NFT 사기 예방 가이드: NFT 자산 보호를 위한 세 가지 핵심 팁
저자: NFT Labs, 루동 연구소
크립토 세계는 마치 어두운 숲과 같다. 주변에는 수많은 위험이 도사리고 있다. 최근 오픈씨(OpenSea)의 컨트랙트 업그레이드를 틈타 해커가 모든 사용자의 이메일로 피싱 메일을 발송했으며, 많은 사용자가 이를 공식 메일로 착각해 지갑 권한을 부여함으로써 지갑이 해킹당하는 사건이 발생했다. 통계에 따르면 이 한 통의 메일로 인해 최소 3개의 BAYC, 37개의 아주키(Azuki), 25개의 NFT 월즈(NFT Worlds) 등이 도난당했으며, 바닥가 기준으로 해커의 수익은 무려 416만 달러에 달한다.
같은 날 밤, 'All in NFT'의 동지대학 학생 니크(Niq)가 장기간 보유하던 1/1 두들(Doodle)도 도난당했는데, 이유는 상대방이 니크에게 개인적으로 거래를 제안하며 그의 경계심을 늦춘 후 위조된 거래 사이트 링크를 보내왔기 때문이다.
현재 우리가 대비해야 할 해킹 공격은 기술적인 측면뿐만 아니라 사회공학적 접근까지 포함된다. 더불어 다수의 NFT 프로젝트 가격이 급등하면서 조금만 방심해도 막대한 자산 손실을 입게 된다. 최근 NFT 분야에서 사기 사건이 잇따라 발생하고 있음을 고려하여, 루동은 몇 가지 흔한 사기 수법을 정리했다. 독자 여러분께서는 항상 경각심을 갖고 사기에 속지 않도록 주의해야 한다.
사기 수법
1. 디스코드(Discord) DM으로 사기 웹사이트 링크 전송
디스코드 DM 링크는 해커들이 자주 사용하는 사기 수법이다. 해커들은 다양한 디스코드 커뮤니티에서 회원들에게 일괄적으로 메시지를 보내거나, 커뮤니티 관리자 행세를 하며 문제 해결을 도와준다며 사용자에게 직접 메시지를 보내 지갑의 개인 키를 탈취한다. 또는 무료로 NFT를 받을 수 있다고 유도하며 가짜 피싱 웹사이트 링크를 전송한다. 사용자가 해커가 위조한 사이트에 권한을 부여하면 막대한 재산 피해를 입게 된다.
2. 디스코드 서버 공격
디스코드 서버 해킹은 거의 모든 인기 있는 NFT 프로젝트가 겪는 문제다. 해커는 서버 관리자의 계정을 공격한 후 각 채널에 가짜 공지를 게시하며, 커뮤니티 회원들을 해커가 미리 준비한 가짜 웹사이트로 유도해 위조된 NFT를 구매하게 만든다. 현재 해커들은 피싱 사이트 링크 등을 통해 서버 관리자의 토큰을 탈취하는데, 이 경우 관리자가 2FA(이중 인증)을 활성화하고 있더라도 소용없다. 만약 해커의 사기 사이트가 사용자 지갑의 권한을 요구한다면, 사용자는 더욱 심각한 재산 피해를 입게 된다.
3. 가짜 거래 링크 전송
이 사기 수법은 사용자 간 비공식적인 NFT 거래 과정에서 흔히 발생한다. 수도스왑(Sudoswap), NFT트레이더(NFTtrader) 등의 플랫폼은 사용자 간 NFT나 토큰을 '교환'할 수 있도록 비공식 협상을 장려하며, 이러한 거래에 대해 일정한 보안 장치를 제공한다. 이는 NFT 시장에 긍정적인 일이지만, 최근 일부 해커들은 위조된 수도스왑이나 NFT트레이더 웹사이트를 이용해 사기를 벌이고 있다.
수도스왑과 NFT트레이더는 협상 완료 후 사용자가 거래를 시작하게 되며, 이 과정에서 주문 확인 웹사이트가 생성되고 양측이 확인하면 스마트 컨트랙트를 통해 자동으로 거래가 실행된다. 사기범은 처음에는 진짜 사이트 링크를 보여주며 거래 항목을 논의하다가, 이후 거래 조건을 수정하자며 사용자의 경계심을 풀게 한 후 사기 링크를 전송한다. 사용자가 해당 링크를 클릭하고 거래를 승인하면, 지갑에 있는 NFT가 사기범의 지갑으로 바로 전송된다.
4. 복구 문구(마스터 키워드) 탈취
사기범은 다양한 수단을 동원해 사용자가 개인 키나 복구 문구를 자신에게 보내도록 유도한다. 예를 들어, 사기 웹사이트를 만들거나 사용자를 도와주는 관리자 행세를 하며 사용자의 경계심을 낮춘 후 개인 키 및 복구 문구를 탈취한다.
5. 가짜 컬렉션 생성 후 디스코드 공개 채널에서 거래 제안
가짜 NFT 컬렉션은 많은 인기 프로젝트 출시 전에 가장 쉽게 마주치는 사기 수법이다. NFT 블라인드 박스가 정식 출시되기 전, 사기범은 오픈씨 같은 NFT 거래 플랫폼에 이름이 유사한 NFT 컬렉션을 미리 올리고, 공식에서 공개한 정보를 바탕으로 컬렉션을 정교하게 꾸며놓는다. 실제 NFT 컬렉션이 아직 출시되지 않은 상태에서는 사용자가 검색 시 이름이 가장 유사한 컬렉션을 먼저 발견하게 되므로 오인하기 쉽다. 일부 사기범은 신뢰를 주기 위해 일부러 몇 건의 거래를 조작하거나, 현재 매물로 나온 가짜 NFT에 오퍼(Offer) 형태로 입찰가를 제시하기도 한다.
