2024년 최대 암호화폐 사기
글: NEFTURE SECURITY
번역: 백화블록체인
2024년은 웹3 일반 투자자들에게 참으로 잔혹한 한 해였다. 너무나 많은 투자자들이 사기범과 해커들에 의해 통째로 약탈당했다.
이전 보도에서 언급된 바와 같이 일반 투자자의 손실 금액을 정확히 파악하는 것은 극도로 어려운 작업이지만, 범죄 보고서에 따르면 최소 58억 4천만 달러가 그들의 지갑에서 사라졌다. 이 중 적어도 40억 달러는 '돼지 사육' 사기로 인해 손실되었으며, 10억 달러 이상은 피싱 사기(지갑 도용 및 주소 중독 포함)로 인해 손실되었고, 4억 4400만 달러는 이중 사기로 인한 것으로 집계되었다.
물론 2024년의 암호화폐 시장 상황이 이러한 사기범들에게 거대한 기회를 제공했다는 점을 분명히 짚어내야 한다.
2023년 말부터 시작된 강세장은 2024년 3월 14일 비트코인이 73,738달러라는 새로운 역대 최고치를 기록하며 정점에 달했고, 이는 숙련된 암호화폐 애호가뿐만 아니라 열망하는 다수의 신규 일반 투자자들을 끌어들여 유동성을 크게 증가시켰다. 2024년은 비트코인이 10만 달러를 돌파할 것이라 여겨졌던 해이며(실제로 그랬다!), 미멘 코인 슈퍼 사이클의 폭발적인 활동과 함께 2023년의 암호화폐 시장을 마치 '유령 도시'에서 번성하는 활력 넘치는 거래 중심지로 바꿔놓았다!
출처: Dune
많은 초보자들은 암호화폐 세계의 위험한 수심을 전혀 알지 못하고 있어 사기범들에게 가장 이상적인 표적이 되었다. 장기간의 고통스러운 약세장을 견뎌낸 숙련된 트레이더들도 FOMO(놓칠까 두려움)에 쉽게 노출되어 사기범들이 일반 투자자들을 약탈하기 위한 완벽한 환경을 조성했다.
놀랍게도 '돼지 사육' 사기를 제외하면, 2024년 상위 5개 사기 프로젝트만으로도 무려 6.11억 달러의 손실이 발생했다.
다음은 2024년 가장 성공한 암호화폐 사기 사례들이다!
1. 2.43억 달러 도난: 지금까지 가장 큰 소셜 엔지니어링 피싱 강도 사건 — 연간 두 번째로 큰 강도 사건
2024년 가장 충격적인 암호화폐 사기는 단순한 소셜 엔지니어링 피싱 공격이었으며, 그 엄청난 규모로 인해 북한 위협 그룹이 DMM Bitcoin의 개인키를 탈취하여 3.08억 달러를 훔친 사건 다음으로 연간 두 번째로 막대한 재정적 피해를 낸 범죄로 기록됐다.
현재까지 이 사건은 개별 개인이 단 한 번의 암호화폐 피싱 공격으로 입은 최대 손실 금액으로 보인다.
2024년 8월 19일, 암호수사 전문가 ZachXBT는 트위터를 통해 여러 중앙화 거래소(CEX)를 통해 자금이 씻기고 현금화된 약 2.38억 달러 규모의 의심스러운 이체를 발견했다고 밝혔다. 이후 피해자의 정체에 대한 소문이 돌았다—개인일까, 헤지펀드일까, 거래소일까? 이 강도 사건은 어떻게 실행되었는가: 개인키 취약점을 이용했는가, 피싱이었는가, 아니면 둘 다였는가?
그동안 사건의 세부 정보는 거의 알려지지 않았고, ZachXBT가 Firn Protocol과 NonKYC가 도난된 자금 중 약 50만 달러를 동결시키는 데 성공했다는 두 차례 업데이트 외에는 별다른 진전이 없었다—이 또한 극히 미미한 금액이었다.
