
피싱 공격 차단: OKX Web3 지갑의 4대 리스크 거래 차단 기능을 한 문으로 이해하기
Scam Sniffer가 발표한 2024년 상반기 피싱 보고서에 따르면, 2024년 상반기에만 EVM 체인에서 26만 명의 피해자가 발생해 총 3.14억 달러를 잃었으며, 이 중 20명은 각각 100만 달러 이상을 손실했습니다. 특히 한 피해자는 무려 1100만 달러를 잃어 역사상 두 번째로 큰 도난 피해자가 되었습니다.
보고서 요약에 따르면 현재 대부분의 ERC20 토큰 도난은 Permit, IncreaseAllowance, Uniswap Permit2 등의 낚시 서명(피싱 사인)으로 인해 발생하고 있으며, 주요 대규모 도난 사건들은 스테이킹(Staking), 리스테이킹(Restaking), Aave 담보 및 Pendle 토큰과 관련이 깊습니다. 피해자들은 주로 위조된 트위터 계정의 악성 댓글을 통해 피싱 사이트로 유도됩니다.
피싱 공격은 여전히 블록체인 상에서 가장 심각한 보안 문제 영역입니다.
사용자의 기본 거래 수요를 처리하는 입문형 제품으로서 OKX Web3 지갑은 보안 강화와 사용자 교육에 집중하고 있습니다. 제품 차원에서 팀은 최근 고빈도 피싱 시나리오에 초점을 맞춰 위험 거래 차단 기능을 업그레이드했으며, 앞으로도 더욱 다양한 위험 시나리오를 추가적으로 식별하여 사용자에게 경고할 예정이라고 밝혔습니다.
본 문서는 OKX Web3 지갑이 최신 업데이트한 네 가지 위험 거래 차단 기능의 적용 사례와 함께 일부 도난 사례의 작동 원리를 설명함으로써 독자 여러분께 도움을 드리고자 합니다.
1. EOA 계정에 대한 악성 권한 부여
6월 26일, 한 사용자가 위조된 Blast 피싱 웹사이트에서 여러 개의 악성 서명을 하여 21.7만 달러를 잃었습니다. 7월 3일, ZachXBT는 주소 0xD7b2가 Fake_Phishing_187019 피싱 공격의 피해를 입어 BAYC NFT 6개와 Beans 토큰 40개(약 100만 달러 이상)를 잃었다고 보고했습니다. 7월 24일에는 Pendle 사용자가 Permit 관련 피싱 서명으로 인해 약 469만 달러 상당의 PENDLEPT 리스테이킹 토큰을 도난당했습니다.
지난 두 달간 다양한 형태의 서명 피싱으로 인한 손실 사건과 금액이 적지 않으며, 이는 반복적으로 보안 문제가 발생하는 중요한 시나리오입니다. 대부분의 경우는 해커가 사용자를 유도해 자신의 EOA(외부 소유 계정)에 권한을 부여하게 만드는 것입니다.
EOA(Externally Owned Account)는 '외부 소유 계정'으로도 번역되며, 이더리움 중심의 블록체인 네트워크에서 사용되는 계정 유형 중 하나입니다. 다른 하나는 스마트 계약이 제어하는 '계약 계정(Contract Account)'이며, EOA는 사용자가 개인적으로 소유하고 있으며 스마트 계약의 제어를 받지 않습니다. 사용자들이 일반적으로 블록체인 활동을 할 때는 프로젝트 팀의 스마트 계약 계정에 권한을 부여하지, 개인이 소유한 EOA 계정에 권한을 주지는 않습니다.
현재 가장 일반적인 세 가지 권한 부여 방식은 다음과 같습니다. Approve는 ERC-20 토큰 표준에 포함된 일반적인 권한 부여 방법으로, 제3자(예: 스마트 계약)가 토큰 소유자의 이름으로 일정량의 토큰을 사용할 수 있도록 허용합니다. 사용자는 특정 스마트 계약에 미리 일정량의 토큰을 승인해야 하며, 이후 해당 계약은 언제든지 transferFrom 함수를 호출해 토큰을 전송할 수 있습니다. 만약 사용자가 악성 계약에 권한을 부여하면, 해당 토큰은 즉시 탈취될 수 있습니다. 참고로, 피해자의 지갑 주소에서는 Approve 권한 부여 내역을 확인할 수 있습니다.
