최근 블록체인 보안 기업 슬로우미스트(SlowMist)가 발표한 2025년 3분기 보고서에 따르면, 암호화폐 도난 사고의 가장 큰 원인은 여전히 ‘프라이빗 키 유출’로 확인되었다. 해당 분기 동안 317건의 암호화폐 도난 사건이 접수되었으며, 많은 사건이 단순한 프라이빗 키나 시드 구문 노출에서 비롯된 것으로 나타났다. 보고서에서 자산 추적 서비스 미스트트랙(MistTrack)의 데이터를 토대로 분석한 결과, 자금이 회수되거나 동결된 사건은 겨우 10건에 불과했으며, 회수된 금액은 약 373만 달러(약 51억 8,470만 원)로, 피해 규모에 비해 극히 미미한 수준이었다.
슬로우미스트는 해킹 사건 대부분이 정교한 기술보다는 기본적인 인증 정보의 노출에서 발생한다고 밝혔다. 특히, 사전에 설정된 시드 프레이즈를 장착하거나 복구 정보를 외부로 유출하도록 조작된 위조 하드웨어 월렛 판매가 주요 사례로 지목되었다. 이러한 위조 장치에 자산을 입금하는 즉시, 공격자는 자유롭게 자산을 탈취할 수 있는 구조로 되어 있다. 이를 방지하기 위해 슬로우미스트는 사용자가 반드시 공식 판매처에서만 하드웨어 월렛을 구입해야 하며, 월렛 내에서 직접 시드 프레이즈를 생성하고, 초기에는 소액부터 테스트 송금을 진행할 것을 권장하였다. 또한, 포장 상태를 확인하고 프리셋된 복구 카드가 포함된 제품을 피하는 것이 중요한 보안 수칙으로 강조되었다.
그뿐만 아니라 보고서는 점점 더 정교해지고 있는 피싱 및 사회공학적 수법에 대한 경각심을 고취하고 있다. 특히 EIP-7702 사양을 악용한 위임형 피싱 사례가 발견되었는데, 피해자는 이를 정상적인 트랜잭션으로 오인하고 계약을 승인하는 순간 자산이 자동으로 송금되는 방식이다. 이어서, 링크드인(LinkedIn)을 악용해 구직자들과의 신뢰를 쌓은 뒤 ‘카메라 드라이버 설치’를 요구하여 악성코드를 심는 방법이 언급되었다. 한 피해자는 공격자가 줌(Zoom) 화상회의 중 크롬 확장 프로그램을 조작하여 1,300만 달러(약 180억 7,000만 원)의 자산을 탈취당한 사건도 발생했다.
전통적인 해킹 방식 또한 여전히 심각한 위협으로 남아 있다. 구글(Google) 광고를 사칭한 가짜 대시보드나 디파이 플랫폼 모방 피싱 사이트 등이 수백만 달러 상당의 피해를 초래했으며, 미사용 디스코드(Discord) 링크를 악용한 커뮤니티 사칭 사건도 빈번하게 발생하고 있다. 예를 들어, Aave를 사칭한 피싱 피드에서는 약 120만 달러(약 16억 6,800만 원)가 탈취된 사례가 있었다.
뿐만 아니라 일부 공격자는 사용자를 속이는 기술적 위장 수법을 사용하고 있다. CAPTCHA 창처럼 보이는 코드 입력 창을 만들어 사용자가 직접 악성 명령어를 복사하여 실행하도록 유도하는 방식이다. 이 코드는 사용자의 월렛 정보, 브라우저 쿠키, 심지어 프라이빗 키까지 추출하는 악성 기능을 포함하고 있다.
슬로우미스트는 “Web3 해킹의 본질은 복잡한 기술이 아니라 일상적인 행동의 허점을 노리는 것”이라며, “한 번 더 확인하고, 출처를 반드시 검증하며, 무심코 클릭하는 행동을 중단하는 것만으로도 많은 피해를 예방할 수 있다”고 강조하였다. 암호화폐 도난 수법이 갈수록 정교해지고 있는 만큼, 사용자들의 경계심과 보안 수칙 준수는 그 어느 때보다 중요해지고 있다. 키 관리 미숙으로 인해 수억 원의 재산을 잃을 위험이 있는 만큼, 관련 커뮤니티와 사용자들은 더욱 각별한 주의가 요구된다.
