[블록미디어 정아인 기자] “지난 2년간 거래 승인을 유도하는 피싱(Approval phishing)이 급증했다. 올해 피해액만 최소 3억 7400만 달러(약 4850억 원)에 육박했다.”
블록체인 데이터 분석 기업 체이널리시스가 ‘2024 가상자산 범죄 보고서 – 피싱 스캠(Phishing Scam)’을 지난 14일 발표했다.
2022년 거래 승인 피싱 스캠 손실액은 5억 1680만 달러(한화 약 6703억 9296만 원)로 추정되며, 올해 11월까지 손실액은 3억 7460만 달러(약 4857억 8128만 원)에 이른다.
거래 승인 피싱 스캠 범죄자들이 벌어들인 수익은 2022년 5월 최고치를 기록했다.
# 로맨스 스캠 방식으로 내 코인 빼간다
거래 승인 피싱은 허위 가상자산 앱을 통해 불특정 다수를 범행 대상으로 삼았으나 최근 전술을 ‘로맨스 스캠’ 전략으로 변경했다. 특정 인물에게 집중하고 관계를 구축해 악의적인 블록체인 거래에 서명하도록 유도하는 방식이다.
기존 가상자산 스캠은 피해자를 속여 가상자산을 송금하게 했다. 거래 승인 피싱은 사용자를 속여 스스로 거래에 서명하게 해 범죄자가 피해자의 지갑에서 토큰을 인출할 수 있는 권한을 부여한다.
거래 승인 피싱의 전형적인 온체인 패턴은 크게 두 단계다.
첫째, 피해자가 자신도 모르게 두 번째 주소를 승인하게 한다.
둘째, 범죄자들이 두 번째 주소를 이용해 새로운 주소(목적지)로 자금을 빼돌린다.
거래 승인 피싱은 이더리움과 같은 스마트 컨트랙트 지원 블록체인의 탈중앙화 앱(dApp, 디앱)에서 자주 목격된다. 가상자산 사용자가 디앱에서 승인 서명을 하는 것에 익숙하다는 점을 악용한 것.
범죄자들이 허위 유니스왑 승인 피싱 스캠을 홍보하고 위조된 이더스캔 페이지에서 지갑을 연결하도록 사용자를 속이는 방식도 있다.
체이널리시스는 “로맨스 스캠 수법을 사용한 것으로 알려진 주소를 역추적했다. 거래 승인 피싱에 연루된 1013개의 주소를 확인했다”라며, “이를 통해 2021년 5월 이후 거래 승인 피싱 스캠으로 인한 피해는 약 10억 달러(약 1조 2974억 원)로 추정했다. 하지만 이 수치도 로맨스 스캠의 신고가 저조한 특성으로 인해 실제 규모를 과소평가하고 있을 가능성이 높다”라고 강조했다.
# 소수 범죄자가 주도
조사 결과, 스캠의 대부분을 성공률이 높은 소수의 범죄자가 주도하는 것으로 나타났다.
가장 많이 성공한 거래 승인 피싱 주소에서만 4430만 달러(약 575억 원)가 도난 당한 것으로 의심된다. 이는 연구 기간 도난 당한 것으로 추정되는 총금액의 4.4%에 해당한다.
가장 큰 피싱 주소 10개가 도난 당한 전체 금액의 15.9%를 차지했으며, 상위 73개 주소가 전체의 절반을 차지했다.
체이널리시스는 “이러한 스캠에 대응하기 위해선 사용자 교육, 패턴 인식 전술, 모니터링 등의 전략이 필요하다. 거래 승인 피싱이 의심되는 통합 지갑을 모니터링하고 이 지갑에서 중앙화 거래소로 이동하는 자금을 동결하는 것은 추가 손실을 방지하는 데 중요한 단계”라고 조언했다.
같이 보면 좋은 기사
[인터뷰] “코드는 거짓말을 할 수 없다…투자자·프로젝트·거래소 위한 플랫폼 만든다”–티오리 박세준 대표 (1)