가짜 ‘레저 라이브’ 앱 피해 확산…50여명 노려 950만달러 빼갔다

이준한 기자

2026.04.14 (화) 23:51

온체인 조사관 잭XBT는 애플 앱스토어에 올라온 가짜 ‘레저 라이브’ 앱이 4월 7~13일 사이 50명 넘는 피해자에게서 약 950만달러의 암호화폐를 탈취했다고 밝혔다.

레저 CTO는 복구 문구를 요구하는 앱은 모두 의심해야 한다고 경고했으며, 이번 사건은 공식 앱 유통망도 공격 대상이 될 수 있음을 보여줬다.

가짜 ‘레저 라이브’ 앱 피해 확산…50여명 노려 950만달러 빼갔다 / TokenPost.ai

온체인 조사관 잭XBT(ZachXBT)는 애플 앱스토어에 올라온 가짜 ‘레저 라이브’ 앱이 4월 7일부터 13일 사이 50명 넘는 피해자에게서 약 950만달러, 한화 약 139억8000만원 상당의 암호화폐를 빼앗는 데 연관됐다고 밝혔다. 이번 사건은 비트코인(BTC)과 이더리움(ETH), 솔라나(SOL), 트론(TRX) 등 여러 네트워크 이용자를 동시에 노렸다는 점에서 파장이 크다.

13일(현지시간) 잭XBT가 텔레그램에 올린 내용에 따르면 도난 자금은 쿠코인(KuCoin) 입금 주소 150곳 이상을 거쳐 세탁됐고, 그는 이를 중앙화 혼합 서비스로 보이는 ‘오디 A6’와 연결했다. 다만 애플과 쿠코인은 보도 시점까지 공식 입장을 내놓지 않았고, 피해 규모와 피해자 수 역시 잭XBT의 조사 결과에 기반한 상태다.

가장 큰 피해 사례는 세 건으로 집계됐다. 한 피해자는 비트코인(BTC), 스테이킹 이더(stETH), 이더리움(ETH)까지 합쳐 약 195만달러를 잃었고, 또 다른 피해자는 4월 9일 USDt(USDT) 323만달러를 도난당했다. 4월 11일에는 USDC(USDC) 약 200만달러 피해도 확인됐다.

레저(Ledger) 최고기술책임자(CTO) 찰스 귀예메는 코인텔레그래프에 “레저는 24단어 복구 문구를 절대 요구하지 않는다”며 “브라우저도, 앱스토어도, 데스크톱도 신뢰할 수 없다”고 말했다. 공식처럼 보이는 환경도 안전하다고 단정해서는 안 된다는 뜻이다.

이번 사건은 전날에도 유사 사례가 보고된 뒤 이어졌다. 뮤지션 개럿 더튼, ‘G. 러브’로 알려진 인물도 애플 앱스토어에서 악성 앱을 내려받고 시드 문구를 입력한 뒤 약 42만달러 상당의 비트코인(BTC)을 잃었다고 밝혔다. 잇따른 피해는 앱스토어 같은 공식 유통망도 공격 대상이 될 수 있다는 점을 다시 보여준다.

에이브, 수익 전부 DAO 귀속안 통과…토큰 가치 재평가 분기점 맞나

알파리포트 전문 보기 →

기사요약 by TokenPost.ai

🔎 시장 해석
공식 앱스토어까지 침투한 피싱 앱 사례로, 암호화폐 보안 리스크가 다시 부각됨
멀티체인 이용자를 동시에 노린 공격으로 시장 전반의 신뢰도에 단기적 부담 가능
중앙화 거래소를 통한 자금 세탁 경로도 다시 논쟁 포인트 부각

💡 전략 포인트
지갑 앱은 반드시 공식 웹사이트에서 직접 다운로드 필요
시드 문구(복구 문구) 입력 요구는 100% 사기 신호로 간주해야 함
앱스토어·검색 결과 상위 노출도 신뢰 기준이 될 수 없음
소액 테스트 전송 및 다중 지갑 분산 보관 전략 고려

📘 용어정리
시드 문구: 지갑 복구를 위한 12~24개 단어로, 유출 시 자산 전체 탈취 가능
온체인 분석: 블록체인 거래 데이터를 추적하여 자금 흐름을 파악하는 기법
믹싱 서비스: 자금 출처를 숨기기 위해 거래를 섞는 서비스
스테이블코인: 달러 등 법정화폐 가치에 연동된 암호화폐