에어드롭 초보자 보안 가이드: 흔한 사기 수법을 알아보고 피하는 방법으로 암호화 자산을 지키세요
저자:SlowMist
번역: TechFlow
배경
이전의 Web3 보안 가이드에서 우리는 멀티시그 피싱에 대해 다루었으며, 멀티시그 지갑의 작동 방식, 공격자가 이러한 지갑을 악용하는 방법, 그리고 악성 서명으로부터 지갑을 보호하는 방법을 소개했습니다. 이번에는 전통 산업과 암호화폐 산업 모두에서 널리 사용되는 마케팅 전략인 에어드롭(airdrops)에 대해 깊이 있게 살펴보겠습니다.
에어드롭은 묻지마로 알려지지 않은 프로젝트를 단시간 내에 주목받게 만들고, 신속하게 사용자 기반을 구축하며 시장 인지도를 높이는 데 도움이 됩니다. 일반적으로 사용자는 링크를 클릭하고 프로젝트와 상호작용하여 에어드롭 토큰을 수령합니다. 그러나 위조 웹사이트에서 백도어가 포함된 도구까지, 해커는 에어드롭 과정 전반에 걸쳐 다양한 함정을 설치합니다. 본 가이드에서는 흔한 에어드롭 사기 유형을 분석하여 이러한 위험에 노출되지 않도록 조심할 수 있도록 돕겠습니다.
에어드롭이란?
에어드롭이란 Web3 프로젝트가 특정 지갑 주소에 무료 토큰을 배포함으로써 가시성을 높이고 초기 사용자를 유치하는 것을 말합니다. 이는 프로젝트가 사용자 기반을 확보하는 가장 직접적인 방법 중 하나입니다. 수령 방식에 따라 에어드롭은 일반적으로 다음과 같은 유형으로 나뉩니다.
-
태스크 기반: 콘텐츠 공유 또는 좋아요 누르기 등 프로젝트가 지정한 작업을 완료하는 방식.
-
상호작용 기반: 토큰 스왑, 송수신 또는 크로스체인 작업 등을 수행하는 방식.
-
보유 기반: 프로젝트가 지정한 토큰을 보유함으로써 에어드롭 자격을 얻는 방식.
-
스테이킹 기반: 단일 자산 또는 복합 자산 스테이킹, 유동성 제공, 장기 락업 등을 통해 에어드롭 토큰을 획득하는 방식.
에어드롭 수령의 리스크
가짜 에어드롭 사기
이러한 사기 유형은 다음과 같이 몇 가지로 나눌 수 있습니다.
1. 공식 계정 해킹: 해커가 프로젝트의 공식 계정을 장악하여 가짜 에어드롭 공지를 게시할 수 있습니다. 예를 들어, 뉴스 플랫폼에서 흔히 보는 경고 메시지는 "프로젝트 Y의 X 혹은 디스코드 계정이 해킹되었습니다. 해커가 공유한 피싱 링크를 클릭하지 마세요."라는 내용입니다. 당사의 2024년 상반기 블록체인 보안 및 자금세탁방지 보고서에 따르면, 2024년 상반기에 이러한 사건은 단 27건 발생했습니다. 사용자는 공식 계정을 신뢰하기 때문에 해당 링크를 클릭하고 피싱 사이트로 리다이렉션되어 개인키, 시드 문구 또는 권한을 입력하면 해커에게 자산을 탈취당할 수 있습니다.
2. 댓글란 위장: 해커는 종종 가짜 프로젝트 계정을 만들어 실제 프로젝트의 소셜미디어 댓글란에 에어드롭을 제공한다고 주장하는 정보를 게시합니다. 부주의한 사용자가 이러한 링크를 따라가 피싱 사이트에 접속하게 됩니다. 예를 들어, SlowMist 보안팀은 이런 전술을 분석해 "댓글란 위장 주의보"라는 제목의 글에서 조언을 제공한 바 있습니다. 또한 정식 에어드롭 발표 후, 해커는 즉시 위조 계정을 통해 피싱 링크를 배포하며 공식 계정을 모방합니다. 많은 사용자들이 이에 속아 악성 앱을 설치하거나 피싱 사이트에서 트랜잭션 서명을 하게 됩니다.
3. 사회공학 공격: 일부 경우, 사기꾼이 Web3 프로젝트 커뮤니티 그룹에 침투하여 특정 사용자를 대상으로 사회공학 기법을 이용해 사기를 벌입니다. 그들은 고객 지원 담당자나 열성 커뮤니티 멤버를 가장하며 사용자가 에어드롭을 받는 것을 도와준다고 하지만, 결국 사용자의 자산을 훔칩니다. 사용자는 공식 대표라고 주장하는 개인이 요청하지도 않은 도움을 제공할 경우 경계해야 합니다.
첫 번째 사례:
-
사용자가 암호화폐 거래소에서 3,592개의 Pendle 코인을 구입함.
-
사용자가 공식 텔레그램 그룹에서 자신이 에어드롭을 신청하지 않았다고 언급함.
-
두 명의 사람이 고객지원 직원이라고 주장하며 연락을 취함.
-
이들은 사용자에게 모든 Pendle 코인을 특정 블록체인 주소로 이체하라고 유도하며, 이를 통해 에어드롭 자격을 얻을 수 있다고 주장함.
-
사용자가 이체를 완료한 후 자신의 코인이 도난당한 것을 발견함.
두 번째 사례:
-
3월 8일 자정 무렵, 사용자가 에어드롭 수령 중 "JSON-RPC 오류"가 발생함.
-
사용자가 트위터에서 해결책을 요청함.
