한 암호화폐 투자자가 세 시간 이내에 두 번의 피싱 공격을 당해 총 250만 달러의 스테이블코인을 잃었다. 암호화폐 준법 감시 회사인 사이버스(Cyvers)에 따르면, 피해자는 먼저 843,000 달러 상당의 USDT를 송금한 후 세 시간 뒤에 260만 달러를 추가로 전송했다. 이 사기는 제로 밸류 전송(zero-value transfer)이라고 알려진 방법을 사용하여, 온체인 피싱의 고도화된 형태로 분류된다.
제로 밸류 전송은 token transfer 함수의 결함을 악용하여 사용자가 실제 자금을 공격자에게 송금하도록 유도하는 온체인 피싱 기법이다. 공격자들은 피해자의 지갑에서 제로 토큰을 스푸핑된 주소로 전송하는 transferFrom 함수를 악용한다. 송금된 금액이 제로이기 때문에 피해자의 개인 키 서명이 필요하지 않아, 피해자는 자신의 거래 기록에서 이러한 송금 거래를 확인할 수 있다.
피해자는 이러한 주소를 거래 기록에 포함되어 있어, 잘 알고 있는 안전한 수취인으로 착각하게 된다. 이후 피해자는 해당 주소로 실제 자금을 송금하게 되며, 이는 피싱 공격자에게 자금을 빼앗기는 결과로 이어진다. 최근의 고도화된 공격 사례로는 여름에 발생한 사건이 있다. 이 사건에서는 제로 전송 피싱 공격자를 통해 총 2000만 달러 상당의 USDT가 도난당했으며, 그 공격자는 이후 스테이블코인 발행사에 의해 블랙리스트에 올라가게 되었다.
제로 밸류 전송은 주소 중독(address poisoning)의 진화된 형태로 간주된다. 주소 중독은 공격자가 피해자의 실제 주소와 유사한 주소에서 소량의 암호화폐를 송금하여 사용자가 우연히 공격자의 주소를 복사하여 재사용하도록 유도하는 기법이다. 이로 인해 피해자는 자금을 잃을 위험이 커진다. 피해자는 종종 송금 시 주소의 일부만 일치시키거나 클립보드 내역을 활용하여 송금하므로 이러한 기법이 효과를 발휘할 수 있다. 또한 유사한 시작 및 끝 문자를 가진 주소와 제로 밸류 전송이 결합될 수 있어 더욱 위험하다.
최근 연구에 따르면 2022년 7월부터 2024년 6월까지 BNB 체인과 이더리움에서 2억 7000만 건 이상의 주소 중독 시도가 있었으며, 이 중 약 6000건이 성공적으로 피해를 입혔고, 그로 인해 8300만 달러 이상의 손실이 발생했다. 이러한 문제를 해결하기 위해 암호화폐 사이버 보안 회사 트루가드(Trugard)와 온체인 신뢰 프로토콜 웹어시(Webacy)는 암호화폐 지갑 주소 중독을 탐지하는 인공지능 기반 시스템을 발표했다. 이 새로운 도구는 기존의 공격 케이스를 대상으로 97%의 성공률을 기록하였다.
최근 이러한 공격 및 사기 사건이 증가하고 있어, 투자자들은 더욱 경계해야 할 필요성이 커지고 있다.
