🪤 주소 오염 Address Poisoning
공격자가 내가 자주 쓰는 지갑 주소와 거의 똑같아 보이는 가짜 주소를 거래 내역에 심어 두고, 나중에 내가 실수로 복사해서 코인을 보내길 기다리는 사기 수법이에요.
🎭 쉽게 풀면 — 슬쩍 끼워진 명함
사기꾼이 친구 명함과 거의 똑같이 생긴 가짜 명함을 내 지갑에 몰래 넣어 뒀다고 상상해 보세요. 로고도 같고, 전화번호도 숫자 하나만 달라요. 몇 주 뒤 무심코 집어 든 명함으로 수표를 보냈더니 전혀 모르는 사람에게 간 거예요. 주소 오염은 바로 이걸 블록체인에서 하는 거예요. 공격자는 내가 자주 보내는 주소와 앞뒤 글자만 같은 지갑을 만들어 거래 내역에 심어 둬요. 나중에 내가 내역에서 주소를 복사하면 자금이 고스란히 그쪽으로 가요.
👀 왜 통할까 — 우리는 앞뒤만 봐요
지갑 앱과 블록 익스플로러는 주소 전체를 보여 주지 않아요. 앞 몇 자리와 뒤 몇 자리만 남기고 나머지를 …으로 줄여요. 그래서 우리는 주소를 앞뒤로만 알아보는 습관이 생겨요. 사기꾼은 이걸 노려요. 시작과 끝이 일치하는 '배니티' 유사 주소를 생성하는데, 가운데 수십 글자는 완전히 달라요 — 아무도 확인 안 하는 부분이죠.
🧪 제로 밸류 전송 변종
기술적으로 흔한 방식이 바로 제로 밸류 전송이에요. 공격자가 ERC-20 토큰의 transferFrom 함수를 악용해 실제로 토큰은 하나도 안 움직이면서 전송 이벤트만 발생시켜요. 지갑과 블록 익스플로러는 이 이벤트를 읽어 평범한 입금처럼 표시해요. 내 지갑에서 나간 건 없는데, 미끼 주소가 진짜 거래 상대처럼 내역 안에 버젓이 자리를 잡아 버려요.
📊 얼마나 큰 문제일까요?
| 지표 | 관측 수치 |
|---|---|
| 🔁 시도 횟수 | 이더리움·BNB 체인에서 제로 밸류 전송 시도 2억 7천만 건 이상(추산) |
| 💸 확인된 피해 | 관련 사기로 약 8,300만 달러 손실(추산) |
| 📈 성장세 | Chainalysis 보고서 기준, 2024년에 주소 오염 사기 피해액이 15,000% 이상 급증 |
| 🐋 타깃 | 평균보다 잔고가 많은 지갑을 주로 노림 |
📌 실제 사례: 2024년 5월, 한 홀더가 랩드 비트코인 약 6,800만 달러를 오염된 유사 주소로 보냈어요. 공격자가 나중에 자금을 돌려줬지만 그래도 약 149만 달러를 챙겨 갔어요.
🚨 이렇게 막아요
- 🔤 전체 주소를 확인 — 앞뒤 몇 글자만 보지 말고 주소 전체를 꼭 대조하세요
- 🚫 내역에서 복사 금지 — 거래 내역의 주소를 그대로 재사용하지 마세요. 미끼가 거기 있어요
- 📓 주소록 활용 — 믿을 수 있는 주소를 주소록에 저장하고, 저장된 항목으로만 보내세요
- 🧪 테스트 전송 먼저 — 큰 금액을 보내기 전에 소액으로 먼저 확인하는 게 저렴한 안전망이에요
- 🔒 디바이스에서 직접 확인 — 하드웨어 지갑은 자체 화면에 실제 목적지 주소를 표시해 줘서 눈으로 검증할 수 있어요
❓ 자주 묻는 질문
- 내가 보내지도 않은 소액 거래가 생겼어요 — 지갑이 해킹된 건가요?
- 거의 확실히 아니에요. 오염 거래 자체는 아무 피해도 주지 않고 개인 키도 건드리지 않아요. 그냥 거래 내역에 심어 둔 미끼일 뿐이에요. 사기가 성립하려면 내가 나중에 그 가짜 주소를 복사해서 직접 보내야 해요.
- 주소 오염 사기를 어떻게 피하나요?
- 거래 내역에서 주소를 복사하지 마세요. 믿을 수 있는 주소는 주소록에 저장해 두고, 보내기 전에 처음과 끝 몇 글자만이 아니라 전체 주소를 꼼꼼히 확인하세요. 소액 테스트 전송을 먼저 해보는 것도 좋은 안전망이에요.
- 잘못된 주소로 보내면 되돌릴 수 있나요?
- 아니요. 블록체인 거래는 되돌릴 수 없어요. 공격자 주소에 자금이 도착하면 되찾아 줄 은행도 고객센터도 없어요. 그래서 보내기 전 확인이 그토록 중요한 거예요.