악의적인 RPC 노드 링크 변경을 통한 새로운 사기 수법 밝혀져
글: Lisa
배경
파트너사 imToken의 피드백에 따르면 최근 일종의 새로운 암호화폐 사기가 등장했다. 이 사기는 주로 오프라인에서 물건을 거래하는 상황을 중심으로 발생하며, 결제 수단으로 USDT를 사용하고, 이더리움 노드의 원격 프로시저 호출(RPC)을 조작하여 사기 행위를 벌이고 있다.
사기 진행 과정
슬로우미스트(SlowMist) 보안 팀은 이러한 유형의 사기를 분석한 결과, 사기범들의 구체적인 진행 절차는 다음과 같다.
먼저 사기범은 피해자가 정품 imToken 지갑을 다운로드하도록 유도한 후, 1 USDT와 소량의 ETH를 미끼로 삼아 사용자의 신뢰를 얻는다. 이후 사용자에게 자신의 ETH RPC 주소를 사기범이 소유한 노드(https://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748)로 리디렉션하도록 안내한다.
이 노드는 실제로 Tenderly의 포크(Fork) 기능을 이용해 조작된 것으로, 사용자의 USDT 잔액이 조작되어 마치 사기범이 이미 자금을 송금한 것처럼 보이게 된다. 따라서 사용자는 지갑에 표시되는 잔액을 보고 실제 입금이 완료된 것으로 오인하게 되며, USDT를 인출하기 위해 가스비(수수료)를 입금하려 할 때 비로소 사기를 당했음을 깨닫게 된다. 그러나 그때는 이미 사기범이 사라진 뒤이다.
실제로 잔고 정보 외에도 Tenderly의 포크 기능은 스마트 계약 정보까지 조작할 수 있어 사용자에게 더 큰 위협이 될 수 있다.
(https://docs.tenderly.co/forks)
여기서 한 가지 질문이 생긴다. 바로 'RPC란 무엇인가?'라는 것이다. 블록체인과 상호작용하기 위해서는 네트워크 서버에 접근할 수 있는 적절한 방법이 필요한데, RPC는 이러한 연결 및 상호작용 방식 중 하나로, 잔고 조회, 거래 생성, 스마트 계약과의 상호작용 등을 수행할 수 있게 해준다. 지갑에 RPC 기능이 내장되어 있기 때문에 사용자는 요청을 실행하고 블록체인과 상호작용할 수 있다. 예를 들어 사용자가 imToken 같은 지갑을 연결해 탈중앙화 거래소(DEX)를 이용하는 경우, 사실상 RPC를 통해 블록체인 서버와 통신하고 있는 것이다. 일반적으로 모든 종류의 지갑은 기본적으로 안전한 노드에 연결되므로 별도의 설정 조정이 필요 없다. 하지만 타인의 말을 쉽게 믿고 신뢰할 수 없는 노드에 지갑을 연결하면, 지갑에 표시되는 잔고 및 거래 정보가 악의적으로 조작될 수 있으며, 이로 인해 재산상의 손실이 발생할 수 있다.
MistTrack 분석
우리는 체인 상 추적 도구 MistTrack를 활용해 알려진 피해자 지갑 주소 중 하나(0x9a7…Ce4)를 분석했다. 해당 피해자 주소는 주소(0x4df…54b)로부터 소액의 1 USDT와 0.002 ETH를 받은 것을 확인할 수 있다.
주소(0x4df…54b)의 자금 흐름을 살펴보면, 이 주소는 총 3개의 주소로 각각 1 USDT를 송금한 것으로 나타나 현재까지 최소 3건의 사기 행위를 저지른 것으로 보인다.
더 상위 단계를 추적해 보면, 이 주소는 여러 거래 플랫폼과 연관되어 있으며, MistTrack에서 「돈육 도살 사기범(Pig Butchering Scammer)」으로 식별된 다른 주소들과도 거래 기록이 존재한다.
요약
이러한 사기의 교묘한 점은 사용자의 심리적 취약점을 악용한다는 데 있다. 사용자는 지갑에 돈이 들어왔는지 여부만을 집중해서 확인할 뿐, 그 이면에 숨겨진 위험을 간과하기 쉽다. 사기범들은 바로 이러한 신뢰와 부주의함을 이용해 소액 송금 등의 일련의 조작을 통해 진짜처럼 보이게 만들며 사용자를 기만한다. 따라서 슬로우미스트 보안 팀은 모든 사용자들에게 거래 시 경계심을 늦추지 말고 자기 보호 의식을 높일 것을 권고하며, 타인을 함부로 믿지 말고 본인의 재산이 손실되지 않도록 주의할 것을 당부한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@SlowMist_Team
