
진위 프로젝트 팀: 댓글란의 고도 복제 계정(낚시)에 주의하세요
글: 산 & Liz
배경
최근 SlowMist 보안 팀은 여러 차례 자산 도난 신고를 받았으며, 사건을 분석한 결과 대부분의 도난 원인이 바로 유명 프로젝트 팀의 트위터 아래에 있는 피싱 댓글 때문이라는 것을 발견했습니다.
이후 SlowMist 보안 팀은 이를 중심으로 분석 및 통계를 실시했는데, 약 80%의 유명 프로젝트 팀이 트위터를 게시한 후 첫 번째 댓글이 사기성 피싱 계정에 의해 점유되는 것으로 나타났습니다. 피싱 조직의 자동화 수준이 매우 높고 일부 암호화폐 종사자들의 보안 인식이 낮은 점을 고려하여, 본문에서는 유명 프로젝트 팀의 댓글란에서 활동하는 피싱 조직의 범행 절차를 분석하고 암호화폐 종사자들에게 경각심을 주고자 합니다.
범행 절차
1. 트위터 계정 구매. 우리는 텔레그램에 트위터 계정을 판매하는 많은 그룹이 존재한다는 것을 발견했습니다. 이 계정들은 팔로워 수와 일정한 게시물 수, 다양한 가입 시기를 갖추고 있으며, 구매자는 필요에 따라 적합한 계정을 선택할 수 있습니다. 그룹 내 과거 기록을 살펴보면, 주로 암호화폐 산업 관련 계정과 인플루언서 계정이 많이 거래되고 있었습니다.


텔레그램의 계정 판매 그룹 외에도 전문적으로 트위터 계정을 파는 웹사이트도 있습니다. 이러한 사이트에서는 연도별 트위터 계정을 판매하며, 특정 유사 계정 구매도 지원합니다. 예를 들어 공식 계정인 Optimism과 이름이 매우 유사한 위조 계정 Optimlzm 등을 제공합니다. 또한 이 사이트들은 암호화폐 결제도 허용합니다.

(https://twitteraccseller.mysellix.io/)
2. 준비된 계정을 구매한 후, 피싱 조직은 홍보 도구를 이용해 팔로워와 상호작용을 구매하여 계정의 신뢰도를 높입니다. 이러한 홍보 도구 역시 암호화폐 결제를 지원하며, 해외 주요 소셜 미디어 플랫폼의 좋아요, 리트윗, 팔로워 수 등의 서비스를 제공합니다. 구매자는 홍보할 링크와 요구 수량을 입력하기만 하면 됩니다.

(https://easyliker.ru/services)
해당 플랫폼 고객센터에 따르면, 단지 이 플랫폼만 해도 130만 건 이상의 주문이 있었으며 2만 명 이상이 서비스를 이용했다고 합니다.

3. 위와 같은 준비를 마친 후, 피싱 조직은 충분한 게시물과 팔로워를 가진 트위터 계정을 확보하게 되며, 이후 실제 프로젝트 팀의 계정 정보를 모방하여 계정 내용을 조작합니다. 이렇게 되면 일부 사용자에게는 두 계정이 진위를 구분하기 어려울 정도로 유사하게 보입니다. 이제 피싱 조직은 다음의 핵심적인 피싱 단계를 진행합니다:
-
자동화된 봇이 유명 프로젝트 팀의 동향을 실시간으로 추적;
-
프로젝트 팀이 트위터를 게시하면, 피싱 조직의 봇이 즉시 자동으로 댓글을 달아 첫 번째 댓글 위치를 선점함으로써 높은 조회수를 얻음;
-
사용자가 보고 있는 게시물은 실제 프로젝트 팀이 작성한 것이며, 피싱 조직의 계정이 실제 계정과 매우 유사하게 위장되어 있기 때문에, 사용자가 경계를 늦추고 가짜 계정 내 에어드랍 등의 명목으로 제공된 피싱 링크를 클릭하여 권한 부여나 서명을 하게 되면 자산을 잃게 됩니다.
실제 사례
1월 12일, Optimism 공식 트위터 계정이 트윗을 하나 게시했고, 해당 트윗 아래 첫 번째 댓글이 바로 피싱 조직이 올린 것이었습니다. 이 댓글은 높은 상호작용을 기록했으며 공식 웹사이트 링크도 포함하고 있었지만, 텍스트 부분의 링크는 피싱 링크였습니다(아래 이미지 참조). 같은 날 SlowMist CISO @IM_23pds는 트위터에서 경고를 보내며, 사용자들에게 프로젝트 팀의 댓글란에 등장하는 고도로 위조된 계정의 피싱에 주의할 것을 당부했습니다.

