458일 뒤 터진 암호화폐 피싱 폭탄…90만 달러가 증발한 충격적 사례

암호화폐 투자자들을 노린 정교한 피싱 사기가 1년 이상의 잠복기 끝에 발동했다. 사기꾼들은 90만 달러(약 12억 원)를 순식간에 빼돌렸다.

◆ 시간을 달리는 사기: 어떻게 458일 동안 들키지 않았나?

전문가들은 이번 사건이 '슬로우 피싱'의 새로운 변종일 가능성을 제기했다. 피해자들은 투자 수익률 300%를 약속받았다가 뼈아픈 교훈을 얻었다—암호화폐 세상에 공짜 점심은 없다.

◆ 당신의 지갑이 다음 표적일 수 있다

FSA는 최근 지갑 서명 요청 시 반드시 스마트 계약 주소를 확인할 것을 권고했다. '믿음은 좋지만, 검증은 더 좋다'는 옛 격언이 암호화폐 시장에선 생존 법칙이다.

이번 사건은 디파이(DeFi) 생태계가 여전히 '서부 개척시대' 수준의 안전성에 머물러 있음을 다시 한번 증명했다—감사하게도, 은행들은 여전히 0.5% 금리로 우릴 '보호'해주고 있으니 말이다.

[디지털투데이 AI리포터] 암호화폐 투자자가 458일 전 승인한 악성 거래로 인해 90만8551달러(약 12억6000만원) 상당의 USDC를 도난당했다. 

3일(이하 현지시간) 블록체인 매체 코인텔레그래프가 전한 바에 따르면, 공격자는 피싱 사이트나 가짜 에어드롭을 통해 erc-20 승인 거래를 유도한 후, 피해자의 지갑을 지속적으로 감시하며 기회를 엿봤다. 피해자는 2024년 4월 30일 피싱 승인을 했으며, 공격자는 2025년 8월 2일 지갑을 비우는 데 성공했다. 458일 만에 사건이 발생한 셈이다.

보안업체 스캠스니퍼(Scam Sniffer)는 이번 사건을 계기로 “오래된 거래 승인을 정기적으로 검토하고 취소하지 않으면 자산이 위험해진다”며 경고했다. 피해자가 사용하는 지갑은 한동안 활동이 거의 없었으나, 7월 2일 메타마스크 지갑에서 76만2397달러(약 10억6000만원), 크라켄 지갑에서 14만6154달러(약 2억원)가 입금되면서 공격자의 타깃이 됐다. 이후 한 달간 지갑을 감시한 공격자는 8월 2일 단 한 번의 거래로 모든 자금을 탈취했다.

이처럼 장기 대기 후 실행되는 피싱 공격은 최근 암호화폐 시장에서 급증하는 추세다. 이더리움 사용자들은 이더스캔(Etherscan)의 토큰 승인 검사기를 활용해 불필요한 승인 거래를 취소할 수 있지만, 각 취소에는 가스 요금이 발생한다. 한편, 7월 한 달 동안 암호화폐 업계에서는 최소 17건의 공격이 발생했으며, 총 피해액은 1억4200만달러(약 2000억원)를 넘었다.