3억7,030만 달러 털린 1월… '가짜 유니스왑' 검색 피싱, 수년째 계속된다
유니스왑 설립자 “사기 광고, 수년째 신고해도 계속 돌아온다” 경고
유니스왑(UNI) 창업자 헤이든 애덤스가 검색엔진과 앱 마켓에 등장하는 ‘사기 유니스왑 광고’에 대해 강력한 경고를 내렸다. 실제로 한 이용자가 이 같은 피싱 사이트에 속아 수십만 달러, 우리 돈으로 수억 원대 자산을 한 번에 잃은 사례가 공개되면서 파장이 커지고 있다.
애덤스의 경고는 올 1월 암호화폐 업계에서 각종 사기와 피싱으로 탈취된 금액이 최근 11개월 사이 최대치를 기록한 직후 나왔다.
애덤스는 21일(현지시간) X(구 트위터)에 “사기 광고는 수년 동안 신고해도 계속 돌아온다”고 지적했다. 그는 “앱스토어 승인만 몇 달을 기다리던 동안에도 사기 유니스왑 앱이 버젓이 올라와 있었다”고 말했다.
현재 피싱 조직들은 구글 등 주요 검색엔진에서 ‘유니스왑’ 같은 키워드를 정조준해 광고를 집행하고 있다. 사용자가 유니스왑을 검색하면 가장 상단에 ‘공식 사이트처럼 보이는’ 광고 링크가 뜨고, 이를 진짜로 착각한 이용자가 지갑을 연결해 트랜잭션(거래 승인)을 눌렀다가 자산이 통째로 빠져나가는 구조다.
“운 나쁜 게 아니라, 잘못된 선택이 쌓여 터진 것”
X 이용자 ‘이카(Ika)’는 최근 “난 모든 걸 잃었다, 이제 무엇을 해야 할까?”라는 글을 올리며 자신이 당한 피해 사례를 공개했다. 그가 밝힌 지갑 가치 규모는 미드 ‘식스 피겨(mid six-figure)’ 수준, 즉 대략 수십만 달러로, 우리 돈으로 치면 억대 자산에 해당한다.
이카는 “2년 동안 철저하게 규율을 지키며 행동해 왔다. 반은 웹3 업계 일자리를 찾으려 했고, 반은 충분히 빨리 돈을 벌어 일자리가 필요 없는 상태를 만들고 싶었다”고 적었다. 그럼에도 어느 순간 지갑이 완전히 비워졌다는 것이다.
그는 “지갑이 털린 건 운이 나빠서가 아니다. 오랜 시간 이어진 잘못된 결정들의 ‘최종 결과’라고 믿는다”고 했다. 단 한 번의 실수가 아니라, 보안 습관·검증 과정·사이트 확인 등에서 ‘작은 허점’이 쌓여 결국 참사가 터졌다는 자성이다.
이카가 올린 장문의 경험담은, 그가 가짜 유니스왑 링크가 포함된 구글 검색 결과 상단 화면을 캡처해 공유한 직후 올라왔다. 검색 결과 첫 줄에 표시된 링크가 공식 도메인을 교묘히 흉내 내고 있었고, 그는 이를 실제 유니스왑 인터페이스로 착각한 것으로 보인다.
유니스왑 겨냥한 ‘정교한 피싱’…버튼 위치까지 베꼈다
유니스왑을 노린 피싱은 이번이 처음이 아니다. 2024년 10월, 코인텔레그래프는 사기꾼들이 유니스왑 웹사이트의 ‘도메인 권위(domain authority)’가 상대적으로 낮다는 점을 노려, 진짜 사이트와 거의 똑같은 화면을 구현한 피싱 사이트를 만든 사례를 보도한 바 있다.
당시 가짜 사이트는 겉보기에는 정식 유니스왑과 사실상 구분이 어려웠지만, 세부 버튼 구성이 달랐다. 원래 ‘시작하기(get started)’가 위치해야 할 자리에 ‘지갑 연결(connect)’ 버튼이 들어가 있었고, ‘문서 읽기(read the docs)’가 있어야 할 곳에는 ‘브리지(bridge)’ 버튼이 들어가 있었다. 사용자가 자연스럽게 지갑 연결과 자산 이동을 유도당하도록 설계된 것이다.
