링크복사
공유
댓글
추천
스크랩
인쇄
글자크기

링크가 복사되었습니다.

글자크기

가

작게

가

보통

가

크게

가

매우크게

암호화폐 사회

깃허브 개발자 노린 ‘에어드롭 피싱’ 확산…지갑 연결 순간 자산 탈취

서도윤 기자

2026.03.20 (금) 00:57

깃허브에서 오픈클로 개발자를 겨냥한 피싱 공격이 확산되며 가짜 에어드롭으로 지갑 연결을 유도하고 자산을 탈취하는 사례가 확인됐다.

복제 사이트와 월렛 드레이너를 활용한 사회공학 공격으로 개발자 커뮤니티 대상 보안 우려가 커지고 있다.

깃허브 개발자 노린 ‘에어드롭 피싱’ 확산…지갑 연결 순간 자산 탈취 / TokenPost.ai

깃허브(GitHub)에서 오픈클로(OpenClaw) 개발자들을 겨냥한 ‘피싱’ 공격이 확산하고 있다. 가짜 토큰 에어드롭(무료 배포) 당첨을 미끼로 암호화폐 지갑 연결을 유도한 뒤, 자산을 빼돌리는 방식이다.

가짜 ‘CLAW 토큰 5,000달러’ 미끼…이슈 스레드에서 태그로 접근

텔아비브 기반 사이버보안 업체 OX 시큐리티는 19일(현지시간) 공개한 블로그를 통해 공격자들이 허위 깃허브 계정을 만든 뒤, 오픈클로 관련 저장소(repositories)에서 활동한 개발자들을 이슈(issue) 스레드에 태그해 접근하고 있다고 밝혔다.

공격자는 “약 5,000달러(약 748만 원) 상당의 CLAW 토큰을 받게 됐다”는 식의 메시지로 피해자를 유인했다.

오픈클로 홈페이지 ‘복제 사이트’로 유도…지갑 연결 순간 ‘드레이너’ 작동

피해자가 안내 링크를 클릭하면 오픈클로 공식 웹사이트와 거의 동일하게 만들어진 복제 페이지로 연결된다. 차이는 ‘지갑 연결’ 버튼이 추가돼 있다는 점이다.

이 페이지에서 메타마스크(MetaMask), 월렛커넥트(WalletConnect), 트러스트 월렛(Trust Wallet) 등 주요 지갑 연결을 지원해 피해 범위를 넓혔다고 OX 시큐리티는 설명했다.

지갑을 연결하는 순간 페이지에 숨겨진 악성 코드가 거래 서명이나 토큰 승인(approve)을 유도해 공격자가 자금을 ‘인출’할 수 있는 권한을 확보할 수 있다. 업계에선 이런 유형을 ‘월렛 드레이너(wallet drainer)’로 분류한다.

개발자 커뮤니티 노린 사회공학…“에어드롭·보상 가장한 지갑 연결”

이번 사례는 크립토 영역에서 반복되는 공격 패턴을 그대로 보여준다. 사회공학적 접근으로 신뢰를 만든 뒤, 지갑 연결을 요구하는 방식이다. 겉으로는 에어드롭이나 개발자 보상처럼 보이지만, 실상은 승인 권한을 빼앗아 자산을 이동시키는 구조다.

특히 공격자는 오픈클로 관련 리포지토리에 반응(커밋, 이슈 참여 등)을 보였던 깃허브 계정을 골라 연락해, 메시지의 ‘그럴듯함’을 높였다.

오픈소스 AI 툴 ‘오픈클로’, 이름 악용한 스캠 논란 이어져

오픈클로는 오픈소스 AI 에이전트 프레임워크이자 개발자 도구로 최근 주목받았지만, 동시에 프로젝트 이름을 악용한 크립토 스캠(사기) 논란에 휘말려 왔다.

오픈클로 창립자 피터 슈타인베르거(Peter Steinberger)는 지난달 “크립토 때문에 코드베이스 전체를 삭제할 뻔했다”며 “그들이 괴롭힘만 잘하는 줄 알았는데, 스크립트와 도구를 활용하는 데도 정말 능숙하다는 걸 알게 됐다”고 언급한 바 있다.

디스코드 ‘크립토 언급 금지’까지…가짜 토큰 한때 1,600만달러 시총

앞서 그는 오픈클로 디스코드(Discord)에서 비트코인(BTC) 등 크립토 관련 언급을 전면 금지했다. 이는 지난 1월 사기범들이 오픈클로의 과거 계정을 탈취한 뒤 가짜 ‘CLAWD’ 토큰을 홍보한 사건의 여파다.

당시 해당 토큰은 한때 시가총액 1,600만 달러(약 239억 원)를 찍었지만, 슈타인베르거가 “프로젝트와 무관하다”고 공개 부인하면서 급락한 것으로 전해졌다.