-
누군가 연락을 해 해결책이라며 웹사이트 링크를 제공함.
-
해당 웹사이트는 사용자에게 개인키 입력을 요구함.
-
사용자가 지시에 따라 동작했으나, 이후 사기를 당했다는 것을 깨달음.
-
도난은 3월 9일 새벽 1시 10분경 발생함.
"무료" 에어드롭 토큰
대부분의 에어드롭은 사용자가 작업을 완료하도록 요구하지만, 때때로 아무런 조작 없이도 토큰이 지갑에 나타날 수 있습니다. 해커는 종종 사용자 지갑에 가치 없는 토큰을 에어드롭하여, 사용자가 이를 전송하거나 조회하거나 탈중앙화 거래소에서 거래하려는 시도를 통해 상호작용하게 만들려고 합니다. 그러나 사용자가 이러한 악성 NFT와 상호작용하려 할 때, "아이템을 잠금 해제하려면 웹사이트를 방문하세요"라는 오류 메시지를 보게 될 수 있으며, 이는 실제로 피싱 사이트로 유도하는 함정입니다.
사용자가 악성 NFT와 연결된 피싱 사이트에 접속할 경우, 해커는 다음과 같은 행위를 시도할 수 있습니다.
-
"제로코스트(zero-cost) 구매"를 통해 고가치 NFT를 훔침("제로코스트 구매" NFT 피싱 분석 참조).
-
승인 또는 권한 서명을 통해 고가치 토큰을 탈취함.
-
로컬 자산을 훔침.
다음으로, 해커가 정교하게 설계된 악성 컨트랙트를 통해 사용자의 가스 요금을 어떻게 훔치는지 살펴보겠습니다.
먼저, 해커는 BSC(바이낸스 스마트 체인) 상에 GPT라는 악성 컨트랙트(0x513C285CD76884acC377a63DC63A4e83D7D21fb5)를 생성하고, 에어드롭 토큰을 통해 사용자가 이 컨트랙트와 상호작용하도록 유도합니다.
사용자가 이 악성 컨트랙트와 상호작용하면, 자신의 지갑에 있는 토큰 사용 승인을 요청받습니다. 사용자가 이 요청을 승인하면, 악성 컨트랙트는 사용자 지갑 잔액에 따라 자동으로 가스 한도를 늘려 후속 거래에서 더 많은 가스를 소모하게 만듭니다.
사용자가 제공한 높은 가스 한도를 활용해, 악성 컨트랙트는 남은 가스를 사용해 CHI 토큰을 민팅합니다(CHI 토큰은 가스 보상을 위해 사용 가능). 충분한 CHI 토큰을 확보한 후, 해커는 컨트랙트를 소각할 때 이 토큰들을 소각하여 가스 환급을 받을 수 있습니다.
이러한 방식으로 해커는 사용자의 가스 비용에서 교묘하게 이익을 얻게 되며, 사용자는 추가 비용을 지불하고 있다는 사실조차 알지 못할 수 있습니다. 사용자는 에어드롭 토큰을 판매해 수익을 얻으려 했지만, 오히려 자신의 로컬 자산을 잃게 됩니다.
에어드롭을 수령하는 과정에서 일부 사용자는 번역이나 토큰 희귀도 확인 등의 작업을 완료하기 위해 플러그인을 다운로드해야 할 수도 있습니다. 그러나 이러한 플러그인의 보안성은 의문이며, 많은 사용자가 공식 채널이 아닌 곳에서 다운로드함으로써 백도어가 포함된 플러그인을 설치할 위험이 크게 증가합니다.
또한, 일부 온라인 서비스는 에어드롭 수령을 위한 스크립트를 판매하며, 일괄 상호작용을 효율적으로 자동화한다고 주장합니다. 하지만 검증되지 않은 스크립트를 다운로드하고 실행하는 것은 매우 위험합니다. 출처와 실제 기능을 확인할 수 없기 때문입니다. 이러한 스크립트는 악성 코드를 포함하고 있을 수 있으며, 개인키 또는 시드 문구를 탈취하거나 자산 이체 등 무단 조작을 수행하는 잠재적 위협이 될 수 있습니다. 또한 일부 사용자는 이러한 고위험 작업을 수행하면서 백신 소프트웨어를 설치하지 않거나, 이미 설치되어 있어도 비활성화 상태로 두어 장치가 악성 소프트웨어에 감염되었는지 여부를 감지하지 못하게 되며, 이는 더 큰 손실로 이어질 수 있습니다.
그림 속 피해자는 Zengo 지갑을 사용했으며, 50개의 개별 계정과 50개의 로컬 계정을 보유하고 있었습니다. 5월 9일 저녁 10시 22분 이후, 피해자는 기존 ETH(이더리움)가 사라진 것을 발견했습니다. 계정이 해킹된 것으로 확인되었을 때, 모든 계정의 자금이 이미 도난당한 상태였습니다.
원인은 피해자가 알지 못한 채 트로이 목마 프로그램을 다운로드했을 가능성이 큽니다. 백신 소프트웨어와 방화벽 간의 호환성 문제로 인해 피해자는 이를 비활성화했으며, 이후 백신 소프트웨어로 스캔한 결과 컴퓨터에 21개의 트로이 목마가 설치된 것이 확인되었습니다.
결론
본 가이드에서는 흔한 사기 수법을 분석함으로써 에어드롭 수령과 관련된 다양한 위험을 강조했습니다. 에어드롭은 인기 있는 마케팅 전략이지만, 사용자는 아래와 같은 조치를 통해 이 과정에서 자산 손실의 위험을 줄일 수 있습니다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@DeFiHackLabs
