이더리움 주소 중독 공격이 고도화됨: 한 번의 송금 후, 그는 89통의 경고 이메일을 수신했다
글쓴이: etherscan.eth
번역: AididiaoJP, Foresight News
몇 주 전, Etherscan 사용자인 Nima라는 사람이 불쾌한 경험을 공유했다. 그는 단 두 차례의 안정화폐(스테이블코인) 송금만 완료했음에도 불구하고 짧은 시간 내에 89통 이상의 주소 모니터링 알림 이메일을 받았다.
Nima가 지적한 바에 따르면, 이러한 경고는 ‘주소 중독(Address Poisoning)’ 거래에 의해 유발된 것이다. 공격자가 이러한 거래를 생성한 유일한 목적은, 사용자의 거래 기록에 고도로 유사한 위조 주소를 삽입하여 다음 송금 시 해당 위조 주소를 실수로 복사·사용하도록 속이기 위함이다.
주소 중독은 이더리움에서 수년간 존재해 온 현상이다. 그러나 최근의 사례들은 이러한 공격이 이제 고도로 자동화되고 대규모화되었음을 보여준다. 과거에는 드물게 발생하던 잡음 같은 스팸이었지만, 지금은 대량으로 실행될 수 있으며, 공격자는 일반적으로 합법적인 거래 후 수 분 이내에 중독 거래를 삽입한다.
현재 이와 같은 공격이 더욱 흔해진 이유를 이해하기 위해선 두 가지 측면에서 분석해야 한다. 첫째는 주소 중독 공격 기법의 진화 과정이며, 둘째는 이러한 공격이 대규모로 쉽게 실행 가능한 근본적인 원인이다.
또한 본 글에서는 사용자가 이러한 공격을 효과적으로 방어할 수 있도록 핵심 예방 원칙 하나를 중점적으로 설명한다.
1. 주소 중독의 산업화 발전
주소 중독은 과거에는 기회주의적 공격자들이 사용하는 소수의 사기 수단으로 간주되었다. 그러나 오늘날에는 점차 산업화된 운영 방식을 띠고 있다.
2025년에 발표된 한 연구는 Fusaka 업그레이드 이전 기간인 2022년 7월부터 2024년 6월까지의 주소 중독 활동을 분석했다. 이 연구에 따르면, 이더리움에서 약 1,700만 건의 중독 시도가 있었으며, 약 130만 명의 사용자가 영향을 받았고, 확인된 피해액은 최소 7,930만 달러에 달한다.
아래 표는 『블록체인 주소 중독 연구』 결과를 기반으로 하여, 2022년 7월부터 2024년 6월까지 이더리움 및 BSC에서 발생한 주소 중독 활동 규모를 보여준다. 데이터는 거래 수수료가 현저히 낮은 BSC 체인에서 중독 송금 빈도가 1,355% 더 높다는 것을 시사한다.
공격자는 일반적으로 블록체인 활동을 모니터링함으로써 잠재적 타깃을 식별한다. 일단 타깃 사용자의 거래를 감지하면, 자동화 시스템이 해당 사용자가 과거에 상호작용했던 정상 주소와 동일한 앞·뒤 문자를 갖는 고도로 유사한 주소를 생성한다. 이후 공격자는 이러한 위조 주소를 포함한 중독 송금을 타깃 주소로 전송함으로써, 이를 사용자의 거래 기록에 등장하게 만든다.
공격자는 보통 수익 잠재력이 더 높은 주소를 우선적으로 공격 대상으로 삼는다. 자주 송금을 수행하거나, 큰 금액의 토큰 잔고를 보유하거나, 대규모 송금을 진행하는 주소는 보통 더 많은 중독 시도를 받는다.
경쟁 메커니즘이 공격 효율성 제고
2025년 연구는 주목할 만한 현상을 밝혀냈다. 즉, 서로 다른 공격 조직 간에 종종 치열한 경쟁이 벌어진다는 점이다. 많은 중독 활동에서 여러 공격자가 거의 동시에 동일한 타깃 주소로 중독 송금을 전송한다.
각 공격 조직은 자신의 위조 주소를 사용자의 거래 기록에 가장 먼저 삽입함으로써, 사용자가 나중에 주소를 복사할 때 자신들의 위조 주소가 우선 선택되기를 바란다. 따라서 가장 먼저 성공적으로 삽입한 공격자의 주소가 실수로 복사될 확률은 높아진다.