이번 피싱 캠페인은 개발자들이 일상적으로 사용하는 협업 채널을 공격 표면으로 삼았다는 점에서 파장이 작지 않다. 업계는 ‘지갑 연결’이나 승인 요청이 포함된 링크는 출처를 재차 확인하고, 프로젝트 공식 공지 채널과 대조하는 기본 수칙이 어느 때보다 중요해졌다고 보고 있다.

기사요약 by TokenPost.ai

🔎 시장 해석

- GitHub 이슈/태그 기능이 ‘신뢰 기반 협업 채널’이라는 점을 악용한 크립토 피싱이 확산

- 에어드롭·보상·당첨 안내처럼 보이지만, 핵심은 지갑 연결 후 ‘승인(Approve) 권한’ 탈취로 자산을 빼가는 월렛 드레이너 방식

- OpenClaw처럼 인지도가 급상승한 오픈소스 프로젝트는 ‘브랜드 도용(클론 사이트·가짜 토큰)’ 표적이 되기 쉬움

💡 전략 포인트

- ‘지갑 연결’ 또는 ‘토큰 승인(Approve)’이 포함된 링크는 무조건 출처 재검증(공식 도메인/공식 공지 채널과 대조)

- GitHub 이슈에서의 태그/DM 유입은 피싱 가능성 높음: 보상·에어드롭 제안은 원칙적으로 무시

- 지갑 연결 전 확인 체크리스트: 도메인 철자(유사 도메인)·SSL·공식 SNS/디스코드 공지 여부·요청 서명/승인 내용

- 이미 승인했다면: 해당 체인에서 즉시 토큰 승인 취소(Revoke) + 지갑 분리(자산 이동) + 의심 사이트/계정 신고

📘 용어정리

- 피싱(Phishing): 신뢰할 만한 대상(프로젝트/기업/지인)으로 위장해 민감정보나 서명 권한을 탈취하는 공격

- 에어드롭(Airdrop): 토큰을 무료로 배포하는 마케팅/보상 방식(이를 미끼로 악용되는 사례 다수)

- 지갑 드레이너(Wallet Drainer): 사용자가 서명/승인을 하게 만들어 토큰을 인출할 권한을 획득하는 악성 수법

- 토큰 승인(Approve): 특정 주소(스마트컨트랙트 등)가 내 토큰을 전송할 수 있도록 허용하는 권한 부여

💡 자주 묻는 질문 (FAQ)

이번 GitHub 피싱 공격은 어떤 방식으로 자산을 훔치나요?

공격자는 GitHub 이슈 스레드에서 개발자를 태그해 ‘CLAW 토큰 에어드롭 당첨’ 같은 메시지로 링크 클릭과 지갑 연결을 유도합니다. 링크는 오픈클로 공식 사이트와 유사한 복제 페이지이며, 지갑을 연결하는 순간 거래 서명이나 토큰 승인(approve)을 유도해 공격자에게 자산 인출 권한을 넘기게 됩니다.

‘지갑 연결’이 왜 위험할 수 있나요? 연결만 하면 바로 털리나요?

단순 연결 자체가 즉시 출금으로 이어지기보다, 연결 후 이어지는 ‘서명(Sign)’이나 ‘승인(Approve)’ 단계가 핵심 위험 구간입니다. 사용자가 승인에 동의하면 공격자가 토큰을 이동시킬 수 있는 권한을 얻게 됩니다. 따라서 연결 이후 뜨는 요청(서명/승인)의 대상 주소, 권한 범위(무제한 승인 여부) 등을 확인하지 않으면 피해로 이어질 수 있습니다.

이미 의심 링크에서 승인(Approve)까지 했을 때, 무엇을 먼저 해야 하나요?

우선 해당 체인에서 승인된 토큰 권한을 즉시 취소(Revoke)하고, 가능하면 새 지갑으로 자산을 옮겨 지갑을 분리하는 것이 좋습니다. 이후 GitHub의 해당 계정/이슈, 피싱 도메인, 관련 디스코드/공식 채널에 신고해 추가 피해를 줄이세요. 향후에는 프로젝트 공식 공지 채널과 도메인을 대조한 뒤에만 지갑 연결을 진행하는 습관이 필요합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.

뉴스를 실시간으로...토큰포스트 텔레그램 가기

당신의 최대 리스크는 시장이 아닙니다.
당신 자산입니다.

내 투자 DNA 확인하기 →

본 기사는 시장 데이터 및 차트 분석을 바탕으로 작성되었으며, 특정 종목에 대한 투자 권유가 아닙니다.

광고문의 기사제보 보도자료

#깃허브 #피싱공격 #지갑보안 #오픈클로 #에어드롭 #월렛드레이너