정교한 피싱 사기로 투자자 3시간 내 260만 달러 손실, 제로 밸류 전송 통한 주소 위장 기법 노출

한 암호화폐 투자자가 2025년 5월 26일 제로 밸류 전송을 통해 이더리움 거래 내역을 조작하는 정교한 피싱 사기에 3시간 내 두 번 피해를 당해 260만 USDT라는 엄청난 손실을 입었다.

26일(현지시간) 크립토뉴스에 따르면, 먼저 84만3000달러를 빼앗기고 또 다른 175만 달러를 잃은 이 공격은 숙련된 트레이더들조차 온체인 거래에서 지갑 주소를 확인하는 방식에 대한 심각한 우려를 불러일으켰다.

암호화폐 컴플라이언스 회사 사이버스(Cyvers)의 보고서에 따르면 사기꾼들은 이더리움의 transferFrom 함수를 사용하여 개인키 서명이나 사용자 승인 없이 피해자의 지갑에서 위조된 주소로 거래를 생성했다.

거래에 실제 가치가 포함되지 않았기 때문에 일반적인 보안 경고를 발생시키지 않고 자동으로 블록체인에 추가되었다.

이 공격은 사기꾼의 지갑 주소를 피해자의 거래 내역에 배치하는 방식으로 작동한다. 송금 거래로 기록된 주소를 보는 사용자들은 이를 이전에 상호작용했거나 알려진 주소로 착각하여 더 신뢰할 가능성이 높다.

후속 거래에서 그들은 위조된 주소를 복사하여 붙여넣어 무의식적으로 실제 자산을 공격자에게 직접 보낼 수 있다.

제로 밸류 전송은 기존의 주소 오염 사기의 발전된 형태로 간주된다.

전통적인 주소 오염에서는 사기꾼들이 피해자의 합법적인 연락처와 유사한 주소, 종종 같은 시작 및 끝 문자를 가진 주소에서 소량의 암호화폐를 보낸다.

패턴 인식이나 부분 주소 확인에 의존하는 사용자들이 함정에 빠질 가능성이 더 높다.

제로 밸류 전송은 가짜 거래를 사용자의 보이는 내역에 추가하여 잘못된 합법성을 강화함으로써 한 단계 더 나아간다.

블록체인 보안 회사 엘립틱(Elliptic)은 2023년 보고서에서 약 150명의 사기꾼이 2022년 11월 이후 이더리움과 BNB 체인에서 17만6000건 이상의 이러한 거래를 시작했다고 밝혔다.

이들은 제로 밸류 거래이지만 실행하는 데 상당한 가스 수수료가 필요하다.

사기꾼들은 수수료로 71만 달러 이상을 지출했지만 150만 달러 이상의 불법 수익을 얻어 80만 달러 미만의 순이익을 기록했으며, 공격자당 평균 약 5500달러를 벌어들였다.

2024년 5월의 주목할 만한 사례에서는 정교한 주소 오염 사기의 피해자가 블록체인 보안 회사 매치 시스템즈(Match Systems)와 거래소 크립텍스(Cryptex)의 신속한 개입 덕분에 도난당한 7100만 달러의 WBTC를 거의 모두 회수했다.

제로 밸류 전송 사기의 증가는 사용자 행동과 지갑 인터페이스가 거래 데이터를 표시하는 방식에서 심각한 취약점을 노출시켰다.

2025년 1월 보고서에 따르면 2022년 7월부터 2024년 6월까지 BNB 체인과 이더리움에서 2억7000만 건 이상의 주소 오염 시도가 발생했다. 이 중 약 6000건의 시도가 성공하여 8300만 달러를 초과하는 손실을 초래했다.

이에 대응하여 암호화폐 생태계가 적응하기 시작했다. 2023년 이더스캔(Etherscan)은 사용자들을 오해의 소지가 있는 거래 기록으로부터 보호하기 위해 기본적으로 제로 밸류 토큰 전송을 숨기는 새로운 기능을 발표했다.

사용자들은 여전히 이를 보기로 선택할 수 있지만 기본 설정은 혼란을 줄이고 피싱 시도가 일반 지갑 소유자에게 도달하는 것을 방지하는 것을 목표로 한다.

트레저(Trezor) 같은 암호화폐 지갑 제공업체들은 주소 오염에 대한 경고를 발표하고 이러한 피싱 사기가 교활하지만 개인키나 내부 지갑 보안의 침해를 포함하지 않는다고 강조했다.

대신 인간의 실수와 행동적 악용에 의존하며, 외관으로 주소를 인식하거나 재확인 없이 거래 로그에서 복사하여 붙여넣는 사용자들의 시각적 습관을 표적으로 한다.