피싱은 자기 수탁 사용자가 자금을 잃는 가장 일반적인 방법입니다. 깨진 암호가 아니라, 해독된 개인 키가 아니라 — 설득력 있는 메시지, 비슷하게 생긴 웹사이트, 또는 일상적으로 보이다가 그렇지 않은 거래입니다. 지갑 뒤의 암호화는 건전하며, 공격자도 그것을 알기에 완전히 건너뛰고 잘못된 행동을 하도록 설득될 수 있는 시스템의 한 부분으로 갑니다: 바로 당신입니다. 매년 암호화폐 관련 사기와 소셜 엔지니어링으로 수십억 달러가 손실되며, 그 대부분은 기술적 익스플로잇이 아닌 피싱 메시지에서 시작됩니다.
이 문서는 암호화폐 피싱이 실제로 무엇을 표적으로 삼는지, 한눈에 알아볼 수 있는 구체적인 패턴, 그리고 SSP의 설계가 어떻게 도움이 되는지 — 보호할 수 없는 부분에 대해서도 솔직하게 — 설명합니다.
피싱이 실제로 표적으로 삼는 것
자기 수탁 사용자를 대상으로 한 피싱은 세 가지 중 하나를 노립니다: 시드 구문, 승인, 또는 서명. 시드를 훔치면 공격자는 그것에서 파생되는 모든 계정을 영구적으로 소유합니다. 토큰 승인을 속여 얻어내면 원하는 시간에 특정 자산을 빼낼 수 있습니다. 단 하나의 악성 거래에 서명하게 만들면 자금은 한 블록 안에 이동합니다.
세 가지 모두 공통점은 당신이 행동해야 한다는 것입니다. 공격자는 지갑에 손을 뻗어 아무것도 가져갈 수 없으며, 당신이 입력하고, 클릭하고, 승인하거나 서명해야 합니다. 그 의존성이 당신의 이점이기도 합니다 — 모든 공격에는 당신이 멈출 수 있는 순간이 있으며, 그 순간이 어떤 모습인지 알면 됩니다.
알아볼 수 있는 패턴
암호화폐 피싱은 소수의 수법을 반복해서 사용합니다. 이름을 붙일 수 있게 되면 훨씬 속기 어려워집니다.
가짜 지갑 사이트와 검색 광고 타이포스쿼팅
가장 오래된 수법은 실제 지갑이나 거래소 사이트의 복제본을 비슷한 도메인에서 제공하고, 종종 유료 광고로 검색 결과 상단에 올리는 것입니다. 페이지는 완벽하게 보이며 한 가지 목적을 위해 존재합니다: 시드 구문을 수집하거나, 연결하고 서명하도록 속이는 것입니다. 검색 창을 적대적으로 다루세요. 실제 사이트를 한 번 찾아 확인한 후 북마크에 추가하세요 — 그런 다음 항상 그 북마크를 통해서만 방문하세요. SSP는 웹사이트에서 시드 구문을 요청하지 않으며, 실제 확장 프로그램은 공식 브라우저 스토어에서 설치하는 것이지 검색 광고가 아닙니다. 합법적인 확장 지갑이 어떻게 생겼는지 모르겠다면 브라우저 확장 지갑 설명을 읽어보세요.
시드 구문 입력 요청
이것은 별도의 규칙이 필요합니다. 절대적이기 때문입니다: 합법적인 지갑은 웹사이트, 양식, 팝업, 또는 DM에 시드 구문을 입력하도록 절대 요청하지 않습니다. "유효성 검사"를 위해서도, "동기화"를 위해서도, 무언가를 "청구"하기 위해서도 아닙니다. 시드는 정확히 한 곳에만 입력합니다 — 최초 설정이나 복구 중에 지갑 소프트웨어 내부에서만. SSP는 해당 목적으로 확장 프로그램 또는 모바일 앱 내부에서만 시드를 받으며, 웹 페이지에서는 절대 받지 않습니다. 다른 무언가가 요청하면, 그것은 절도 시도입니다, 무조건. 더 넓은 보호 방법은 시드 구문 모범 사례를 참고하세요.
승인 피싱과 지갑 드레이너
더 새롭고 교묘한 방법: 악성 dApp은 시드를 요청하지 않습니다. 일반적인 거래처럼 보이는 것에 서명하도록 요청합니다 — 하지만 그 작업은 토큰 승인 또는 setApprovalForAll로, 공격자의 계약에 토큰이나 NFT를 이동할 권한을 부여합니다. 키는 계속 보유하지만, 자산에 대한 권리에 서명한 것이며, 지갑 드레이너가 나중에, 때로는 몇 주 후에 이를 쓸어갑니다. 방어책은 승인이 무엇인지 이해하고 단기적으로 유지하는 것입니다. 토큰 승인 — 계속 부여하는 권한을 읽고 더 이상 사용하지 않는 것은 취소하세요.
