클릭 한 번에 42억 원 증발…EIP-7702 피싱 사기 피해 확산

암호화폐 지갑 승인 기능을 악용한 정교한 피싱 공격으로 인해 한 투자자가 305만 달러(약 42억 3,950만 원)를 잃는 사건이 발생했다. 사기범은 단 한 건의 지갑 서명을 유도해, 피해자의 Aave 기반 USDT 토큰(aEthUSDT)을 전부 탈취한 것으로 드러났다.

피해자가 보유한 이더리움 계열 지갑은 최근 피싱용 스마트 컨트랙트와 상호작용했으며, 이를 통해 공격자는 사전에 위장된 허가 요청을 유도했다. 블록체인 보안업체 루콘체인(Lookonchain), 펙실드(PeckShield), 스캠 스니퍼(Scam Sniffer)는 이 사건에 대해 "피해자가 직접 자금을 조회하거나 입금한 것이 아니라, 기존 권한으로 실행된 거래 승인 요청을 단지 '클릭'한 것만으로 모든 자산이 이체됐다"고 분석했다. 허가 서명이 실제 거래 승인과 연결되면서 지갑 통제가 무력화된 셈이다.

이번 공격은 EIP-7702 표준을 적용한 지갑에서 흔히 목격되는 새로운 유형의 사기 수법의 일환으로, 피해자가 무심코 서명한 묶음 전송(batch transfer)을 통해 이뤄졌다. 피해자는 합법적인 디파이 거래처럼 보이도록 조작된 위조된 유니스왑(Uniswap) 스왑 과정을 통해 토큰을 이체했다. 실제로 이런 유형의 공격으로 최근 다른 사용자들도 14만 6,551달러(약 2억 380만 원), 6만 6,000달러(약 9,170만 원)를 잃는 등 지속적인 피해가 보고되고 있다.

주목할 점은, 피싱 서명 후 수개월이 지나서도 이런 방식의 자산 탈취가 가능하다는 것이다. 스캠 스니퍼는 단 5일 전에도 "무려 15개월 전 승인된 권한으로 인해 한 사용자가 90만 8,000달러(약 12억 6,220만 원)를 날렸다"고 경고한 바 있다. 전문가들은 오래된 권한을 자주 검토하고 폐기하는 것이 보안을 지키는 핵심이라고 강조하고 있다.

2024년 한 해 동안 암호화폐 사기로 인한 피해 총액은 46억 달러(약 6조 3,940억 원)에 이르며, 전체 고액 범죄 중 40%가 AI 기반 피싱 또는 영상 위조(deepfake) 기술에 의해 발생했다는 보고가 나왔다. 블록체인 분석 기업 비트겟(Bitget)의 보고서에 따르면, 사기범들은 갈수록 정교한 수법으로 사용자의 경계를 무력화하고 있다.

피해를 막기 위해 사용자들은 반드시 서명 전 URL이 공식 출처인지 확인하고, 실제 자산 이동이 연결되는지 여부를 검증해야 한다. 특히 묶음 전송이나 디앱 권한 요청, KYC 페이지 링크 등은 번거롭더라도 다시 한 번 확인하는 습관이 중요하다. 아무리 많은 자산이나 경험이 있어도, 한 번의 부주의한 서명이 수천만 원에서 수십억 원의 손실을 부를 수 있다.

현재 비트겟, 슬로우미스트(SlowMist), 엘립틱(Elliptic) 등 보안 업체들은 3억 달러(약 4,170억 원) 규모의 안티 스캠 허브를 구축하는 등 대응에 나서고 있으나, 모든 공격을 실시간으로 차단하긴 어렵다. 보안 전문가들과 업계는 한 목소리로 당부한다. “모든 온체인 서명은 의심부터 시작하라.”