한 달 후, 즉 2.38억 달러 규모의 공격이 발생한 지 정확히 한 달이 지난 후, ZachXBT는 다시 트위터를 통해 사건의 전체 내막을 공개했다.
ZachXBT의 조사 지도 — 출처: ZachXBT
이 강도 사건은 "극도로 정교한 소셜 엔지니어링 공격"으로, 특정 개인을 대상으로 한 피싱 사기였다. 피해자는 파산한 암호화폐 거래 회사 Genesis의 채권자였다.
공격 당일, 그는 구글 지원팀을 가장한 사기 전화를 받았고, 이를 통해 자신의 개인 계정이 침해당했다. ZachXBT의 조사에 따르면, 이후 다시 전화가 와서 이번엔 Gemini 지원팀을 가장한 사기범이 피해자의 Gemini 계정이 해킹되었다며 이중 인증(2FA)을 재설정하고 자금을 이체하라고 지시했다.
반복적인 설득 끝에 피해자는 AnyDesk를 사용해 화면을 공유했고, 그 결과 공격자가 Bitcoin Core의 개인키에 접근하고 유출시킬 수 있었다.
공격자는 2.43억 달러를 성공적으로 훔쳐냈으며, 즉시 자금을 여러 지갑으로 분산시키고 15개 이상의 거래소로 이체하려 했다. ZachXBT의 연구에 따르면, 도난된 자산은 추적을 감추기 위해 비트코인, 라이트코인, 이더리움, 모네로 사이에서 빠르게 전환되었다.
ZachXBT의 초기 취약점 추적 — 출처: ZachXBT
불행하게도 그들에게는, 그러나 피해자에게는 운 좋게도, 공격 및 도주 과정에서 그들은 충분히 주의하지 못했다. 이러한 부주의함 덕분에 ZachXBT는 피싱 공격을 세 명의 주요 용의자와 그들의 공범들로 추적할 수 있었다.
ZachXBT가 작성한 용의자 명단 — 출처: ZachXBT
그들이 저지른 수많은 실수 중 하나는 화면 공유 중 두 사람의 이름을 피해자에게 노출시킨 것이었다.
출처: ZachXBT 트위터
또 다른 실수는 자금세탁 기술과 관련이 있다. 공격자들이 대부분의 도난 자금을 모네로로 전환했지만, ZachXBT는 두 사람이 입금 주소를 반복 사용하여 도난 자금과 깨끗한 자금을 실수로 혼합했다는 사실을 발견했다. 또 한 명의 공격자는 화면 공유 중 고급 명품 옷을 구매하는 데 사용한 주소를 노출시켰는데, 이 주소는 수백만 달러의 도난 자금과 연결되어 있었다.
출처: ZachXBT 트위터
대부분의 용의자들은 소셜 미디어에 충분한 흔적을 남겼거나(또는 그들의 전 연인 등이 흔적을 남겼고), 결국 ZachXBT의 조사로 인해 정체가 드러났다. ZachXBT는 BN 보안팀, Zero Shadow 및 CryptoForensic Investigators와 협력하여 추가로 900만 달러를 동결시키는 데 성공했다.
ZachXBT가 조사 결과를 발표하기 하루 전날, Box(Jeandiel Serrano, 21세)와 Greavys(Malone Lam, 20세)가 FBI에 체포되었으며, 9월 19일 기소되었다.
Malone Lam — 출처: ZachXBT
소셜 엔지니어링을 통한 피싱 공격은 많은 고수익 암호화재산 강탈 사건의 핵심이었으며, 특히 한 개인으로부터 거의 1.25억 달러를 훔치려는 극도로 정교한 공격도 있었다.
2. 2024년 11월 1.29억 달러 주소 중독 공격
2024년 11월 20일, 한 피해자가 주소 TGrS7QNCf85X2B6ddvGZY2MF9VwvFn6XAE에서 TMStAjRQHDZ8b3dyXPjBv9CNR3ce6q1bu8로 약 1.297억 달러를 이체하기로 결정했다.