Permit는 ERC-20 표준에서 확장된 권한 부여 방식으로, 스마트 계약을 직접 호출하는 것이 아니라 메시지 서명을 통해 제3자가 토큰을 사용할 수 있도록 승인합니다. 간단히 말해, 사용자는 서명만으로도 타인이 자신의 토큰을 이전할 수 있도록 허용할 수 있습니다. 해커는 이를 악용해 로그인 버튼을 Permit 서명으로 위장한 피싱 사이트를 만들고, 쉽게 사용자의 서명을 획득할 수 있습니다.
Permit2는 ERC-20 표준 기능이 아닌, 유니스왑(Uniswap)이 사용자의 편의를 위해 도입한 기능입니다. 이 기능을 통해 유니스왑 사용자는 단 한 번의 가스비만으로 모든 거래를 처리할 수 있습니다. 하지만 주의할 점은, 만약 당신이 유니스왑을 사용하면서 무제한 토큰 권한을 부여했다면, Permit2 피싱 공격의 대상이 될 수 있다는 것입니다.
Permit 및 Permit2는 오프라인 서명 방식이므로, 피해자의 지갑 주소는 가스비를 지불하지 않으며, 피싱 공격자가 권한 부여를 체인에 등록합니다. 따라서 이러한 서명의 흔적은 오직 피싱 공격자의 지갑 주소에서만 확인할 수 있습니다. 현재 Permit 및 Permit2 서명 피싱은 Web3 자산 보안 분야에서 가장 큰 위협 중 하나입니다.
이 시나리오에서 OKX Web3 지갑의 차단 기능은 어떻게 작동하나요?
OKX Web3 지갑은 서명 대기 중인 거래를 사전에 분석하여, 해당 거래가 권한 부여 행위이고 그 대상이 EOA 주소일 경우 사용자에게 경고를 표시함으로써 피싱 공격을 방지하고 자산 손실을 막습니다.

2. 계정 Owner의 악성 변경
계정의 Owner를 악성으로 변경하는 사건은 TRON, Solana 등 계정 owner 구조를 갖춘 블록체인에서 주로 발생합니다. 사용자가 서명만 하면 계정에 대한 통제권을 즉시 잃게 됩니다.
TRON 지갑을 예로 들면, TRON의 다중 서명 권한 시스템은 Owner, Witness, Active 세 가지 권한을 지원하며, 각각 특정한 기능과 용도를 가지고 있습니다.
Owner 권한은 모든 스마트 계약과 작업을 실행할 수 있는 최고 권한을 가지며, 다른 권한들을 수정하거나 새로운 서명자를 추가/삭제할 수 있습니다. 계정 생성 후 기본적으로 본인 계정이 이 권한을 소유합니다.
Witness 권한은 슈퍼 대표(Super Representatives)와 관련이 있으며, 이 권한을 가진 계정은 슈퍼 대표 선거 및 투표에 참여하고 관련 운영을 관리할 수 있습니다.
Active 권한은 송금 및 스마트 계약 호출과 같은 일상적인 작업에 사용됩니다. 이 권한은 Owner 권한에 의해 설정 및 수정되며, 특정 작업을 수행해야 하는 계정에 할당하는 데 사용됩니다. 이는 TRX 송금, 자산 스테이킹 등 여러 권한 작업의 집합입니다.
첫 번째 시나리오는 해커가 사용자의 개인키 또는 복구 문구를 획득한 후, 사용자가 멀티시그(Multisig) 기능을 사용하지 않았다면(즉, 지갑이 단일 사용자만으로 제어됨), 해커는 Owner/Active 권한을 자신의 주소로 이전하거나 자신에게 권한을 부여할 수 있습니다. 이러한 조작은 일반적으로 '악성 다중 서명'이라고 불립니다.
