유튜브 계정 활용한 암호화폐 탈취 수법 확산…스마트 컨트랙트로 속인다

사이버 범죄자들이 오래된 유튜브 계정을 활용해 암호화폐 자동 거래 봇을 홍보하는 방식으로 피해자들을 속이고 있다고 미국 사이버 보안 기업 센티널랩스(SentinelLABS)가 경고했다. 해당 자동 거래 봇에는 암호화폐를 탈취하는 스마트 컨트랙트가 교묘하게 숨겨져 있어, 사용자가 이를 자신의 지갑에 배포할 경우 자산이 고스란히 공격자 지갑으로 빠져나가게 된다.

센티널랩스의 수석 위협 연구원 알렉스 델라모트(Alex Delamotte)는 최근 공개한 보고서에서 이 사기 수법이 2024년부터 소셜미디어에 공유되는 유튜브 영상을 통해 급속히 퍼졌으며, 사실상 전 세계적으로 지속적으로 진행 중인 대규모 사기라며 주의를 당부했다. 해당 영상들은 암호화폐 초보자들에게 실용적인 거래 팁이나 자동 거래 봇의 코드를 제공한다는 명분으로 접근하고 있다.

피해자가 해당 스마트 컨트랙트를 자신의 지갑에 배포하면, 코딩 내부에 숨겨진 공격자의 지갑 주소가 거래 주소로 위장된 채 자동 삽입된다. 이후 피해자가 스마트 컨트랙트에 자신의 자금을 입금하는 순간, 탈취가 시작된다. 센티널랩스는 공격자가 직접 지갑을 빈 채로 대기시킨 후 사용자가 자금을 넣을 시점에만 작동하게 해, 아무런 의심 없이 피해가 이뤄지도록 설계했다고 설명했다.

델라모트는 “암호화폐 생태계는 점점 더 복잡해지고 있으며, 사용자의 사전 검토 없이 도구를 사용하는 습관은 이처럼 정교한 사기 도구 앞에서는 속수무책이 될 수밖에 없다”며, 관련 툴의 입력값과 출력값을 면밀히 검토할 필요성을 강조했다.

이 같은 사기 건은 특히 스마트 컨트랙트를 자유롭게 배포할 수 있고, 탈중앙화된 거래 환경이 보장된 이더리움(ETH) 기반 생태계에서 빈번히 발생하고 있다. 전문가들은 유튜브나 트위터 등 플랫폼에 공유되는 AI 기반 암호화폐 관련 자동화 도구를 사용할 때 반드시 검증된 소스인지 확인하고, 스마트 컨트랙트 소스코드를 분석할 역량이 없다면 사용을 자제할 것을 조언하고 있다.