먼저 100 USDT를 테스트 전송으로 주소 TMStaj…6q1bu8로 보냈다. 거래가 성공적으로 완료된 직후, 피해자는 즉시 전체 1.297억 달러를 이체하기로 결정했다.
하지만 그는 몰랐다. 테스트 거래 후 사기범이 테스트 주소처럼 위장한 주소로 그의 지갑에 '먼지 살포'(1 USDT를 보냄)를 했다는 것을. 피해자가 목적지 주소를 복사-붙여넣기 할 때, 그는 실수로 이 가짜 주소를 선택하고 말았다. 이 가짜 주소는 매우 거칠게 위조되었으며, 마지막 6자리만 일치하고 앞부분은 완전히 달랐고, TMStaj가 아닌 THcTxQ로 시작했다.
출처: Certik
다행히 주소 중독범은 1시간 내에 1.167억 달러를 반환했고, 4시간 후 나머지 1297만 달러도 반환했다.
두 번의 이체와 두 번째 이체 금액(1297만 달러)은 공격자가 처음에 10%의 '버그 바운티'를 가져가려 했으나 나중에 마음을 바꿨음을 시사한다.
출처: SlowMist via ScamSniffer
그들이 모든 자금을 반환한 가장 가능성 높은 이유는 두려움—거액의 도난으로 인해 자원이 있는 피해자, 블록체인 포렌식 커뮤니티 및 법 집행 기관의 추적을 두려워한 것이다.
3. Crypto4winners: 1억 달러의 폰지 사기
2024년 3월 9일, 월 3~20%의 수익을 약속했던 투자 회사 Crypto4winners가 "취약점 공격"을 당했다고 발표했다.
출처: Crypto4winners 텔레그램 채널
Crypto4winners는 이 '해킹'으로 인해 문제 해결 전까지 자금 인출을 처리할 수 없다고 주장했다.
문제는 두 달 전, 암호화폐 매체 DL News가 Crypto4winners의 공동 소유자 중 한 명이 룩셈부르크인 Luc Schiltz이며, 그가 2017년 150만 달러 이상을 사기한 혐의로 6년형을 선고받고 2년만 복역한 후 Crypto4winners 프로젝트를 공동 창업했다고 이미 폭로했다는 점이었다.
따라서 '해킹' 발표 직후 즉각 의심이 일었다. 초기 공지 이후 Crypto4winners는 완전히 침묵했다. 3월 12일 또는 그 이전에 고객들은 변호사와 경찰에 연락했다.
이틀 후, Crypto4winners가 폰지 사기의 모든 특징을 갖추고 있으며 수천 명의 피해자를 내고 최소 1억 달러의 손실을 초래한 것으로 밝혀졌다.
DL News에 따르면, Luc Schiltz는 Crypto4winners의 공동 창립자였지만 자신의 관여를 숨기고 있었다. 공개된 CEO이자 창립자는 또 다른 룩셈부르크인 Adrien Castellani였지만, 실제로 Castellani는 Luc Schiltz와 함께 회사를 공동 창업한 것이었다.
출처: Virgule
Luc Schiltz가 Crypto4winners에 참여했다는 의혹이 오랫동안 제기되었음에도 불구하고, 그는 결코 공동 창립자나 파트너라고 인정하지 않고 단지 자문 역할이라고만 주장했다. 2023년에는 그는 연말까지 Crypto4winners와 완전히 단절하겠다고 약속했지만, 분명히 지키지 않았다.
출처: DL News
거짓말은 계속되었다.
예를 들어 그들이 약속한 광기 어린 수익률. 그들은 2019년 이래 고객의 비트코인 예금이 377%의 수익을 올렸다고 주장했으며, 암호화폐 시장의 등락과 무관하게 월평균 7~20%의 수익을 보장한다고 했는데, 이는 전형적인 암호화폐 폰지 사기의 특징이다.
또한 Chainalysis 및 Ledger와 협력 중이라고 주장했지만, 이에 대해 두 회사는 2022년 공개적으로 이를 부인했다.
