암호화폐 도난 사고의 주범으로 여전히 '프라이빗 키 유출'이 지목됐다. 블록체인 보안 기업 슬로우미스트(SlowMist)가 발간한 2025년 3분기 보고서에 따르면, 해당 분기 동안 총 317건의 암호화폐 도난 사례가 접수됐으며, 이 가운데 다수는 단순한 프라이빗 키나 시드 구문 노출에서 비롯된 것으로 확인됐다.
슬로우미스트는 사용자 자산 추적 서비스 미스트트랙(MistTrack)의 결과를 기반으로 이번 분석을 공개했다. 보고서에 따르면, 실제로 자금이 부분적으로 회수되거나 동결된 사건은 단 10건에 불과했으며, 이로 인해 회수된 금액은 약 373만 달러(약 51억 8,470만 원)에 그쳤다.
해킹의 상당수는 고도화된 기술 대신 기본 인증 정보의 노출에서 발생했다. 대표적인 사례로는, 사전 구성된 시드 프레이즈를 탑재하거나 리커버리 정보를 외부로 유출하도록 조작된 위조 하드웨어 월렛 판매가 지목됐다. 해당 장비에 자산을 입금한 순간부터 공격자는 자유롭게 자산을 탈취할 수 있는 구조다.
슬로우미스트는 사용자가 반드시 공식 판매처를 통해 하드웨어 월렛을 구입할 것과, 월렛 내에서 직접 시드 프레이즈를 생성하며, 초기에는 소액 테스트 송금을 실시할 것을 권장했다. 포장을 정확히 확인하고, 프리셋된 복구 카드가 포함된 제품을 피하는 것도 중요한 보안 수칙으로 꼽았다.
이와 함께 보고서는 점점 정교해지고 있는 피싱 및 사회공학적 수법에 대한 경각심도 촉구하고 있다. 특히 EIP-7702 사양을 악용한 위임형 피싱 사례가 일부 보고됐는데, 피해자는 이를 정상적인 트랜잭션으로 인식하고 계약을 승인하는 순간 자동으로 자산이 송금되는 방식이다.
또 하나의 사례로 언급된 사건에서는 링크드인(LinkedIn)을 악용한 사회공학적 접근이 포함됐다. 구직자들을 상대로 서서히 신뢰를 쌓은 후 ‘카메라 드라이버 설치’를 요구하면서 악성코드를 설치하게 만든 수법이다. 한 피해자는 공격자가 줌(Zoom) 화상회의 중 크롬 확장 프로그램을 조작해 침투하는 방식으로 총 1,300만 달러(약 180억 7,000만 원)를 탈취당했다.
전통적인 해킹 방식도 여전히 위협적이다. 구글(Google) 광고를 가장한 가짜 대시보드나, 디파이 플랫폼을 모방한 피싱 사이트가 수백만 달러 상당의 피해를 일으켰고, 미사용 디스코드(Discord) 링크를 악용한 커뮤니티 사칭도 빈번했다. 실제로 Aave를 사칭한 피싱 피드에서는 약 120만 달러(약 16억 6,800만 원)의 자산 탈취 사건이 발생했다.
한편 사용자를 속이는 방식은 기술적인 위장도 포함하고 있다. 일부 공격자는 CAPTCHA 창처럼 보이는 코드 입력 창을 만들어 사용자가 직접 악성 명령어를 복사해 실행하도록 유도했다. 이 코드들은 사용자의 월렛 정보, 브라우저 쿠키, 심지어 프라이빗 키까지 추출하는 악성 기능을 실행한다.
슬로우미스트는 “Web3 해킹의 본질은 복잡한 기술이 아니라 일상적인 행동의 허점을 노리는 것”이라며, “한 번 더 확인하고, 출처를 반드시 검증하며, 무심코 클릭하는 행위를 멈추는 것만으로도 많은 피해를 막을 수 있다”고 강조했다.
암호화폐 도난 수법이 고도화되고 있는 만큼, 사용자 스스로의 경계심과 기본 보안 수칙 준수는 그 어느 때보다 중요해지고 있다. 키 관리 실수로 수억 원의 재산을 날릴 수도 있다는 점에서 관련 커뮤니티와 사용자들은 각별한 주의가 요구된다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>