1월 암호화폐 해킹·사기 피해 3.7억달러…11개월 내 최대 규모

유니스왑(Uniswap) 창업자 헤이든 애덤스가 검색 엔진에 노출되는 유니스왑 사칭 광고 피해가 계속 발생하고 있다며 주의를 당부했다. 공격자는 'Uniswap' 등 키워드 광고를 구매해 검색 결과 최상단에 위조 사이트를 노출하고, 공식 웹사이트와 유사한 화면으로 사용자를 속여 지갑 연동 및 권한 승인을 유도한 뒤 자산을 탈취하고 있다. 이는 프로토콜 취약점이 아닌, 사용자의 서명·권한 승인 절차를 악용한 방식이다.

X 플랫폼 사용자 'Ika'는 검색 결과에 나온 피싱 링크를 클릭한 뒤, 보유 중인 암호화폐 지갑에서 수십만달러 상당 자산을 잃었다고 밝혔다. 그가 공개한 화면에는 위조 링크가 검색 결과 최상단에 위치해 있었으며, 실제 사이트와 거의 구분이 어려운 수준으로 설계돼 있었다. 이와 유사한 사건은 2024년 10월에도 보고된 바 있으며, 당시에도 공격자는 유니스왑 화면을 그대로 복제한 뒤 버튼을 미세하게 조작해 지갑 연결을 유도하는 수법을 썼다.

보안업체 서틱(CertiK)에 따르면 2026년 1월 한 달간 암호화폐 업계에서 취약점 악용 및 사기 등으로 인한 피해액은 약 3억7,03만달러(약 3.703억달러)에 달해, 지난 11개월 가운데 가장 큰 규모였다. 이는 2025년 1월 피해액의 약 4배 수준이다. 이 중 단일 사회공학(소셜 엔지니어링) 공격 유형에서만 약 2.84억달러가 손실됐다. 같은 기간 관련 보안 사고는 총 40건이 집계됐다.

업계 분석에 따르면 최근 암호화폐 피해는 스마트컨트랙트 자체의 치명적 결함보다는 피싱 링크, 위조 사이트·광고, 사회공학 공격 등 이용자 단의 보안 취약성을 노린 사례가 압도적으로 많다. 디파이(DeFi) 생태계가 확대되면서 주요 프로토콜과 지갑, 브릿지 등을 사칭한 브랜드 위조 및 UI(사용자 인터페이스) 기반 기만 전술이 늘고 있으며, 이는 생태계 전반의 신뢰를 떨어뜨리는 중대한 리스크로 지적된다.