Crypto4winners는 스웨덴에 등록되어 있다. 2023년 스웨덴 기업등록소는 2021년 및 2022년 연차보고서 제출을 요구했으나, 이들은 신탁 관리 회사로서 제출할 필요가 없다고 주장했는데 이 역시 거짓이었다. 청산이나 무효 선언이라는 위험이 있음에도 불구하고 마감일이 되도록 보고서를 제출하지 않았다.
또한 Crypto4winners는 겉보기에 룩셈부르크-스웨덴 법인이었지만, 실제로는 두바이, 리투아니아, 아일랜드, 스웨덴, 룩셈부르크로 구성된 복잡한 구조를 통해 운영되고 있었다.
더 심각한 것은, Crypto4winners는 실질적으로 유령 회사였으며, 투자자들의 자금은 모두 아일랜드에 위치한 Big Wave Developments Limited라는 회사로 이체되었다.
룩셈부르크 언론 Virgule에 따르면, 추정 1억 달러의 고객 자금 중 Big Wave Developments Limited 계좌에는 20만 달러도 남아 있지 않았다.
이 사건 전체에서 가장 충격적인 것은 바로 붕괴의 원인인데, 바로 Luc Schiltz가 기억상실증에 걸렸다는 매우 이상한 교통사고 때문이었다.
3월 5일 새벽, Luc Schiltz는 도로변 가드레일을 들이받았고 차량이 언덕 위로 올라갔다. 룩셈부르크 경찰에 따르면 그는 이 사고에서 아무런 부상을 입지 않았지만, 이후 이유를 알 수 없이 고속도로로 걸어 나가 버스에 치였다.
치명적인 부상은 입지 않았고, 정형외과 병동에 입원했다.
그러나 그는 사고로 인해 기억상실증에 걸렸다고 주장했다. 문제는 Luc Schiltz가 고객 자금을 완전히 통제하고 있었기 때문에, 이제 더 이상 암호화폐 지갑과 거래소 계정의 자금에 접근할 수 없게 되었다는 점이다.
Virgule의 조사와 사고 후 며칠간 Luc Schiltz를 방문한 사람들에 따르면, 그의 기억상실은 의심스럽다.
Adrien Castellani의 친구 Mario라는 익명의 인물은 Virgule에 이렇게 회상했다:
「처음엔 기억상실을 가장하다가, 우리에게 부모님께 USB 키를 받아오겠다며 모든 것이 정상화될 것이라고 말했다…」(프랑스어에서 번역)
바로 그날, Mario는 Crypto4winners와 Big Wave Developments Limited가 유령 회사임을 깨달았다. 이후 3월 12일 Shiltz와의 통화에서 Mario는 Big Wave Developments Limited 계좌에 남아 있는 20만 달러를 묻자, Shiltz는 이것이 정상이라고 안심시키며 단지 핫월렛의 자금일 뿐이라고 답했다.
기억상실을 주장했지만, Luc Shiltz는 자신의 정체와 회사 운영 방식을 완전히 이해하고 있는 것으로 보였다. 그렇다면 도대체 무엇을 잊어서 자금에 접근할 수 없는 것인가? 분명히 시드 문구(seed phrase)는 아니었다. 암호화 역사상 한 사람이 기억만으로 1억 달러를 관리하는 경우는 거의 전무하다.
자신도 모든 것이 부모님에게 있다고 말했고, 곧 정상화될 것이라고 확신했다. 그렇다면 문제가 어디에 있는가?
이 사건과 그로 인해 제기된 모든 의문들이 법정에서 밝혀지기를 기대한다.
3월 15일, 룩셈부르크 공공검사청은 Crypto4winners에 대해 사기 및 자금세탁 혐의 조사를 개시했으며, 두 명의 개인이 구속되어 기소되었다.
그 중 한 명은 Luc Shiltz로 알려졌다.
출처: TrustPilot
4. 2024년 5월 7200만 달러 주소 중독 공격
2024년 5월 3일, 한 사람이 주소 중독 공격의 피해자가 되었으며, 이 공격은 당시 역사상 가장 큰 주소 중독 강도 사건이 되었다. 피해자는 악성 주소로 1155개의 와퍼드 비트코인(wrapped bitcoin)을 이체하여 7270만 달러를 잃었다.
