최근 한 암호화폐 투자자가 이중 피싱 사기로 인해 총 2.5백만 달러 상당의 스테이블코인을 잃는 사건이 발생했다. 피해자는 최초로 843,000 USDT를 송금한 뒤, 세 시간 후에 추가로 2.6백만 USDT를 송금하게 되었다. 이 사건은 사이버 보안 기업인 사이버스(Cyvers)에서 5월 26일 발표한 데이터에 따르면, 사기 행위가 ‘제로 가치 전송(zero-value transfer)’이라는 방법을 사용하여 수행되었음을 알렸다.

제로 가치 전송은 사용자들이 실제 자금을 공격자에게 송금하도록 유도하기 위해 토큰 전송 기능을 악용하는 정교한 온체인 피싱 기법이다. 공격자는 피해자의 지갑에서 제로(0) 토큰을 스푸핑된 주소로 전송하는 ‘transferFrom’ 기능을 악용함으로써 이러한 방법을 구현한다. 이 과정에서 전송된 금액이 0이기 때문에 피해자의 개인 키 서명이 온체인 포함을 위해 필요하지 않아, 피해자는 거래 내역에서 송금이 이루어진 것을 확인할 수 있다.

이때 피해자는 해당 스푸핑된 주소가 자신의 거래 내역에 포함되었기 때문에 신뢰할 수 있는 혹은 안전한 수신자로 착각하고, 향후 거래에서 실제 자금을 해당 주소로 송금하곤 한다. 이 방식은 특히 사용자들이 부분 주소 매칭이나 클립보드 기록에 의존하는 경향을 이용하여 발생한다. 제로 가치 전송은 ‘주소 중독(address poisoning)’의 진화된 형태로, 공격자가 피해자의 실제 주소와 유사한 주소로 소액의 암호화폐를 전송하여, 피해자가 실수로 공격자의 주소를 복사하거나 재사용하도록 유도하는 방식이다.

특히 주목할 만한 사례로, 2023년 여름에 제로 가치 전송 피싱 공격을 사용하여 한 사기꾼이 2천만 달러 상당의 USDT를 탈취한 사건이 있었으며, 이후 해당 스테이블코인의 발행자가 사기꾼을 블랙리스트에 올리게 된다. 또 다른 연구에 따르면, 2025년 1월까지 BNB 체인과 이더리움에서 2억 7천만 회 이상의 주소 중독 시도가 발생했으며, 그 중 6,000건의 시도가 성공하여 총 8,300만 달러 이상의 손실이 발생했다고 전해졌다.

이러한 상황 속에서 사이버 보안 기업 트루가드와 온체인 신뢰 프로토콜 웹어시(Webacy)는 암호화폐 지갑 주소 중독을 감지하는 인공지능 기반 시스템을 발표했다. 이 새로운 도구는 기존 공격 사례를 대상으로 시험해 본 결과, 97%의 성공률을 기록했다고 알려졌다.

피해자와 투자자들에게는 이러한 최신 사기 수법에 대한 경각심을 높이고, 안전한 전송 방법에 대한 교육이 필요하다. 암호화폐 시장의 성장과 함께 이와 같은 피싱 수법도 진화하고 있음을 잊지 말아야 할 것이다.