최근 한 암호화폐 사용자에게서 피싱 사이트에서 서명한 승인 거래로 인해 458일 만에 약 12억 6,296만 원(908,551달러) 상당의 피해가 발생한 사례가 확인됐다. 이번 사건은 빈번하게 발생하고 있는 이른바 ‘지연형 승인 사기’의 대표적인 예로, 탈취된 자산은 USD코인(USDC)으로 밝혀졌다.
사건은 2024년 4월 30일에 시작되었다. 피해자는 ERC-20 토큰의 권한을 승인하는 거래를 악성 계약에 무심코 서명하면서, 공격자에게 피해자의 지갑에 무기한으로 접근할 수 있는 권한을 허용하게 된 것이다. 암호화폐 보안 전문 계정인 스캠 스니퍼(Scam Sniffer)는 이번 공격이 2024년 8월 2일 오전 4시 57분(UTC)에 발생했다는 사실을 파악했으며, 이는 피싱 사이트나 가짜 에어드랍을 통해 유도된 것으로 분석된다.
이번 공격에 사용된 지갑은 악명 높은 ‘pink-drainer.eth’와 연관된 주소 ‘0x67E5Ae’로 확인되었으며, 범인은 피해자의 지갑에서 USDC를 신속하게 탈취하여 다른 주소로 전송하였다. 이 거래의 세부 내역은 이더스캔(Etherscan)을 통해 실시간으로 추적할 수 있다.
이번 사건의 특징은 단순한 해킹이 아니라 ‘시간이 지난 후 발동되는 권한 승인’이라는 점이다. 이는 암호화폐 사용자들에게 보안 경각심을 일깨우는 중요한 사례로 작용하고 있다. 스캠 스니퍼는 사용자가 오래된 승인 내역을 주기적으로 검토하고 필요 시 이를 철회하는 습관을 갖는 것이 중요하다고 강조한다. 이를 소홀히 할 경우, ‘피땀 흘려 모은 자산이 언제든 탈취될 수 있다’는 경고도 잊지 말아야 한다.
암호화폐 사용자들은 모든 스마트 계약에 대한 권한 승인 내역을 정기적으로 점검하는 보안 점검 습관을 가져야 한다. 이러한 사건은 사용자 부주의가 오랜 시간 방치될 경우 얼마나 치명적인 결과를 초래할 수 있는지를 잘 보여주는 경고 신호다. 지갑 보안은 더 이상 선택이 아닌 필수로 여겨져야 하며, 사용자들은 자신이 보유한 자산을 보호하기 위해 더욱 철저한 대비가 필요하다.
결론적으로, 이번 지연형 승인 사기를 통해 얻은 교훈은 암호화폐 사용자가 보안 관리에 더욱 주의를 기울여야 함을 상기시키며, 사용자 스스로 자산 보호에 대한 적극적인 책임을 다해야 함을 강조한다. 규칙적인 보안 점검과 허가된 계약 내역의 주의 깊은 관리로 빈번히 발생하는 사기 피해를 예방할 수 있을 것이다.