사건의 전말은 극도의 불운으로 요약된다. 피해자는 먼저 합법적인 주소(0xd9A1b로 시작)로 149달러의 테스트 전송을 성공적으로 완료했다. 이후 잘못된 주소—즉 0xd9A1b을 흉내 낸 중독 주소—를 복사-붙여넣기 해 버렸다.
주소 중독 분석 — 출처: Chainalysis
피해자는 10%의 '버그 바운티'를 제안하며 자금 반환을 협상했지만 실패했다. 공격자는 탐욕에 눈이 멀어 자신이 무사히 도망칠 수 있을 것이라 생각했지만, 큰 오산이었다.
피해자가 공격자에게 보낸 메시지 — 출처: Chainalysis
전체 블록체인 보안 커뮤니티가 조사에 힘을 모았고, 곧 공격자가 자금을 반환한다는 소식이 전해졌다. 다만 720만 달러는 '버그 바운티'로 남겨두었다. 5월 10일, 공격자는 거의 모든 도난 자금을 반환했으며, 토큰 가치 상승으로 인해 단 300만 달러만 가져갔다.
2주 후, Match Systems의 CEO Andrey Kutin의 보고에 따르면, 자금이 빠르게 반환된 것은 공격자의 양심 때문이 아니라, 그들이 흔적을 최대한 숨기려 했음에도 불구하고 '장치 지문(device fingerprint)'이 일부 정체를 노출시켰기 때문이었다.
5. Epoch Times 최고재무책임자(Bill Guan)의 6700만 달러 암호화폐 사기 및 자금세탁 강도 사건
2024년 6월, Epoch Times의 최고재무책임자(CFO) Bill Guan이 대규모 암호화폐 사기 혐의로 체포되었다.
미국 사법부(DOJ)는 Guan이 실업보험 사기 등을 통해 획득한 최소 6700만 달러의 사기 수익 자금을 세탁하기로 공모한 혐의를 제기했다. 이 계획은 할인된 가격으로 불법 자금을 암호화폐로 구입한 후 Epoch Times 계정을 포함한 여러 계정을 통해 자금을 이체해 자금 출처를 숨긴 것으로 알려졌다.
은행이 그의 수입이 1년 만에 1500만 달러에서 410% 증가한 6200만 달러를 초과했다고 보고하면서 이 암호화폐 사기가 발각되었다.
사법부의 기소 문서는 이 혐의가 Epoch Times의 뉴스 활동과는 관련이 없다고 강조했다. Guan은 공모 자금세탁 및 은행 사기 등의 중대 혐의로 기소되어 최대 80년의 징역형을 받을 수 있다.
6 요약
2024년은 웹3 분야에서 일반 투자자들에게 위험이 도사리는 한 해였다. 사기와 해킹 활동이 기승을 부리며 투자자들이 총 58.4억 달러의 손실을 입었고, 이 중 '돼지 사육', 피싱 사기, 이중 사기 등이 주요 범죄 형태였다. 비트코인 강세장에서 미멘 코인 슈퍼 사이클에 이르기까지 시장의 번영은 다수의 초보자와 숙련된 투자자들을 끌어들였지만, 동시에 그들을 사기범들의 이상적인 표적으로 만들기도 했다. 그럼에도 불구하고 일부 도난 자금의 회수가 이루어지고 관련 법 집행 기관과 블록체인 보안 커뮤니티가 범죄 행위를 강력히 추적하고 단속하는 등 긍정적인 신호도 나타났다.
하지만 이러한 사건들은 암호화폐 시장의 위험이 어디에나 존재함을 다시 한번 일깨워준다. 투자자들은 높은 수익을 추구하면서도 경계심을 늦추지 말고 보안 의식을 강화하며 신중하게 모든 투자 결정을 내려야 하며, 다음 피해자가 되지 않도록 주의해야 한다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@coinmonks