이처럼 유니스왑처럼 널리 알려진 디파이(DeFi·탈중앙화 금융) 프로토콜의 명성을 악용하는 피싱은, 초보자뿐 아니라 숙련 이용자까지 노리는 ‘정교한 사회공학 공격’으로 진화하고 있다.
1월에만 3억 7,030만 달러 털려…11개월 새 최대
시장 전반을 봐도 경고등은 켜져 있다. 온체인 데이터에 따르면 지난 1월 한 달 동안 각종 해킹과 사기, 피싱으로 탈취된 암호화폐 규모는 3억 7,030만 달러(약 5,366억 원)에 달해, 최근 11개월 기준 월간 최대치를 기록했다. 이는 2025년 1월과 비교해 거의 4배에 가까운 폭증이다.
블록체인 보안업체 서틱(CertiK)은 1월 한 달 동안 집계한 40건의 공격·사기 사례를 분석한 결과, 전체 피해액의 ‘대부분’이 단 한 명의 피해자에게서 나왔다고 밝혔다. 이 피해자는 사회공학(소셜 엔지니어링) 기법으로 유도된 공격에 당해 약 2억 8,400만 달러(약 4,114억 원)를 잃은 것으로 추산된다.
사회공학 공격은 기술적 취약점보다는 ‘사람’을 노리는 방식이다. 공식 프로젝트 팀원이나 투자자, 파트너처럼 가장해 신뢰를 얻은 뒤, 링크 클릭·지갑 연결·권한 승인 등을 자연스럽게 유도해 자산을 탈취한다. 유니스왑 사칭 광고나 검색결과 피싱 역시 이 범주에 들어간다.
검색·광고 플랫폼 책임론 커질 듯…사용자도 “최종 방어선”
이번 사건을 계기로 유니스왑 같은 디파이 프로토콜뿐 아니라, 구글 등 검색·광고 플랫폼의 책임 문제도 다시 도마에 오를 전망이다. 오랫동안 ‘사기 광고’ 신고가 이어졌음에도 여전히 최상단에 피싱 링크가 노출되고 있어서다.
다만 현실적으로 모든 피싱 링크를 실시간 걸러내기 어렵다는 한계도 뚜렷하다. 그 결과, 실제 자산을 지키는 ‘최종 방어선’은 여전히 개별 이용자에게 놓여 있다는 지적이 힘을 얻고 있다. 특히
- 검색 결과 최상단 ‘광고’ 표시 여부 확인
- 도메인 철자와 공식 주소 대조
- 지갑 연결·권한 승인 전 다시 한 번 점검
같은 기본적인 체크리스트를 지키지 않으면, 숙련자도 한 번의 실수로 수년간 쌓은 자산을 잃을 수 있다는 경고가 이어진다.
유니스왑 사칭 사기와 1월 대규모 피싱 피해는, 디파이와 웹3 생태계가 성장할수록 보안 리스크도 함께 커지고 있음을 상기시킨다. 규제, 플랫폼 책임, 사용자 교육이 맞물려 대응 전략을 재정비하지 않는다면, 비슷한 ‘모든 것을 잃었다’는 사례는 앞으로도 반복될 가능성이 크다.
💡 "디파이, '버튼 한 번'의 방심이 전 재산을 날린다… 그래서 보안부터 배워야 합니다"
검색창에 친 한 줄, 익숙해 보이는 버튼 한 번. 유니스왑 피싱 사례에서 보듯, 디파이 시대의 리스크는 항상 '사람의 실수'를 노립니다. 진짜와 가짜를 구별하는 눈, 지갑을 연결하기 전 한 번 더 의심하는 습관은 이제 선택이 아니라 생존을 위한 필수 스킬입니다.
대한민국 1등 블록체인 미디어 토큰포스트가 선보인 토큰포스트 아카데미는 단순히 코인 매매법을 알려주는 곳이 아닙니다.
검색·광고 피싱, 가짜 디파이 앱, 악성 승인(approval) 같은 함정을 피해 가기 위한 '실전 보안·리스크 관리'까지 단계별로 학습하는 7단계 마스터클래스입니다.
◆ 지갑 털리기 전에 배우는 7단계 마스터클래스
🟢 1단계 The Foundation (기초와 진입)
- "검색 결과 맨 위가 항상 진짜일까?"
- 지갑 생성·백업, 시드 구문 관리, 핫월렛·콜드월렛 차이 등
- 피싱 사이트·가짜 앱을 구별하는 기본 보안 원칙부터 다룹니다.
