최근 유튜브 플랫폼에서 가짜 이더리움(ETH) 자동 거래 봇이 등장해 암호화폐 투자자들로부터 총 90만 달러에 달하는 자산을 빼앗아간 사실이 드러났다. 보안 기업 센티넬랩스(SentinelLABS)는 이 사기가 고도화된 스마트 컨트랙트와 인공지능(AI) 기술을 조합하여 이뤄졌다고 경고하고 있다.
보고서에 따르면, 공격자들은 이더리움 기반의 스마트 계약을 악성 봇으로 가장해 유튜브 사용자들을 타겟으로 삼았다. 유튜브에는 특히 최대 추출 가치(MEV, Maximal Extractable Value) 봇을 배포하는 튜토리얼 영상이 다수 업로드되어 있으며, 이 영상들은 사용자들에게 외부 링크를 통해 스마트 계약 코드를 다운로드하도록 유도한 후, 암호화폐를 탈취하는 방식으로 작동했다.
이러한 영상들은 대개 오래된 유튜브 계정을 통해 퍼졌고, 해당 계정들은 신뢰성이 있는 콘텐츠나 다른 주제를 다룬 영상들을 포함하고 있어 피해자들의 경계심을 약화시켰다. 또한, AI 기술을 활용하여 불특정 다수의 피해자를 노리는 영상들이 제작돼, 로봇의 기계적인 목소리와 부자연스러운 얼굴 표정으로 신뢰를 주지 않는 한편, 제작 비용이 저렴하고 대량 배포가 용이하다는 특징이 있었다.
하지만 가장 큰 피해를 일으킨 영상은 실제 인물에 의해 제작된 정교한 콘텐츠로 확인됐다. 이는 AI가 범위를 넓힐 수 있지만, 여전히 사람의 역할이 사기를 더욱 설득력 있게 만드는 데 필수적임을 잘 보여준다.
이 연구에서는 해당 사기 수법이 2024년 초부터 시작되어 지속적으로 진화하고 있으며, 공격자들은 지갑 주소 누출을 피하기 위해 다양한 난독화 기법을 이용하고 있음을 강조하고 있다. 일부 계약은 동일한 지갑 주소를 사용하기도 했지만, 많은 경우 서로 다른 주소로 자산을 이동시키는 방식으로 단일 조직의 소행인지 여러 범죄 집단의 협작인지 구별하기 어려운 상황이다.
센티넬랩스는 “웹3 도구와 사회공학, 생성형 AI가 결합된 사이버 공격은 앞으로 더욱 위협적으로 진화할 것”이라며 강력히 경고했다. 이들은 모든 암호화폐 사용자들이 외부 소스에서 제공된 코드에 대해 늘 진위를 검증하고, 쉽게 수익을 올릴 수 있다는 봇 광고에 현혹되지 않도록 유의할 것을 강조했다. 특히 유튜브와 같이 콘텐츠의 검증이 어려운 플랫폼에서 제공되는 정보에는 더욱 신중하게 접근해야 한다는 점을 부각시켰다.
이와 같은 사기 행위는 이미 포착된 사례 외에도 앞으로 더욱 다양한 형태로 발전할 것으로 예상되므로, 암호화폐 투자자들은 각별한 주의가 필요하다.