주소 오염
주소 오염은 복사-붙여넣기 습관을 먹잇감으로 삼습니다. 공격자는 이미 사용하는 주소처럼 보이도록 설계된 주소 — 처음 네 자리와 마지막 네 자리가 동일한 — 에서 작은 또는 제로 가치 전송을 지갑으로 보냅니다. 그런 다음 기록에 남아, 다음에 과거 거래에서 "알려진" 주소를 복사할 때 공격자의 주소를 가져와 자금을 곧장 공격자에게 보내게 됩니다. 해결책은 기계적입니다: 거래 기록에서 주소를 절대 복사하지 말고, 처음과 마지막 네 자리만이 아닌 전체 주소를 문자 단위로 확인하세요. 비슷한 주소는 양쪽 끝이 완벽하게 일치하면서 중간은 완전히 다를 수 있습니다.
DM에서의 사칭
누군가가 Discord, Telegram, 또는 X에서 "공식 지원"이라고 주장하며 먼저 메시지를 보내면, 그것은 기본적으로 사기입니다. 실제 지원은 DM으로 접근하지 않으며, 관리자, 중재자, 또는 "검증 봇"은 시드 구문, 개인 키, 또는 지갑을 "확인"하기 위해 연결하도록 절대 요청하지 않습니다. 긴박감이 신호입니다 — "자금이 위험에 처해 있으니 지금 행동하세요"는 생각을 멈추게 만들기 위해 존재합니다. DM을 닫고 직접 이동한 채널을 통해서만 지원에 연락하세요.
악성 서명 요청 / 블라인드 서명
가장 기술적인 수법은 거래가 아닌 메시지에 서명하도록 요청합니다 — Permit, eth_sign 페이로드, 또는 읽을 수 없는 불투명한 블롭. 이것들은 오프체인 토큰 전송이나 승인을 허가할 수 있으며, 때로는 가스 비용도, 명백한 경고도 없이. 규칙: 서명하기 전에 무엇에 서명하는지 이해하고, 해독할 수 없는 모든 요청을 깊이 의심하세요. dApp에 연결할 때 세션과 서명 요청이 어떻게 작동하는지 알아두세요 — WalletConnect가 무엇이며 SSP와 어떻게 작동하는지에서 그 표면을 다룹니다.
SSP 설계가 도움이 되는 방법 — 그리고 되지 않는 방법
SSP는 2-of-2 multisig 지갑입니다: 모든 거래는 두 번째 기기인 SSP Key에서 공동 서명되어야 브로드캐스트될 수 있습니다. 그렇게 하면 두 번째 화면이 제공되며, 별도의 하드웨어에서 요청이 통과하기 전에 한 번 더 표시됩니다 — 단일 기기 지갑에는 없는 진정한 두 번째 검토 표면. 확장 프로그램도 웹 페이지에서 시드를 요청하지 않으므로, 가장 일반적인 수집 경로를 설계상으로 차단합니다.
솔직한 부분이 있습니다: multisig는 피싱 치료제가 아닙니다. 악성 거래가 앞에 있고 확장 프로그램에서 승인하고 또 SSP Key에서 확인하면, 지갑은 당신이 지시한 것을 정확히 합니다. 두 번째 기기는 단일 기기가 혼자 서명하는 것으로부터 보호합니다 — 나쁜 행동을 두 번 승인하는 것으로부터 보호하지는 않습니다. 따라서 두 화면 모두 읽으세요: 목적지, 금액, 또는 작업이 의도한 것과 일치하지 않으면 SSP Key에서 거부하세요. 피싱 방어는 궁극적으로 여전히 당신에게 달려 있습니다. 그 책임이 왜 가치 있는지는 지금 자기 수탁이 중요한 이유의 핵심입니다.
60초 피싱 자가 점검
서명하기 전에 이것을 실행하세요:
- URL 확인 — 직접 북마크를 통해 도착했나요, 아니면 누군가가 건네준 링크나 광고를 통해서인가요? 직접 북마크가 아니면 멈추세요.
- 시드 확인 — 시드 구문을 요청하는 것이 있나요? 그렇다면 항상, 예외 없이 사기입니다.
- SSP Key 읽기 — 두 번째 기기의 작업과 금액이 의도한 것과 정확히 일치하나요?
- 수신자 확인 — 처음과 마지막 네 자리만이 아닌 전체 수신자 주소를 확인하세요.
- DM 확인 — 원치 않는 메시지나 긴박한 "지금 행동하세요"로 시작했나요? 적대적으로 취급하세요.
- 승인 위생 — 더 이상 필요하지 않은 오래된 토큰 승인을 취소하여 잊혀진 것이 나중에 빼내지지 않도록 하세요.
어느 단계라도 실패하면 거부하고 떠나세요. 놓친 기회는 아무것도 잃지 않습니다; 서명된 드레이너는 모든 것을 잃을 수 있습니다.
계속 배우기
피싱은 더 넓은 개인 보안 실천의 한 레이어입니다. 암호화폐 사용자를 위한 브라우저 확장 위생으로 나머지를 강화하고, 암호화폐 옵섹 체크리스트로 모든 것을 정기적인 일정에 넣으세요. 더 넓은 생태계가 이러한 공격을 추적하는 방법은 APWG 피싱 활동 동향 보고서와 FBI의 IC3이 신뢰할 수 있는 주요 출처입니다.
