지연형 승인 사기, 458일 만에 12억 원 피해…USDC 노린 정밀 공격 적발

한 암호화폐 사용자가 피싱 사이트에서 서명한 승인 거래로 인해 458일 뒤 약 12억 6,296만 원(908,551달러) 상당의 피해를 입은 것이 확인됐다. 탈취된 자산은 USD코인(USDC)으로, 이는 최근 들어 빈번히 발생하는 이른바 ‘지연형 승인 사기’의 대표 사례로 꼽힌다.

사건의 발단은 2024년 4월 30일이었다. 피해자가 ERC-20 토큰의 권한 승인 승인 거래를 악성 계약에 무심코 서명하면서, 공격자가 피해자의 지갑에 무기한 접근할 수 있도록 허용하게 된 것이다. 암호화폐 보안 전문 계정인 스캠 스니퍼(Scam Sniffer)가 밝혔듯, 이번 절도는 8월 2일 오전 4시 57분(UTC)에 발생했으며, 피싱 사이트나 가짜 에어드랍을 통해 유도된 가능성이 크다고 분석된다.

이번 공격을 실행한 지갑은 악명 높은 ‘pink-drainer.eth’와 연결돼 있는 주소 ‘0x67E5Ae’로 파악됐다. 범인은 피해자의 지갑에서 USDC를 단숨에 탈취해 이동시켰으며, 이 거래의 상세 내역은 이더스캔(Etherscan)을 통해 실시간으로 추적 가능하다.

이번 사건은 단순한 해킹이 아닌 ‘시간이 지난 후 발동되는 권한 승인’이라는 점에서 암호화폐 사용자들의 보안 경각심을 다시 한번 일깨우고 있다. 스캠 스니퍼는 "오래된 승인 내역을 주기적으로 검토하고 필요 시 철회하는 습관이 필요하다"며, 이를 방치할 경우 “피땀 흘려 모은 자산이 언제든 탈취될 수 있다”고 경고했다. 이어 “지갑 보안은 옵션이 아니라 필수”라고 강조했다.

이번 사례는 사용자 부주의가 장기간 방치되었을 때 얼마나 치명적인 결과로 이어질 수 있는지를 보여주는 대표적인 경고 신호다. 암호화폐 사용자는 반드시 모든 스마트컨트랙트 권한 승인 이력을 정기적으로 되짚는 보안 점검 습관을 가져야 한다.