최근 한 암호화폐 사용자가 주소 중독(Address Poisoning) 사기에 의해 약 5천만 달러(약 738억 원) 상당의 테더($USDT)를 가짜 주소로 송금하는 안타까운 사건이 발생했다. 이 사건은 사용자 한 명의 실수가 초래한 것으로, 올해 최악의 온체인 피해 사례 중 하나로 기록되고 있다.
온체인 보안 분석 기업인 Web3 안티바이러스에 따르면, 피해자는 거래 기록에서 주소를 단순히 복사하여 붙여넣는 습관을 지닌 사용자였다. 사기꾼은 몇 센트의 금액을 소액으로 이체하여 피해자의 거래 기록에 가짜 지갑 주소를 심어놓았고, 피해자는 이를 진짜 주소로 착각해 큰 금액을 송금하는 실수를 범했다.
온체인 기록을 보면, 피해자는 처음에 실제 목적지 주소로 소액 테스트 송금을 한 뒤, 거의 전액에 해당하는 5천만 달러 가까운 테더를 전송했으나, 결국 이 송금이 가짜 주소로 이루어진 것이었다. 피해자는 거래가 발생하기 전에 신뢰할 수 있는 주소를 확인했으나, 사기꾼이 심어놓은 가짜 주소와의 유사성 때문에 실수를 범하게 된 것이다.
슬로우미스트의 창립자이자 보안 전문가인 코스(Cos)는 이 사건에 대해 “해당 가짜 주소는 처음 3자와 마지막 4자가 원래 주소와 동일하게 설계되어 있어, 숙련된 사용자조차도 속이기에 충분하다”고 경고했다. 실제로 피해자의 지갑은 약 2년여간 테더 전송에 사용되었고, 사건 직전에는 바이낸스를 통해 자금을 인출한 기록도 있어 능동적으로 운영되는 지갑이었다.
주소 중독 공격은 기술적 취약점을 공격하는 것이 아닌, 사용자들의 습관을 이용해 실수를 유도하는 방식이기 때문에 더욱 위험하다. 이를 막기 위해 사용자들은 자신의 트랜잭션 기록을 경계하고, 주소 복사 시 주의가 필요하다.
사기꾼은 훔친 테더를 이더리움(ETH)으로 환전한 후 다수의 지갑으로 자산을 분산시키는 방식으로 세탁을 시도했다. 후속 작업으로 일부 자산은 암호화폐 믹싱 서비스인 토네이도 캐시로 옮겨졌으며, 이는 자금 출처 추적을 회피하기 위한 전략으로 보인다.
올해 암호화폐를 노린 해킹과 사기로 인한 총 피해액은 약 34억 달러(약 5조 3,354억 원)에 이르며, 이는 2022년 이후 가장 높은 수치로, 피해의 69%가 몇 건의 대형 공격으로 인해 발생하였다. 이러한 상황은 안전한 거래를 위한 보안 인식과 사용자 경험 개선이 더욱 절실함을 나타낸다.
결론적으로, 주소 중독 사기는 피해를 입기 쉬운 방식으로, 사용자들은 트랜잭션 주소를 직접 확인하거나 화이트리스트 기능을 사용하는 등의 검증 절차를 반드시 거쳐야 한다. 특히, 초보자는 물론이거니와 경험이 많은 사용자도 해당 공격에 속지 않도록 각별한 주의가 필요하다는 점을 명심해야 한다.
