주소 중독 사기 확산 ··· 5천만달러 피해 발생

블록체인 보안 업체 슬로우미스트(SlowMist)에 따르면 한 가상자산 투자자가 주소 중독(address poisoning) 사기를 당해 5천만달러 상당의 USDT를 갈취당했다. 주소 중독은 공격자가 자신의 주소로 피해자에게 소량의 코인을 보낸 후 피해자가 해당 주소를 자신의 주소로 착각하고 해당 주소로 코인을 전송하도록 유도하는 사기 수법이다.

피해자는 공격자가 소유한 주소로 USDT 4999만 9950개를 전송했다. 공격자의 주소는 앞의 세 글자와 뒤의 네 글자가 피해자의 주소와 일치해 주소 전체를 일일이 비교하지 않으면 당할 수 밖에 없는 구조다.

갈취된 USDT는 곧바로 이더리움으로 교환된 뒤 여러 지갑으로 분산됐다. 일부 자금은 프라이버시 믹서인 토네이도 캐시를 통해 세탁된 것으로 확인됐다.

분석에 따르면 피해자의 지갑은 약 2년간 사용됐으며 주로 USDT 이체에 활용됐다. 갈취된 자금은 사기 직전 바이낸스에서 인출된 것으로 확인됐다.

这位玩家遭遇首尾号相似地址投毒，损失近 5000 万 USDT…

玩家地址：
0xcB80784ef74C98A89b6Ab8D96ebE890859600819
投毒地址：
0xBaFF2F13638C04B10F8119760B2D2aE86b08f8b5
玩家期望中的地址：
0xbaf4b1aF7E3B560d937DA0458514552B6495F8b5
// 可以看到首 3 字符尾 4 字符一样

玩家转 49,999,950… https://t.co/NJiZmmia1W

— Cos(余弦)😶‍🌫️ (@evilcos) December 20, 2025

가상자산 사기 누적 피해액 900억 달러

이번 사건은 가상자산 업계 전반에 확산되고 있는 보안 위기 가운데 발생했다. 업계는 탄생 이후 해킹과 익스플로잇으로 총 누적 피해 금액이 900억 달러에 달한 것으로 집계됐다.

지난 11월 한 달 동안에만 2억 7,600만 달러 이상의 자산이 도난됐으며 올해 누적 피해액은 91억달러를 넘어섰다. 이는 최근 12개월 동안 총 누적 피해 금액의 약 10%가 발생했음을 의미한다.

미첼 아마도르 이뮤니파이(Immunefi) CEO는 사기 수법이 근본적으로 변화하고 있다고 경고했다.

그는 크립토뉴스와의 인터뷰에서 “사기 수법이 온체인 코드 취약점에서 운영 보안과 준비금을 타겟으로 한 공격으로 변화하고 있다”고 말했다.

또한 가상자산 관련 코드가 강화될수록 공격자들은 사회공학적 해킹을 노린다고 설명했다.

그는 올해가 해킹 피해 금액 규모 면에서 사상 최악의 해였음에도 불구하고 상당수 손실이 스마트 계약 취약점이 아닌 운영 보안 실패에서 비롯됐다고 강조했다.

“2025년이 해킹 피해 금액 규모 기준으로 기록상 최악의 해였지만 손실의 상당 부분은 온체인 코드 취약점이 아니라 기존 웹2 인프라 장애와 운영 보안 실패에서 발생했다.”

FBI “작년 투자사기 피해액 93억달러”

FBI 자료에 따르면 미국 내 암호화폐 투자 관련 사기 피해액은 2024년 약 93억 달러로 집계됐다. 이는 전년 대비 66% 증가한 수치다.

이른바 돼지 도살(pig-butchering) 사기는 전 세계적으로 99억 달러 이상의 피해를 초래했다. 체이널리시스 데이터에 따르면 2024년 해당 사기는 약 40% 급증했다.

미국 상원의원 엘리사 슬롯킨과 제리 모란은 가상자산 사기에 대응하기 위해 정부 기관과 법 집행 기관, 그리고 민간 전문가로 구성된 연방 태스크포스 구성을 골자로 한 SAFE 암호화폐법을 발의한 바 있다.

해당 법안은 공인 스테이블코인 발행자가 불법 행위와 연관된 가상자산을 동결하거나 압류할 수 있는 기술적 역량을 유지하도록 요구한다.

🚨 After $9.3B lost to crypto scams like pig butchering, U.S. lawmakers unveil the bipartisan SAFE Crypto Act, creating a federal task force to fight fraud.#CryptoScam #CryptoRegulationhttps://t.co/kG6oDWQVCC

— Cryptonews.com (@cryptonews) December 17, 2025

미국 당국은 지난 10월 캄보디아에 본사를 둔 프린스 홀딩 그룹을 대상으로 사상 최대 규모의 암호화폐 압수를 발표하는 등 단속을 강화하고 있다.

테더는 동남아시아 돼지 도살 조직과 연관된 USDT 약 5000만 달러를 동결했다. 바이낸스는 2022년 12월부터 2025년 5월까지 사기 시도를 차단해 약 750만 명의 사용자가 총 100억 달러 규모의 피해를 입는 것을 예방했다고 밝혔다.

사회공학적 해킹 ‘기승’

정교한 사기 수법 외에도 악성 소프트웨어 공격으로 인한 지갑 탈취가 이어지고 있다. 싱가포르의 한 기업가는 게임 테스트 프로그램으로 위장한 악성 소프트웨어를 설치한 뒤 10만 달러 이상의 피해를 입었다.

이달 초에는 또 다른 다중 서명 지갑 침해 사건이 발생했다. 개인 키 유출로 약 2730만 달러가 도난됐으며 이 가운데 약 1260 만달러가 토네이도 캐시를 통해 세탁된 것으로 확인됐다.

아마도르는 가상자산 업계가 보안 방식을 근본적으로 재구성해야 한다고 주장한다.

그는 “사용자와 운영자가 여전히 취약한 상황에서는 프로그램밍적 보안만으로는 충분하지 않다”고 지적했다.

웹3 기업은 사회공학적 해킹 보안에 훨씬 더 많은 투자를 해야 하며 이는 팀 교육 강화와 운영 통제 강화, 그리고 사용자를 대상으로 한 직접적인 보안 교육을 포함한다고 설명했다. 사기성 메시지를 식별하는 방법과 사회공학적 해킹 시도를 인식하는 법, 그리고 온체인 환경에서 자산을 보호하는 방법에 대한 교육이 필요하다는 것이다.

아마도르는 현재 웹3.0 프로젝트의 99%가 기본적인 방화벽조차 없이 운영되고 있으며 최신 AI 기반 보안 도구를 도입한 비율은 10% 미만에 불과하다고 언급했다.

그는 올해 발생한 대부분의 해킹이 부실한 보안 감사 때문은 아니었다고 설명했다. 해킹은 주로 런칭 이후 프로토콜 업그레이드 과정 또는 감사만으로는 포착하기 어려운 통합적 취약점을 통해 발생했다는 것이다.

피해 규모가 증대되고 있음에도 불구하고 아마도르는 온체인 코드 보안에 대해서는 낙관적인 전망을 유지했다. 그는 업계가 기술 인프라를 지속적으로 강화할 경우 2026년에 스마트 컨트랙트 보안이 최고 수준에 달할 것이라고 평가했다.