스테이블코인 투자자들, ’제로밸류’ 피싱에 3시간 만에 두 번 당하다

디지털 자산 시장의 안전망으로 여겨지던 스테이블코인 투자자들이 교묘한 피싱 공격에 속수무책으로 당했다. 최근 등장한 ’제로밸류’ 공격은 기존 보안 시스템을 우회하는 신종 수법으로 진화 중이다.

피해자들은 단 3시간 동안 연속으로 두 차례에 걸쳐 자금을 빼앗겼다—암호화폐 거래소들의 ’자기 규제’가 또다시 빛을 바랜 셈이다.

이번 사태는 스테이블코인 생태계의 취약점을 노린 표적 공격으로, 피싱 메일보다 한층 정교한 소셜 엔지니어링 기법이 사용된 것으로 확인됐다. 보안 전문가들은 "제로밸류 트랜잭션을 악용한 하이브리드 공격"이라 경고했다.

금융당국이 후속 조처를 검토 중이지만, 이미 자금 회수는 사실상 불가능한 상태다. 투자자들은 "시스템적 보완책 마련"을 요구하며 분노하고 있다—그러나 월스트리트 출신의 한 VC는 "이런 일은 계속될 테니 익숙해지는 게 낫다"는 냉소적인 반응을 보이기도 했다.

[디지털투데이 AI리포터] 한 암호화폐 투자자가 3시간 만에 두 번의 피싱 공격을 당해 260만달러 상당의 스테이블코인을 잃었다고 26일(현지시간) 블록체인 매체 코인텔레그래프가 보도했다.

암호화폐 보안업체 사이버스(Cyvers)에 따르면, 피해자는 먼저 84만3000달러 상당의 테더(USDT)를, 이후 3시간 뒤 175만달러 상당의 USDT를 공격자에게 송금했다. 

이 공격은 제로밸류(zero-value) 전송이라는 정교한 온체인 피싱 기법을 활용했다. 제로밸류 전송은 토큰 전송 기능을 악용해 피해자의 지갑에서 공격자의 주소로 0개의 토큰을 전송하는 방식이다. 서명이 필요 없기 때문에 피해자의 거래 내역에 공격자의 주소가 남고, 피해자는 이를 안전한 주소로 착각해 나중에 실제 자금을 송금하게 된다.

지난해 여름에는 이 수법으로 2000만달러 상당의 USDT가 탈취된 사례도 있었다. 이후 스테이블코인 발행사 테더(Tether)가 공격자의 주소를 블랙리스트에 추가했지만, 피해는 이미 발생한 뒤였다.

이 기술은 주소 포이즈닝(Address Poisoning)의 진화된 형태로, 공격자들이 피해자의 실제 주소와 유사한 주소를 생성해 소량의 암호화폐를 보내는 방식이다. 사용자가 착각해 공격자의 주소로 자금을 송금하도록 유도하는 것이다. 지난 1월 관련 조사에 따르면 과거 2년 동안 BNB체인과 이더리움(ETH)에서 2억7000만 건 이상의 포이즈닝 시도가 있었고, 이 중 6000건이 성공해 8300만달러의 피해가 발생한 것으로 나타났다.

이에 따라 최근 트루가드(Trugard) 등 암호화폐 사이버 보안 기업들은 암호화폐 지갑 주소 포이즈닝을 탐지하는 인공지능(AI) 기반 탐지 시스템을 발표하기도 했다.