다음 주소 사례는 이러한 경쟁의 격렬함을 충분히 보여준다. 이 사례에서, 합법적인 USDT 송금 완료 후 수 분 이내에 13건의 중독 거래가 삽입되었다.
참고: Etherscan은 기본적으로 0값 송금을 숨깁니다. 여기서는 시연 목적으로 숨김 기능을 해제했습니다.
주소 중독 공격에서 흔히 사용되는 수단으로는 ‘분진 송금(Dust Transfer)’, ‘위조 토큰 송금’, ‘0값 토큰 송금’ 등이 있다.
2. 주소 중독 공격이 대규모화되기 쉬운 이유
초보적으로 보면 주소 중독의 성공률은 그리 높지 않아 보인다. 대부분의 사용자는 속지 않기 때문이다. 그러나 경제적 관점에서 이 공격의 논리는 전혀 다르다.
확률 게임의 논리
연구자들은 이더리움에서 단일 중독 시도의 성공률이 약 0.01%에 불과하다는 사실을 발견했다. 즉, 평균적으로 1만 건의 중독 송금 중 단 1건만이 사용자의 실수로 인해 공격자에게 자금이 전송되는 것이다.
따라서 중독 공격 활동은 소수의 주소에 국한되지 않고, 수천 건에서 수백만 건에 이르는 대규모 중독 송금을 보내는 방향으로 전개된다. 시도 횟수가 충분히 많아질 경우, 미미한 성공률이라도 상당한 불법 수익을 축적할 수 있다.
한 번의 성공적인 대규모 송금 사기로 얻는 수익은 수천 건의 실패한 시도 비용을 여유 있게 상쇄할 수 있다.
낮은 거래 비용이 중독 시도 증가를 촉진
2025년 12월 3일에 활성화된 Fusaka 업그레이드는 확장성 최적화를 도입하여 이더리움의 거래 비용을 효과적으로 낮췄다. 이 변화는 일반 사용자와 개발자에게 혜택을 주는 동시에, 공격자가 단일 중독 송금을 실행하는 비용도 크게 줄여, 전례 없이 규모가 큰 중독 시도를 가능하게 만들었다.
Fusaka 업그레이드 이후 이더리움 네트워크 활동은 눈에 띄게 증가했다. 업그레이드 후 90일 동안의 일평균 거래 처리량은 업그레이드 전 90일 대비 30% 증가했다. 같은 기간 동안 매일 새로 생성되는 주소 수는 평균 약 78% 증가했다.
또한 분진 송금 활동이 눈에 띄게 증가한 것을 관측하였다. 이는 공격자가 사용자의 과거 송금과 동일한 토큰을, 그러나 극소액으로 전송하는 방식이다.
다음 데이터는 Fusaka 업그레이드 전후 90일 동안 주요 자산의 분진 송금 활동을 비교한 것이다. USDT, USDC, DAI 등 안정화폐의 경우 분진 송금은 0.01달러 미만의 거래를 의미하며, ETH의 경우는 0.00001 ETH 미만의 송금을 뜻한다.
USDT
- 업그레이드 전: 420만 건
- 업그레이드 후: 2,990만 건
- 증가량: +2,570만 건 (+612%)
USDC
- 업그레이드 전: 260만 건
- 업그레이드 후: 1,490만 건
- 증가량: +1,230만 건 (+473%)
DAI
- 업그레이드 전: 142,405건
- 업그레이드 후: 811,029건
- 증가량: +668,624건 (+470%)
ETH
- 업그레이드 전: 1.045억 건
- 업그레이드 후: 1.697억 건
- 증가량: +6,520만 건 (+62%)
데이터는 Fusaka 업그레이드 직후 분진 송금(0.01달러 미만) 활동이 급격히 증가하여 정점을 찍은 후 다소 하락했으나, 여전히 업그레이드 이전 수준보다 현저히 높다는 것을 보여준다. 반면, 같은 기간 동안 0.01달러 초과 송금 활동은 상대적으로 안정적으로 유지되었다.
차트: Fusaka 업그레이드 전후 90일간 USDT, USDC, DAI의 분진 송금(<0.01달러) 추세 비교
차트: Fusaka 업그레이드 전후 90일간 USDT, USDC, DAI의 일반 송금(>0.01달러) 추세 비교
많은 공격 활동에서 공격자는 먼저 토큰과 ETH를 신규 생성된 위조 주소들로 대량 분배한 후, 이 위조 주소들을 통해 각각의 타깃 주소로 분진 송금을 개별적으로 전송한다. 분진 송금은 금액이 극히 작기 때문에, 거래 비용이 낮아짐에 따라 공격자는 매우 낮은 비용으로 대규모 조작을 수행할 수 있다.