또 다른 경우는 사용자의 Owner/Active 권한이 제거되지 않았더라도, 해커가 다중 서명 기능을 이용해 사용자와 공동으로 계정을 제어하는 것입니다. 이 경우 사용자는 여전히 개인키/복구 문구를 보유하고 Owner/Active 권한을 갖고 있지만, 자산을 전송할 수 없습니다. 자산 송금 요청 시 사용자와 해커의 주소 모두 서명해야 비로소 거래가 실행되기 때문입니다.
세 번째 시나리오는 해커가 TRON의 권한 관리 시스템을 악용해 사용자의 Owner/Active 권한을 자신의 주소로 직접 이전함으로써 사용자가 실질적인 통제권을 완전히 상실하게 만드는 것입니다.
위 세 가지 경우의 결과는 동일합니다. 사용자가 여전히 Owner/Active 권한을 보유하고 있든 없든, 계정에 대한 실제 통제권을 잃게 되며, 해커는 최고 권한을 얻어 계정 권한 변경, 자산 이동 등을 마음대로 수행할 수 있게 됩니다.
이 시나리오에서 OKX Web3 지갑의 차단 기능은 어떻게 작동하나요?
OKX Web3 지갑은 서명 대기 중인 거래를 사전 분석하여, 거래 내용에 계정 권한 변경이 포함되어 있음을 감지하면 즉시 거래를 차단하고, 사용자가 추가 서명을 진행하지 못하도록 근본적으로 방지합니다.
이 위험은 매우 치명적이므로, 현재 OKX Web3 지갑은 해당 거래를 완전히 차단하며 사용자가 추가 거래를 진행할 수 없습니다.

3. 송금 주소의 악성 변경
송금 주소의 악성 변경은 주로 DApp 계약 설계가 불완전한 경우에 발생합니다.
3월 5일, @CyversAlerts는 주소 0xae7ab로 시작하는 계정이 EigenLayer로부터 4개의 stETH를 수령했지만, 계약에서 14,199.57달러를 손실했으며, 이는 피싱 공격의 징후라고 모니터링했습니다. 또한, 이미 여러 피해자가 메인넷에서 「queueWithdrawal」피싱 거래에 서명했다고 지적했습니다.
Angel Drainer는 이더리움 스테이킹 특성을 노렸으며, 일반적인 ERC20 "Approve" 방식과 다르게 EigenLayer Strategy Manager 계약의 queueWithdrawal (0xf123991e) 함수를 악용했습니다. 핵심은, 사용자가 「queueWithdrawal」거래에 서명하면, 악성 '출금자(drainer)'가 EigenLayer 프로토콜에서 사용자의 스테이킹 보상을 공격자가 지정한 주소로 인출할 수 있도록 승인하게 된다는 것입니다. 즉, 피싱 웹페이지에서 거래를 승인하면, 당신의 EigenLayer 스테이킹 보상은 공격자의 것이 됩니다.
악성 공격 탐지를 더욱 어렵게 만들기 위해, 공격자는 'CREATE2' 메커니즘을 사용해 출금을 빈 주소로 승인합니다. 이는 새로운 승인 방식이기 때문에 대부분의 보안 제공업체나 내부 보안 도구가 이를 파싱하거나 검증하지 못하며, 대부분의 경우 정상 거래로 간주됩니다.
이 사례 외에도 올해 들어 주요 퍼블릭 체인 생태계에서 일부 DApp 계약의 설계 결함으로 인해 사용자의 송금 주소가 악성으로 변경되어 자금을 잃는 사례가 계속 발생하고 있습니다.
이 시나리오에서 OKX Web3 지갑의 차단 기능은 어떻게 작동하나요?
EigenLayer 피싱 공격 시나리오에 대해 OKX Web3 지갑은 「queueWithdrawal」관련 거래를 분석하여, 사용자가 공식 사이트가 아닌 곳에서 거래를 하고 있으며, 인출 주소가 사용자 자신의 주소가 아닐 경우 경고를 표시하고 추가 확인을 강제함으로써 피싱 공격을 방지합니다.

4. 유사 주소 송금
유사 주소 송금 공격은 피해자가 실제 주소와 매우 흡사한 가짜 주소를 사용하도록 속여 자금이 공격자 계정으로 이전되게 만듭니다. 이러한 공격은 종종 복잡한 혼동 및 익명화 기술을 동반하며, 공격자는 여러 지갑과 크로스체인 이체를 활용해 추적을 어렵게 만듭니다.
