유니스왑 창립자 헤이든 애덤스가 검색엔진과 앱 마켓에 퍼지는 ‘가짜 유니스왑 광고’에 대해 강력한 경고를 발했다. 최근 한 사용자였던 이카가 가짜 피싱 사이트에 당해 수십만 달러를 잃었다는 충격적인 사례가 공개됨에 따라, 이 문제에 대한 경각심이 커지고 있다. 애덤스의 경고는 올해 1월 동안 암호화폐 업계에서 발생한 사기 및 피싱으로 인한 손실 액수가 지난 11개월 중 최대치를 기록한 시점에 나왔다.
애덤스는 21일(현지시간) X(구 트위터)에서 “사기 광고는 수년간 신고했음에도 불구하고 계속해서 노출되고 있다”고 지적했다. 그는 “앱스토어 승인을 몇 달 기다리는 동안에도 가짜 유니스왑 앱이 여전히 등록돼 있었다”고 언급하며, 실질적인 조치가 필요함을 강조했다.
현재 피싱 범죄자들은 구글과 같은 주요 검색엔진에서 ‘유니스왑’과 같은 관련 키워드를 타겟으로 한 광고를 진행하고 있다. 사용자가 유니스왑을 검색하면 광고 링크가 최상단에 나타나고, 이는 실제 사용자를 속여 지갑을 연결하도록 유도한 후 자산을 탈취하는 방식을 취하고 있다.
이와 관련된 충격적인 피해 사례로는 이카라는 사용자가 최근 “나는 모든 것을 잃었다, 이제 무엇을 해야 할까?”라는 글을 올리며 자신의 경험담을 공유했다. 그는 “운이 나빠서가 아니다. 긴 시간에 걸쳐 이룬 잘못된 결정들이 쌓여서 사건이 발생했다”고 자책하며, 그가 잃은 자산은 수십만 달러에 이른다.
유니스왑을 겨냥한 피싱은 과거에도 있었으며, 최근 코인텔레그래프에 따르면 사기꾼들은 진짜 유니스왑 웹사이트와 매우 유사한 화면을 구현한 피싱 사이트를 만든 적이 있다. 이 피싱 사이트는 버튼 위치까지 조작하여 사용자가 자연스럽게 지갑 연결을 유도하도록 설계됐다. 이는 초보자뿐만 아니라 숙련된 사용자들까지도 낚을 수 있는 매우 정교한 사회공학적 공격으로 발전하고 있다.
1월 동안 발생한 피해 규모는 무려 3억 7천30만 달러(약 5,366억 원)에 달하며, 이는 최근 11개월 간의 최대치다. 블록체인 보안업체 CertiK에 따르면 그중 유명한 사회공학 공격의 피해액만으로도 약 2억 8천400만 달러(약 4,114억 원)에 이른다.
이번 사건은 유니스왑과 같은 디파이 플랫폼뿐 아니라 검색 및 광고 플랫폼의 책임에 대한 논의를 불러일으킬 것으로 보인다. 그러나 모든 피싱 링크를 실시간으로 차단하기엔 현실적인 한계가 있기 때문에, 최종적으로 자산을 지킬 수 있는 책임은 사용자에게 있다. 따라서, 사용자에게는 검색결과 최상단의 광고 여부 확인, 도메인 철자와 공식 주소 대조, 지갑 연결 및 권한 승인을 전 검토하라는 경고가 더욱 중요시된다.
이와 같은 피싱 피해의 재발을 막기 위해서 사용자들은 기본적인 보안 점검을 실시해야 한다. 예를 들어, 검색结果 최상단의 링크가 실제 공식 사이트인지 의심하고, 도메인의 정확성을 두 번 확인하는 것이 필수적이다. 더욱이, 사용자는 지갑 연결 요청 시 보안 요구사항을 철저히 검토해야 한다.
디파이 및 웹3 생태계가 지속적으로 성장하고 있는 만큼, 그에 따른 보안 리스크 역시 증가하고 있다. 사용자 스스로 보안에 대한 교육과 경각심을 더욱 강화해야 할 때라는 점을 잊지 말아야 한다.