(https://twitter.com/IM_23pds/status/1745662404300788120)
피싱 조직은 트위터의 이름 변경 메커니즘을 이용합니다. 사용자는 트위터 표시 이름(Display Name)을 수정할 수 있지만, 이는 @로 시작하는 고유 식별자인 사용자 이름(Handle)에는 영향을 주지 않습니다. 이 가짜 계정은 표시 이름을 공식 계정과 동일하게 'Optimism'으로 설정했지만, 자세히 보면 사용자 이름에 차이가 있습니다. 공식 계정의 'is'를 'lz'로 바꾼 것입니다. 이러한 피싱 수법은 이미 블랙북에서 소개된 바 있습니다.
MistTrack 분석
체인상 추적 도구 MistTrack를 사용해 텔레그램에서 트위터 계정을 판매하는 사람의 주소 0xd02c75102ed941b26e318c0896c5b5aeb4ddc965를 조회한 결과, 이 주소로 송금한 모든 주소들이 MistTrack에서 피싱, 코인 도난 등과 관련된 악성 주소로 표시되어 있음을 확인했습니다. 이러한 주소들을 더블클릭하면 추가적인 악성 주소들이 연결되며, 이 밀거래 시장의 규모가 얼마나 큰지를 알 수 있습니다.


대응 방안
1. 피싱 방지 플러그인의 개선. 블록체인 산업에서 발생하는 NFT 피싱의 90%가 가짜 도메인과 관련되어 있으므로, 피싱 도메인 목록을 실시간으로 업데이트하고 사용자에게 즉시 알리는 것이 중요합니다. 예를 들어 사용자가 피싱 페이지에 접속하면 관련 플러그인이나 브라우저가 즉시 위험을 경고함으로써 후속적인 서명 사기 가능성을 차단하고, 위험을 최초 단계에서 차단할 수 있습니다.
2. 지갑의 '보이는 대로 서명' 및 상호작용 보안 인식 기능. 지갑이 서명 사기를 감지할 수 있고, 사용자가 서명하려는 내용(예: 어떤 항목에 얼마만큼의 권한을 누구에게 부여하는지)을 인간이 이해할 수 있는 형태로 명확히 보여줄 수 있다면, 사용자는 권한 부여 세부사항을 한눈에 파악할 수 있어 마지막 방어선을 구축하고 함정에 빠지기 직전의 사용자를 막을 수 있습니다.
3. 개인 보안 의식 강화. 어떤 제품, 문서, 경고도 보조 수단일 뿐이며, 본인 스스로의 보안 의식을 갖추는 것이 가장 중요합니다. 링크 클릭, 권한 부여, 서명 전에 항상 다시 한번 확인함으로써 코인 손실 및 사기 피해를 피할 수 있습니다.
결론
본문은 유명 프로젝트 팀의 트위터 댓글란에 나타나는 피싱 댓글 현상을 기반으로 피싱 조직의 범행 절차를 분석하여, 이를 통해 널리 알려진 피싱 수법에 대한 이해를 돕고 경각심을 높이며 자산 도난을 방지하고자 합니다.
마지막으로, 더 많은 보안 지식을 얻기 위해 SlowMist에서 발간한 『블록체인 다크 포레스트 생존 매뉴얼』을 읽어보실 것을 추천합니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News









