가 해킹되면서, 사용자들을 노린 피싱 공격이 발생했다. 해커들은 에어드롭을 가장한 가짜 링크를 게시했고, 프로젝트 측은 즉각 전면 경고에 나섰다.

이번 공격은 2026년 들어 이어지고 있는 암호화폐 업계 대상 SNS 해킹 사태의 연장선에 있다. 특히 공격자들은 ‘장기 참여자 대상 리워드 스냅샷’을 명분으로 www.gov-arbitrum[dot]com 이라는 가짜 웹사이트 링크를 공유했다. 평소 아비트럼의 커뮤니케이션 방식과 유사한 문구가 사용되어 사용자들의 주의가 요구된다.

아비트럼은 모든 이용자들에게 “당분간 해당 계정이 게시한 링크나 게시물에 절대 접근하지 말라”고 경고했다. 현재 프로젝트 측은 계정 복구 절차에 착수한 상태다.

에어드롭 세탁·실제 사용자 분리 전략…정교해진 피싱 수법

공격자들은 게시물에서 ‘실제 사용자(real users)’만이 대상이며 ‘에어드롭 시즌은 끝나지 않았다’는 문구를 사용, 아직 참여하지 못한 투자자들의 심리를 교묘히 이용했다. 또 장기 스왑·브릿징·거버넌스 참여자에게 보상이 있다는 그럴듯한 설명도 명시됐다.

Arete 캐피털의 매니징 파트너 매케나는 "지난 한 달간만 X 계정 해킹 사례를 5~7건 도왔다"며, 플라즈마(Plasma), 아비트럼 사례를 직접 언급했다. 그는 "북한 해커에 의해 내 계정이 해킹된 이후 X와 연결을 맺기까지 한 달 넘게 밤낮으로 고생했다"며, 보안 조치 강화를 촉구했다. 그는 “물리적 보안키가 지원되는 비밀번호 관리 프로그램을 도입하라. 절대 미루지 말고 오늘 당장 하라”고 강조했다.

X·디스코드·텔레그램 넘나든 암호화폐 계정 해킹…피해 확산

아비트럼의 이번 사례는 최근 두 달 사이 잇따른 고위험 해킹 사건의 하나다. 1월에는 레이어2 프로젝트 ‘스크롤’ 공동창업자인 예 첸(Ye Chen)의 X 계정이 해킹돼, 해커가 X 공식 계정처럼 프로필을 꾸미고 저작권 위반 경고를 사칭하는 피싱 메시지를 대량 배포했다.

2025년 10월에는 BNB체인의 공식 계정이 침해돼, 바이낸스 공동창업자 CZ가 급하게 “해당 계정 링크 클릭 금지”를 알린 바 있다. 12월엔 바이낸스 공동 CEO 이허(Yi He)의 위챗 계정이 탈취돼, 밈코인 뮤바라(MUBARA)에 ‘펌프 앤 덤프(가격 급등 후 폭락)’ 시세 조작이 이뤄졌고 약 5만 5,000달러(약 7,980만 원)어치 이익을 해커가 챙겼다.

ZKsync도 공격에서 자유롭지 못했다. 위임받은 계정을 통해 미국 증권거래위원회(SEC) 조사를 받는다는 허위 정보가 게시됐고, 이에 ZK 가격은 당시 일주일간 38.5% 상승했던 흐름을 거슬러 하루 만에 5% 하락했다. 리플(Ripple)의 SWIFT 제휴 허위 뉴스는 Watcher.Guru의 X 계정 해킹 후 텔레그램, 디스코드, 페이스북 등으로 확산됐다.

2026년 시작부터 보안 재앙…피싱 피해만 4,500억 원 돌파

2026년 1월 한 달간 보안회사 CertiK는 약 3억 7,030만 달러(약 5372억 원) 규모의 암호화폐 해킹 피해를 확인했다. 이 중 피싱 피해가 3억 1,130만 달러(약 4,517억 원)였으며, 단순한 코드 취약점으로 발생한 피해(5,150만 달러·약 748억 원)를 압도했다.

특히 하드웨어 지갑을 노린 사회공학 공격에서는 2억 8,200만 달러(약 4,092억 원)의 사상 최대 단일 피해가 발생했다. 범인은 비트코인(BTC)과 라이트코인(LTC)을 모네로(XMR)로 전환해 흔적을 감췄다.

12월에는 주소 도용 공격(address poisoning)으로 5,000만 달러(약 725억 원), 악성 서명을 통한 305만 달러(약 44억 원) 규모의 테더(USDT) 탈취도 발생했다. 유튜브 계정 해킹 피해도 확인되었으며, 합성 트레이딩 봇을 가장한 홍보를 통해 93만 9,000달러(약 13억 6,243만 원)의 피해가 보고됐다.

이 밖에도 투자 플랫폼 Betterment 사용자들이 ‘비트코인·이더리움 입금 3배 증가’라는 메시지를 받아 피싱 피해를 입었고, 2월 들어서는 솔라나(SOL) 기반 디파이 프로젝트 스텝파이낸스(Step Finance)의 금고와 수수료 지갑이 연쇄로 털리며 3,000만 달러(약 435억 원)의 피해가 발생했다. 이 여파로 STEP 토큰 가격은 하루 만에 90% 폭락했다.

아비트럼의 사례는 크립토 커뮤니티의 필수 소통 창구인 SNS 계정 보안이 얼마나 중요한지를 다시금 보여준다. 단순한 기술 공격을 넘어 소셜 엔지니어링과 피싱이 가미된 정교한 수법 앞에서, 사용자의 보안 인식과 실천이 무엇보다 절실해진 시점이다.

💡 "해킹은 기술이 아니라 심리에서 시작된다… 보안의 시작은 공부부터"

아비트럼처럼 SNS 계정 해킹으로 시작된 피싱 피해가 2026년 들어 사상 최대치를 기록하고 있습니다. North Korea 해커부터 사기성 에어드롭, 주소 도용까지, 수법은 점점 정교해지고 속임수는 더 교묘해지고 있습니다.

허위 에어드롭, 스냅샷 사칭, ‘리워드 지급 중’이라는 달콤한 문구 뒤엔 보안 지식의 빈틈을 노리는 함정이 도사리고 있습니다.

당신의 지갑을 지키는 첫 걸음은 ‘종목 선택’이 아니라, ‘보안 인식’에서 시작됩니다.

토큰포스트 아카데미에서는 사용자와 프로젝트를 구분할 줄 아는 눈, 진짜와 가짜를 가려낼 수 있는 분석력, 그리고 하락장에서 자산을 지킬 수 있는 실전 전략을 모두 갖춘 7단계 마스터클래스를 제공합니다.

• 1단계: 보안과 지갑 – 해킹 막는 지식의 뿌리, 콜드월렛과 시드구문의 원리부터 시작
• 2단계: 온체인 분석 – 토크노믹스와 온체인 데이터를 통해 진짜 프로젝트만 선별
• 5단계: 디파이 리스크 – 스테이블코인 덤핑, 악성 스마트컨트랙트, 유동성 풀 손실 대응법

2026년 크립토 시장의 핵심 화두는 ‘수익’이 아니라 ‘생존’입니다.

토큰포스트 아카데미와 함께 실전 보안을 체득하고, 흔들리지 않는 투자 중심을 세워보세요.

[토큰포스트 아카데미 수강 신청하기]

커리큘럼: 보안, 온체인, 디파이까지, 생존에서 수익까지 구축하는 7단계 마스터클래스

파격 혜택: 첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.