‘주소 독극물'(address poisoning) 사기가 최근 블록체인 환경에서 막대한 피해를 초래하고 있다. 이 사기는 프라이빗키의 보안과는 전혀 무관하게, 공격자가 사용자가 자신의 지갑에 송금한 주소를 조작하여 잘못된 주소로 자금을 송금하도록 유도하는 방식으로 진행된다. 사용자가 송금 시 자주 사용하는 주소와 매우 유사한 악성 주소를 만들어내어, 사용자가 실수로 해당 주소로 자금을 전송하게 하는 것이 핵심이다.
2025년에는 한 사용자가 잘못된 주소로 테더(USDt) 약 5,000만 달러(7,231억 원 상당)를 송금하는 사건이 발생했다. 2026년 2월에는 팬텀(Phantom) 지갑의 채팅 기능을 노리고 시행한 피싱 캠페인에서 어드레스 포이즈닝 기술이 악용되어, 당시 시세로 약 38억 원 상당의 래핑된 비트코인(wBTC)도 유출됐다. 이처럼 단순한 사용자 인터페이스 조작이 감춰진 사이버 위협이 여실히 드러나면서 암호화폐 시장 전반에 경각심이 높아지고 있다.
이러한 상황에 따라 바이낸스의 공동 창립자 창펑 자오(Changpeng Zhao) 등 블록체인 업계에서는 지갑 서비스에 대한 보안 강화 필요성을 꾸준히 제기하고 있다. 이제는 프라이빗키 유출이 아니라, 사용자의 행동과 지갑 UI 설계에서 발생하는 위험 요소가 문제의 핵심으로 부각되고 있다.
주소 포이즈닝 공격은 특히 전통적인 해킹 기법과는 달리 프라이빗키를 직접 노리는 것이 아닙니다. 공격자는 온체인 데이터를 분석하고, 쉽게 사용자의 습관을 활용한다. 이 공격은 일반적으로 다음과 같이 진행된다. 우선 공격자는 고액 자산을 보유한 지갑 주소를 선정하고, 이후 그 주소와 유사한 새로운 지갑을 만든다. 대부분의 사용자 지갑들은 주소의 앞부분과 뒷부분만 표시하므로 이러한 기회를 이용해 위조 주소를 만들 수 있다.
더욱이 공격자는 극소량의 토큰을 가짜 주소에서 사용자의 지갑으로 전송하거나 0 값 거래를 시도하여, 해당 주소가 사용자의 최근 거래내역에 자연스럽게 포함되도록 한다. 시간이 지나면 사용자는 자신의 거래 내역에서 복사된 가짜 주소를 실제 주소로 착각하여 송금하게 된다. 이 과정에서 지갑이나 프라이빗키에 대한 공격은 전혀 일어나지 않지만, 사용자의 실수로 인한 손실이 발생하게 된다.
특히 이더리움 레이어2 확장 솔루션의 발전은 이 같은 사기 행위의 빈도를 더욱 높이고 있다. 거래 수수료가 대폭 낮아지면서 공격자는 수천 개의 더스트 거래를 쉽게 발생시켜, 비용 부담 없이 피해자 지갑에 가짜 주소를 심을 수 있다.
이러한 공격의 핵심은 사용자에게 익숙하게 보이는 주소를 만들어내는 기술에 있다. 이더리움 기반 지갑 주소는 일반적으로 42자 길이의 16진수 문자열로 구성되며, 대부분의 사용자 지갑은 주소의 일부만 축약하여 표시한다. 따라서 사용자가 모든 문자를 다시 확인하기 어려운 현실에서 이와 같은 공격이 발생할 수 있는 것이다.
또한, 인지적 한계로 인해 사람들은 사용자 인터페이스에서 정보를 ‘대충’ 판단하는 경향이 있으며, 이 점을 공격자들이 악용한다. 각종 지갑의 편리한 기능 또한 사용자를 당혹스럽게 만들 수 있는 요소로 작용하고 있다. 예를 들어, 최근 거래 내역 옆에 위치한 ‘복사 버튼’은 매우 유용하지만, 잘못된 주소 복사로 인해 대규모 손실로 이어질 수 있다.
따라서 사용자와 지갑 개발자 모두 주소 관리 및 보안 조치에 대한 인식을 높이고 실천해야 한다. 사용자는 자주 송금하는 주소를 별도의 화이트리스트에 저장하고, 송금을 하는 경우에는 전체 주소를 검토하고 확인하는 루틴을 만들어야 한다. 또한, 지갑 개발자는 의심스러운 거래를 자동으로 감