5월 3일, 대규모 웨일(Whale) 계정이 앞뒤 주소 숫자가 동일한 피싱 공격을 당해 1155개의 WBTC(약 7000만 달러 상당)를 도난당했습니다.
이 공격의 논리는, 해커가 사전에 대량의 피싱 주소를 생성하고 배치 프로그램을 분산 배포한 후, 체인 상의 사용자 동향을 보며 목표 송금 주소와 앞뒤 4자리 및 뒤 6자리(0x 제외)가 동일한 주소로 공격을 시도한다는 것입니다. 이번 사건에서 해커는 피해자의 송금 주소와 앞뒤 숫자가 일치하는 주소를 사용했습니다. 사용자가 송금한 직후, 해커는 약 3분 후에 해당 피싱 주소로 피해자에게 0 ETH를 송금하는 트랜잭션을 실행해, 피싱 주소가 사용자의 거래 기록에 나타나도록 했습니다.
사용자는 지갑의 거래 기록에서 최근 거래 정보를 복사하는 습관이 있는데, 이 피싱 거래를 보고 주소를 꼼꼼히 확인하지 않고 복사함으로써 결국 1155개의 WBTC를 피싱 주소로 잘못 전송하게 된 것입니다.
이 시나리오에서 OKX Web3 지갑의 차단 기능은 어떻게 작동하나요?
OKX Web3 지갑은 체인 상의 거래를 지속적으로 모니터링하며, 큰 규모의 거래 직후 사용자의 의지와 무관하게 즉시 의심스러운 거래가 발생하고, 그 상대방 주소가 대규모 거래의 상대방과 매우 유사할 경우, 해당 주소를 유사 주소로 판단합니다.
사용자가 이후 이러한 유사 주소와 상호작용할 경우 OKX Web3 지갑은 경고를 표시하며 차단합니다. 또한 거래 기록 페이지에서는 유사 주소 관련 거래를 바로 표시해 사용자가 실수로 주소를 붙여넣어 자산을 손실하는 것을 방지합니다. (현재 8개 체인 지원)

맺음말
요약하자면, 2024년 상반기 동안 에어드롭 피싱 이메일, 프로젝트 공식 계정 해킹 등 보안 사고가 여전히 빈번했습니다. 사용자들은 이러한 에어드롭과 이벤트에서 수익을 얻는 동시에 전에 없던 보안 위험에도 직면하고 있습니다. 해커는 공식처럼 위장한 피싱 이메일, 가짜 주소 등을 통해 사용자의 개인키 유출이나 악성 송금을 유도합니다. 또한 일부 프로젝트의 공식 계정이 해킹되면서 사용자 자금이 손실되기도 했습니다. 평범한 사용자들에게는 이런 환경에서 무엇보다 경각심을 갖고 보안 지식을 충분히 습득하는 것이 중요합니다. 또한 가능하면 신뢰할 수 있는 리스크 관리가 잘 된 플랫폼을 선택하는 것이 좋습니다.
위험 고지 및 면책 조항
본 문서는 참고용으로만 제공됩니다. 본문은 필자의 견해를 표현하며, OKX의 입장과는 다를 수 있습니다. 본문은 (i) 투자 조언 또는 추천, (ii) 디지털 자산의 매수/매도/보유 제안, (iii) 재무, 회계, 법률 또는 세무 자문을 제공할 의도가 없습니다. 정보의 정확성, 완전성, 유용성을 보장하지 않습니다. 디지털 자산(스테이블코인 및 NFT 포함) 보유는 높은 위험을 수반하며 가격이 급격히 변동할 수 있습니다. 거래 또는 디지털 자산 보유가 본인에게 적합한지 신중히 판단하시기 바랍니다. 구체적인 상황은 법률/세무/투자 전문가에게 문의하시기 바랍니다. 현지 법령 및 규정을 이해하고 준수하는 책임은 전적으로 본인에게 있습니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News














