 ▲ 암호화폐 트레이더, 고통스러운 실수로 1,200만 달러 손실/챗지피티 생성 이미지 |
한 번의 주소 확인 실수가 1,200만 달러 넘는 손실로 이어지며, 고액 거래자조차 주소 위·변조 공격 앞에서는 무력할 수 있다는 경고가 나왔다.
1월 31일(현지시간) 암호화폐 전문매체 핀볼드에 따르면, 한 암호화폐 트레이더가 이더리움(Ethereum, ETH) 4,556ETH를 사기 지갑 주소로 잘못 전송해 약 1,240만 달러 상당의 자산을 잃은 것으로 확인됐다. 온체인 데이터 분석 결과, 이번 사고는 이른바 ‘주소 포이즈닝(address poisoning)’ 공격이 성공한 사례로 분석됐다.
블록체인 추적업체 룩온체인(Lookonchain)은 피해 지갑 주소(0xd674)가 과거 반복적으로 갤럭시 디지털(Galaxy Digital) 입금 지갑으로 대규모 이더리움을 이체해온 패턴을 보였다고 설명했다. 공격자는 이를 노려 갤럭시 디지털의 정상 입금 주소와 앞뒤 문자열이 거의 동일한 악성 주소를 생성한 뒤, 장기간에 걸쳐 소액 이체를 반복했다.
이 같은 ‘더스트 거래’로 인해 악성 주소가 지갑의 최근 거래 기록에 정상 주소와 나란히 노출되었고, 결국 피해자는 약 11시간 전 또다시 이더리움을 전송하는 과정에서 주소를 직접 확인하지 않고 거래 기록에서 그대로 복사했다. 그 결과 4,556ETH 전량이 공격자가 통제하는 지갑으로 단일 거래를 통해 즉시 빠져나갔다.
해당 전송 이후 자금 회수나 수정 거래는 발생하지 않았으며, 블록체인 거래의 비가역적 특성상 복구 가능성도 확인되지 않았다. 이는 스마트컨트랙트 취약점이 아닌, 주소 시각적 유사성을 악용한 사용자 실수를 겨냥한 공격이라는 점에서 더욱 주목된다.
핀볼드는 이번 사건이 고액 자산을 다루는 숙련된 트레이더조차 주소 검증을 소홀히 할 경우 치명적인 피해를 입을 수 있음을 보여준다고 지적했다. 주소 포이즈닝 공격은 기술적 해킹이 아니라 인간의 실수를 노린 방식인 만큼, 향후에도 유사 사례가 반복될 가능성이 높다는 경고다.
*면책 조항: 이 기사는 투자 참고용으로 이를 근거로 한 투자 손실에 대해 책임을 지지 않습니다. 해당 내용은 정보 제공의 목적으로만 해석되어야 합니다.*