XRPL서 ‘가짜 NFT 패스’ 미끼 사기 확산…Xaman 개발자 “어떤 패스·NFT도 배포 안 해”

XRP 레저(XRPL)에서 ‘가짜 NFT 패스’를 미끼로 지갑 이용자를 속이는 신종 사기가 확산하고 있다. 기술적 해킹이 아니라 이용자의 ‘실수’ 한 번을 노리는 소셜 엔지니어링 방식이라는 점에서 XRP 커뮤니티의 경계감이 커지는 분위기다.

개발자 “Xaman은 어떤 패스·NFT도 배포하지 않는다”

XRP 커뮤니티의 대표 지갑 중 하나인 자만(Xaman) 개발자 비에체 윈드(Wietse Wind)는 최근 엑스(X)를 통해 “자신과 팀은 어떤 형태의 패스나 NFT도 배포하지 않는다”며 주의를 당부했다. 지갑으로 ‘패스 지급’ ‘NFT 에어드롭’ 등을 내세우는 메시지나 자산이 들어온다면, 정상 이벤트가 아니라 사기 세력의 미끼일 가능성이 높다는 설명이다.

이번 수법의 핵심은 공격자가 임의로 NFT를 지갑에 ‘보내놓고’ 피해자가 그 자산과 연결된 제안(오퍼)에 반응하길 기다린다는 점이다. 이용자가 오퍼를 수락하거나 트랜잭션 서명을 진행하는 순간, 겉보기엔 그럴듯한 교환처럼 보이지만 실제로는 가치 있는 무언가를 내주고 ‘쓸모없거나 악성인 토큰’을 받는 구조가 될 수 있다. 윈드는 이를 두고 “나쁜 거래를 내밀었는데 피해자가 자발적으로 받아들이는 것과 같다”는 취지로 경고했다.

보안 관측자들도 이번 사안을 “XRPL 자체의 결함이나 해킹, 기술적 침해와는 무관하다”고 선을 긋는다. 랜덤하게 등장한 NFT가 지갑에 보인다면 ‘적색 신호’로 받아들이고, 예상치 못한 토큰과 관련된 항목은 클릭·서명·연결 등 어떤 상호작용도 하지 말아야 한다는 조언이 나온다. 결국 취약점은 프로토콜이 아니라 사용자 행동에 있고, NFT 코드 수준의 변경만으로는 문제를 완전히 해소하기 어렵다는 게 윈드의 판단이다.

사기 오퍼 취소 방법…‘Events’·‘Requests’에서 즉시 Cancel

윈드는 피해 예방을 위해 구체적인 대응 방법도 공유했다. 자만 지갑 이용자는 ‘Events’와 ‘Requests’ 메뉴로 이동해 의심스러운 오퍼를 찾은 뒤 ‘Cancel’ 버튼으로 취소하면 된다. 그는 “오퍼를 무시하고 아무 상호작용도 하지 않으면 자금 손실은 발생하지 않는다”면서도, 불안 요인을 남기지 않기 위해 의심 오퍼는 즉시 취소하는 편이 안전하다고 강조했다.

커뮤니티 차원에서도 실제 사례 공유가 이어지고 있다. 엑스에서 ‘Crypto Analytics’라는 이름으로 활동하는 한 블록체인 이용자는 비톰프(Bithomp) 지갑에서 유사한 사기 오퍼를 직접 받았다고 밝혔다. 그는 XRPL 랩스(XRPL Labs) 측이 해당 NFT 오퍼를 ‘사기’로 표시해 이용자에게 추가 경고를 제공하고 있다고 덧붙였다.

이번 사건은 NFT가 ‘보유’되는 것 자체보다, 그 이후 이어지는 오퍼 수락과 서명 과정에서 위험이 발생한다는 점을 다시 확인시킨다. XRPL을 포함한 크립토 시장 전반에서 소셜 엔지니어링 기반 사기가 정교해지는 만큼, 커뮤니티 내 정보 공유와 기본 보안 수칙 준수가 피해를 줄이는 핵심 변수로 떠오르고 있다.

“프로토콜이 아니라 ‘내 클릭’이 취약점”… 소셜 엔지니어링을 이기는 법, 토큰포스트 아카데미에서

XRPL ‘가짜 NFT 패스’ 사기는 해킹이 아니라, 이용자의 오퍼 수락과 트랜잭션 서명 같은 “단 한 번의 실수”를 노립니다. 지갑에 갑자기 들어온 NFT/토큰 자체보다, 그 뒤에 따라오는 Requests·Events의 의심 오퍼를 어떻게 식별하고 차단하느냐가 피해를 가르는 핵심입니다.

이런 유형의 사기에서 살아남는 가장 확실한 방법은 ‘감’이 아니라 구조(거래 방식)와 데이터(온체인)를 이해하는 것입니다. 토큰포스트 아카데미는 뉴스에서 끝나지 않고, 실제로 내 지갑과 자산을 지키는 기준을 만들어드립니다.

• Phase 1: The Foundation (기초와 진입) — 지갑 보안과 기본 원리부터 탄탄히

  Wallet security (IMPORTANT) ⚠️: 해킹보다 더 흔한 ‘서명 실수’·피싱·오퍼 유도에 당하지 않는 기본 수칙을 먼저 세웁니다.

  Crypto wallet basics & addresses / Hot wallets vs cold wallets / Using MetaMask: 주소·권한·서명 개념을 이해해 “무엇을 승인하는지”를 명확히 구분합니다.

• Phase 2: The Analyst (가치 평가와 분석) — ‘정상 에어드롭처럼 보이는 미끼’를 데이터로 걸러내기

  Onchain Analysis / How to Use a Blockchain Explorer: 탐색기 기반으로 수상한 트랜잭션/오퍼 흐름을 확인하는 습관을 만듭니다.

  Tokenomics: 겉보기만 그럴듯한 토큰/오퍼가 왜 위험한지, 구조적으로 판단하는 기준을 학습합니다.

• Phase 5: The DeFi User (탈중앙화 금융) — “수익”을 미끼로 한 오퍼/서명 유도에 속지 않는 원리

  Lending & Borrowing (LTV, Liquidation): 버튼 한 번이 어떤 리스크로 이어지는지(청산/담보/권한) 구조적으로 이해합니다.

  Divergence (Impermanent) Loss: 보상만 보고 들어갔다가 손실로 이어지는 함정을 계산으로 검증합니다.

지갑 화면에 뜨는 ‘선물’이 진짜인지, 내 자산을 노리는 ‘오퍼’인지—이제는 스스로 판별할 실력이 필요합니다. 토큰포스트 아카데미에서 클릭하기 전 판단하는 투자자로 레벨업하세요.

토큰포스트 아카데미 수강 신청하기

커리큘럼: 기초부터 디파이, 선물옵션까지 7단계 마스터클래스

첫 달 무료 이벤트 진행 중!

바로가기: https://www.tokenpost.kr/membership

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.