🔵 2단계 The Analyst (가치 평가와 분석)
- 화려한 마케팅 대신, 토크노믹스와 온체인 데이터를 읽는 법
- "사기성 구조인지, 지속 가능한 구조인지"를 숫자로 검증하는 훈련
🟡 3단계 The Strategist (투자 전략과 포트폴리오)
- 한 번의 해킹·피싱이 포트폴리오 전체를 날리지 않도록
- 분산, 비중 조절, 현금·레버리지 관리 등 생존을 전제로 한 설계
🟠 4단계 The Trader (테크니컬 분석과 트레이딩)
- 단기 시세에 휘둘리지 않고 스스로 매수·매도 기준을 세우는 법
- 차트·지표·주문 방식 이해로 "감"이 아닌 "체계"로 움직이기
🟣 5단계 The DeFi User (탈중앙화 금융)
- 유니스왑·DEX를 쓸 줄 아는 것에서 끝나지 않고,
- 유동성 공급, 비영구적 손실, 대출·청산(LTV) 구조까지
- "어디까지 권한을 넘겨야 안전한지"를 이해하고 디파이를 사용합니다.
🔴 6단계 The Professional (선물·옵션 심화)
- 레버리지, 마진, 펀딩비 구조를 이해하고
- 단순 투기가 아닌, 하락장 방어·헤지까지 다루는 고급 과정
⚫ 7단계 The Macro Master (거시 경제와 시장 사이클)
- 개별 코인 뉴스가 아니라, 유동성과 사이클을 읽는 눈을 기릅니다.
- "언제 공격적으로 들어가고, 언제 리스크를 줄여야 하는가"를 과거 사례로 복기합니다.
2026년 디파이·웹3 시장에서 진정한 '최종 방어선'은 결국 사용자 본인입니다.
검색창에 유니스왑을 치기 전에, 어떤 리스크를 점검해야 하는지부터 체계적으로 배우고 싶다면 지금이 시작할 때입니다.
커리큘럼: 기초 보안부터 디파이·선물옵션·매크로 분석까지 7단계 마스터클래스
혜택: 첫 달 무료 이벤트 진행 중!
바로가기: https://www.tokenpost.kr/membership
기사요약 by TokenPost.ai
🔎 시장 해석
Uniswap 창립자 헤이든 아담스가 검색엔진·앱스토어에 노출되는 가짜 Uniswap 광고를 강하게 비판하며, 수십만 달러 규모 자산을 한 번에 잃은 실제 피해 사례를 공유했습니다.
이번 사례는 단일 프로젝트 이슈를 넘어, 검색·광고 인프라를 악용한 피싱과 소셜 엔지니어링 사기가 업계 전반의 구조적 리스크로 확대되고 있음을 보여줍니다.
CertiK 집계 기준 1월 한 달에만 약 3.7억 달러가 해킹·사기로 유출됐고, 그중 약 2.84억 달러가 단 한 건의 사회공학(소셜 엔지니어링) 사기에서 발생해, ‘사람을 노리는’ 공격이 기술적 해킹 못지않게 치명적임을 드러냅니다.
검색광고와 도메인 권위(도메인 어소리티) 격차를 악용한 피싱 사이트 제작은 반복되는 패턴으로, 규제 및 빅테크 플랫폼의 광고 심사·책임 논의가 강화될 가능성이 큽니다.
💡 전략 포인트
1) 접속 경로 위생 관리: 검색광고, 추천 링크가 아닌 ‘직접 입력한 공식 도메인/즐겨찾기’로만 디앱에 접속하는 습관을 들이고, 브라우저에 자주 쓰는 프로토콜의 주소를 고정해두는 것이 중요합니다.
2) 권한 최소화·분리: 메인 자산을 보관하는 콜드/세이프 지갑과, 디앱 접속·실험용 핫월렛을 분리해 사용하면, 개별 실수로 전체 자산이 한 번에 털리는 리스크를 줄일 수 있습니다.
3) 트랜잭션 승인 전 검증: ‘Connect / Approve / Permit’ 요청의 토큰·금액·권한 범위(무제한 승인 여부)를 꼼꼼히 확인하고, 잘 모르는 컨트랙트에는 소액 테스트 후 접근하는 방식을 권장합니다.