플랫폼과 프로젝트 측의 로열티 수수료를 아끼기 위해 커뮤니티 구성원들 사이에서 비공식 거래가 이루어지는데, 위에서 언급한 수도스왑·NFT트레이더 위조 사이트 외에도, 사기범은 커뮤니티 채널에 바닥가보다 약간 낮은 가짜 NFT 컬렉션 링크를 올린다. 사용자는 저렴한 가격의 NFT를 서둘러 구매하려다 진위 여부를 확인하지 못하고 사기에 당하게 된다.
6. 가짜 이메일
대부분의 NFT 플랫폼은 사용자가 자신의 NFT 거래 상황을 즉시 알 수 있도록 이메일 등록을 요구한다. 따라서 이메일도 사기 범죄가 빈번히 발생하는 장소 중 하나다. 사기범은 일반적으로 오픈씨 플랫폼의 공식 계정을 가장해 컨트랙트 주소 수정이나 지갑 재확인 필요 등을 명목으로 사용자에게 피싱 사이트 링크를 전송한다. 최근 오픈씨가 컨트랙트 업그레이드를 발표한 직후, 해커는 이러한 방법으로 약 400만 달러의 사용자 자산을 탈취했다. 원고 작성 시점 기준으로 오픈씨 팀은 여전히 피해 사용자들을 파악 중이다.
사기 예방 가이드
1. URL 식별
해커가 아무리 화려한 포장과 설득력 있는 언어를 사용하더라도 결국 귀하의 암호화 자산을 탈취하기 위해서는 반드시 귀하의 지갑과 상호작용할 수단이 필요하다. 일반 사용자는 컨트랙트 리스크를 판단할 능력이 없을 수 있으나, 다행히 우리는 여전히 웹2 중심의 인터넷 세계에 살고 있다. 거의 모든 암호화 컨트랙트는 사용자와 상호작용하기 위해 웹2 기반의 프론트엔드 웹페이지를 필요로 한다.
따라서 사용자(프로젝트 팀이 아닌)를 대상으로 하는 대부분의 암호화 자산 도난 사건은 위조된 피싱 웹사이트를 통해 발생한다. 피싱 사이트를 식별하는 방법을 익히면 암호화 자산 도난 사건의 99%를 피할 수 있다.
스마트폰과 함께 성장한 Z세대는 하나의 앱이 만들어내는 '생태계' 안에서 살아가며, 웹 페이지라는 낡은 개념에 익숙하지 않을 수 있다. 웹2 시대에는 DNS 도메인 시스템이 각 웹사이트에 전 세계적으로 유일한 신원 식별자를 부여한다. 도메인 구성의 기본 규칙을 이해하면 거의 모든 가짜 피싱 사이트를 식별할 수 있다.
전통적인 DNS 도메인에서 도메인 계층은 세 단계로 나뉜다. 첫 번째 구분자(/)를 기준으로 오른쪽에서 왼쪽으로 읽으며, 각 점(.)은 계층을 구분한다. 예를 들어 https://www.opensea.io/ 에서 '.io'는 '.com', '.cn'과 마찬가지로 최상위 도메인(Top-Level Domain)이라 불리며, 사용자가 임의로 변경할 수 없다. 'opensea'는 2차 도메인으로, 도메인의 주체이며, 같은 최상위 도메인(예: .io) 내에서는 중복될 수 없다. 'www' 부분은 3차 도메인이며, 웹사이트 운영자가 직접 설정할 수 있다. 운영자는 'www' 앞에 4차, 5차 도메인까지 추가할 수 있다.
도메인의 계층 순서는 직관적이지 않다. 즉 오른쪽에서 왼쪽으로 갈수록 계층이 낮아진다. 이 설계는 대부분 사람들의 읽는 습관과 반대되며, 공격자들이 이를 악용할 여지를 준다. 예를 들어, https://www.opensea.io.example.com이라는 주소는 opensea와 매우 유사해 보이지만, 실제 도메인은 'example.com'이지 'opensea.io'가 아니다.
웹3에서 피싱 공격이 존재할지는 아직 예측하기 어렵다. 그러나 웹2 세계에서는 DNS 도메인 시스템이 도메인(또는 URL)의 유일성을 보장하며, 도메인이 진짜일 경우 사용자가 가짜 웹사이트를 여는 것은 거의 불가능하다.
2. 개인 키 또는 복구 문구를 절대 공유하지 말 것
크립토 지갑은 웹2의 이메일 계정과 다르다. 개인 키와 복구 문구는 수정하거나 복구할 수 없으며, 한번 유출되면 해당 지갑은 당신과 해커 모두의 소유가 된다. 지갑 내 모든 자산은 언제든지 해커에게 이체될 수 있으며, 이더리움 주소의 익명성 때문에 해커의 정체를 확인할 수도 없고, 손실 또한 회복할 수 없다. 해당 지갑은 더 이상 사용할 수 없게 된다.
3. 지갑 권한 적시에 취소하기
피싱 사이트에서 이미 지갑 권한을 부여했다면, 아래 세 주소 중 한 곳에 접속해 지갑 권한을 확인하고 즉시 취소할 수 있다:
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