도식: 주소 Fake_Phishing1688433이 한 번의 거래에서 여러 다른 위조 주소로 토큰과 ETH를 대량 분배
명확히 해두어야 할 점은, 모든 분진 송금이 반드시 중독 행위는 아니라는 것이다. 분진 송금은 토큰 교환 또는 주소 간 소액 상호작용과 같은 합법적인 활동에서도 발생할 수 있다. 그러나 다수의 분진 송금 기록을 검토한 결과, 상당 부분이 중독 시도일 가능성이 매우 높다는 결론을 내릴 수 있다.
3. 핵심 예방 원칙
자금을 송금하기 전에 반드시 수신 주소를 꼼꼼히 확인하세요.
Etherscan을 사용할 때 위험을 줄이기 위한 실용적인 팁은 다음과 같다:
식별 가능한 주소 식별자 사용
자주 상호작용하는 주소에 대해 Etherscan에서 개인 이름 태그를 설정하면, 유사 주소들 사이에서 정상 주소를 명확히 구분할 수 있다.
ENS(Ethereum Name Service) 등의 도메인 서비스를 사용하면, 브라우저 전체에서 주소의 가시성을 높일 수 있다.
또한 지갑의 주소록 기능을 활용해 자주 사용하는 주소를 화이트리스트에 등록하고, 자금이 항상 의도한 대상 주소로 전송되도록 하는 것이 좋다.
주소 강조 표시 기능 활성화
Etherscan의 주소 강조 표시 기능은 외형이 유사한 주소를 직관적으로 구분하는 데 도움을 준다. 두 주소가 거의 동일해 보이더라도 강조 표시 방식이 다르다면, 그중 하나는 중독 주소일 가능성이 매우 높다.
주소 복사 전 반드시 이중 확인
Etherscan은 사용자가 의심스러운 활동과 관련된 주소를 복사할 때 자동으로 경고 창을 표시한다. 여기서 말하는 의심스러운 활동에는 다음이 포함된다:
- 저가치 토큰 송금
- 위조 토큰 송금
- 신뢰도가 낮은 토큰
- 정보가 업데이트되지 않은 토큰
이러한 경고를 보게 되면 반드시 작업을 중단하고, 복사한 주소가 실제로 상호작용하려는 대상 주소인지 꼼꼼히 확인해야 한다.
암호화 세계에는 ‘취소’ 버튼이 없다는 점을 명심하라. 한 번 잘못된 주소로 자금이 전송되면, 회수 가능성은 극히 희박하다.
결론
거래 비용 감소로 인해 대량 공격 전략이 경제적으로 더욱 매력적이 되면서, 이더리움 상의 주소 중독 공격은 점차 기승을 부리고 있다. 또한 이 공격은 사용자 경험에도 부정적인 영향을 미치며, 다양한 사용자 중심 거래 기록 인터페이스에 중독 스팸이 넘쳐난다.
주소 중독 공격을 효과적으로 방어하기 위해서는 사용자 스스로의 보안 인식 향상뿐 아니라, 더 나은 인터페이스 설계 지원도 필수적이다. 사용자 입장에서 가장 핵심적인 습관은 자금 송금 전에 반드시 수신 주소를 꼼꼼히 확인하는 것이다.
동시에 관련 도구 및 사용자 인터페이스 역시 사용자가 의심스러운 활동을 신속하게 식별할 수 있도록 보다 중요한 역할을 해야 한다.
Etherscan의 중독 주소 라벨 (https://etherscan.io/accounts/label/poisoning-address)
Etherscan은 사용자가 이러한 공격을 보다 쉽게 식별할 수 있도록 브라우저 인터페이스 및 API 서비스를 지속적으로 개선해 나가고 있다. 우리는 위조 주소를 적극적으로 표시하고, 0값 토큰 송금을 식별 및 숨기며, 위조 토큰을 명시적으로 표기한다. 이렇게 정제된 데이터를 제공함으로써, 사용자는 방대한 거래 기록을 수작업으로 선별하지 않고도 잠재적인 주소 중독 시도를 보다 쉽게 발견할 수 있다.
자동화 및 대규모 분진 송금 수단을 활용한 주소 중독 공격이 계속 진화함에 따라, 이러한 위험 신호를 명확히 제시하는 것은 사용자가 의심스러운 활동과 합법적인 거래를 구분하는 데 매우 중요하다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@etherscan