4) 검색·광고 신뢰도 재평가: 구글·앱스토어 상단 노출=정식 서비스라는 인식을 버리고, 프로젝트 공식 채널(트위터/X, 디스코드, 깃허브, 문서)에서만 링크를 타고 들어가는 프로세스를 개인·팀 차원 보안 규정으로 삼을 필요가 있습니다.
5) 보안 교육·내러티브: 기사 속 피해자처럼 ‘운 나쁜 한 번의 사고’가 아니라 ‘많은 작은 판단 오류의 누적 결과’라는 관점에서, 투자·보안 의사결정 프로세스를 정기적으로 점검하는 것이 장기 생존 전략입니다.
📘 용어정리
- 피싱(Phishing)·스캠 광고: 검색엔진·SNS·앱스토어의 광고 슬롯을 구매해, 공식 사이트와 매우 유사한 주소·UI를 사용하여 사용자가 지갑을 연결하도록 유도한 뒤 자산을 탈취하는 수법입니다.
- 도메인 권위(Domain Authority): 검색엔진이 특정 도메인을 ‘신뢰할 만한 사이트’로 평가하는 지수로, 권위가 낮을수록 유사 도메인이 상단에 노출될 여지가 커 피싱에 악용되기 쉽습니다.
- 소셜 엔지니어링(Social Engineering): 기술적 취약점이 아니라 사람의 심리·부주의를 파고드는 공격 방식으로, 가짜 고객지원·투자 제안·로그인 페이지 등을 통해 비밀키·시드구문·서명을 유도해 자산을 빼앗습니다.
- 무제한 승인(Allowance / Unlimited Approve): 특정 디앱이 사용자의 토큰을 ‘무제한으로 이동’시킬 수 있도록 허용하는 권한으로, 악성 컨트랙트에 승인하면 지갑의 해당 토큰이 모두 탈취될 수 있습니다.
- 익스플로잇(Exploit): 스마트컨트랙트 코드나 프로토콜 설계의 취약점을 악용해 자산을 빼내는 공격입니다. 이번 기사에서는 피싱·소셜 엔지니어링과 함께 ‘도난을 일으키는 주요 유형’으로 언급됩니다.
💡 자주 묻는 질문 (FAQ)
Q.
검색해서 들어간 Uniswap이 진짜인지 어떻게 확인하나요?
가장 안전한 방법은 즐겨찾기(북마크)나 직접 입력한 공식 도메인만 사용하는 것입니다. 예를 들어 Uniswap은 공식 X(트위터), 문서, 디스코드 등에서 링크를 제공합니다. 검색 결과 상단에 ‘광고’ 표시가 있는 링크는 일단 의심하고, 주소 철자(알파벳 하나 바뀐 경우 등), HTTPS 인증서, UI 차이(버튼 위치·텍스트)가 없는지 꼭 확인한 뒤 지갑을 연결해야 합니다.
Q.
지갑이 털리지 않으려면 최소한 무엇을 지켜야 하나요?
첫째, 시드구문·개인키를 어떤 웹사이트나 채팅창에도 절대 입력하지 않습니다(공식팀도 절대 요구하지 않습니다). 둘째, 메인 자산 지갑과 디앱 실험용 지갑을 분리합니다. 셋째, 처음 보는 사이트에서는 소액으로만 테스트하고, 트랜잭션 승인(Approve/Permit) 내용과 권한 범위를 항상 확인합니다. 넷째, 의심스러운 링크는 누르지 말고, 공식 채널에서 한 번 더 주소를 교차 확인하는 습관을 들이세요.
Q.
만약 피싱 사이트에 지갑을 연결해버렸다면 바로 무엇을 해야 하나요?
먼저, 해당 지갑에서 가능한 한 빨리 다른 새 지갑으로 자산을 옮기고, 이미 악성 컨트랙트에 승인된 토큰이 있는지 스캐너·리보크(Revoke) 서비스로 확인해 권한을 즉시 취소해야 합니다. 둘째, 사용한 기기(PC·모바일)를 악성코드 검사를 통해 점검하고, 브라우저 확장 프로그램 중 출처가 불분명한 것은 삭제합니다. 마지막으로, 같은 시드구문을 재사용한 지갑이나 연결된 서비스가 있다면 모두 새 지갑으로 마이그레이션해 2차 피해를 막는 것이 좋습니다.
TP AI 유의사항
TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>
