정보 인터넷(Web2)에서 가치 인터넷(Web3)으로의 전환은 사람들이 자산을 소유하고 양도하는 방식에 혁명을 일으켰습니다. 그러나 블록체인 기술의 분산화되고 되돌릴 수 없는 특성으로 인해 정교한 형태의 사이버 범죄가 발생할 수 있는 환경이 조성되기도 합니다. Tan Phat Digital 팀의 분석에 따르면 "승인 사기"는 스마트 계약의 핵심 운영 메커니즘을 직접 표적으로 삼는 가장 위험한 공격 방법 중 하나가 되었습니다. 개인 키 도용을 기반으로 한 기존 공격과 달리 승인 사기는 토큰의 표준화된 애플리케이션 프로그래밍 인터페이스(API)를 통해 사용자 합의를 이용하여 단 한 번의 확인만으로 자산 소유권을 취약하게 만듭니다.
블록체인 승인 메커니즘의 기술적 기반
승인 사기의 본질을 이해하려면 현재 토큰 표준이 이더리움 생태계와 EVM(이더리움 가상 머신) 호환 체인을 지배하고 있다는 분석이 필요합니다. 이러한 표준은 디지털 자산이 서로 및 분산 애플리케이션(dApp)과 상호 작용하는 방식을 규제합니다.
ERC-20 표준 및 승인 기능
ERC-20은 대체 가능 토큰(대체 가능 토큰)에 대한 가장 널리 사용되는 표준입니다. 이 표준의 6가지 필수 기능 중 하나는 승인(주소 지출자, uint256 금액)입니다. 이 기능을 사용하면 지갑 소유자가 자신의 지갑에서 일정량의 토큰을 인출할 수 있는 권리를 다른 주소(일반적으로 dApp 스마트 계약)에 위임할 수 있습니다.
이 메커니즘을 "허용"이라고 합니다. 사용자가 Uniswap과 같은 분산형 거래소(DEX)에서 거래를 할 때 Uniswap의 계약에 승인하여 지갑에서 토큰을 가져와 스왑을 수행해야 합니다. 이는 최대의 편의성을 제공하지만 보안 허점도 발생합니다. 승인된 계약이 악의적인 경우 지갑 소유자의 추가 개입 없이 언제든지 사용자 자금을 인출할 수 있습니다.
승인 메커니즘에서 ERC-721과 ERC-1155의 차이점
ERC-20은 대체 가능한 토큰을 다루는 반면, ERC-721 및 ERC-1155는 대체 불가능한 토큰을 관리합니다. (NFT) 및 다목적 토큰. 승인 메커니즘에 대한 자세한 내용은 다음과 같습니다.
ERC-721 표준(단일 NFT): 일반적인 승인 기능인
setApprovalForAll(operator, Approved)를 사용하세요. 이 명령은 사용자 지갑의 해당 컬렉션에 속한 모든 NFT에 영향을 미칩니다.ERC-1155 표준(하이브리드 FT 및 NFT): 또한
setApprovalForAll(operator, Approved)함수를 사용하세요. 그러나 해당 계약이 적용되는 모든 유형의 토큰(NFT 및 일반 토큰 모두)을 포함하여 영향의 범위가 더 넓습니다.
NFT의 경우 사기꾼은 피해자가 setApprovalForAll 기능에 서명하도록 유도하는 경우가 많습니다. 일단 서명되면 공격자는 각 항목을 승인할 필요 없이 컬렉션의 모든 귀중한 항목을 "지울" 권리가 있습니다. 이는 OpenSea와 같은 플랫폼에서 대규모 NFT 도난의 기초입니다.
변종 메커니즘: EIP-2612 Permit 및 Permit2
Web3의 등장으로 인해 가스 비용을 줄이고 사용자 경험을 최적화해야 하는 필요성이 대두되었으며 이에 따라 온체인(가스 없는) 승인 방법이 탄생했습니다.
EIP-2612: 오프체인 서명 Revolution
EIP-2612에는 permit() 기능이 도입되어 사용자가 실제 블록체인 거래 대신 오프체인 디지털 서명으로 지출 한도를 승인할 수 있습니다. 사용자는 소유자 주소, 지출자 주소, 토큰 수량, nonce 번호 및 유효 기간을 포함하는 구조화된 메시지에 서명합니다. 사기꾼은 자금 인출 권한을 활성화하기 위해 이 서명을 수집하여 블록체인에 직접 제출하기만 하면 됩니다. 이는 사용자가 웹사이트에 "로그인"하거나 "인증"하는 중이라고 잘못 생각하는 경우가 많기 때문에 매우 위험합니다.
Permit2: Uniswap의 승인 관리 센터
Permit2는 모든 ERC-20 토큰에 대한 승인을 통합하는 프로토콜입니다. 사용자는 Permit2 계약을 한 번만 승인하면 됩니다. 자동 만료 기능이 있지만 위험이 집중됩니다. 사기꾼이 Permit2 메시지를 캡처하면 사용자가 이전에 Permit2에 대해 승인한 토큰을 철회할 수 있습니다.
자세히 보기: 스마트 계약 감사란 무엇입니까? 블록체인 프로젝트에 보안 감사가 필요한 이유
승인 사기 위험 분석
비밀 키 없이 자금 손실
기존 해킹에서는 사용자가 시드 문구나 개인 키를 잃어버립니다. 승인 사기를 사용하면 사용자의 지갑은 이론적으로 안전하게 유지되지만 서명된 승인 명령을 통해 자산은 여전히 "합법적으로" 제거됩니다. 도둑은 지갑의 소스 코드를 방해할 필요가 없습니다. 피해자의 잘못된 동의만 있으면 됩니다.
조용히 해산하고 기회를 기다리세요
승인 명령은 일반적으로 무제한의 가치를 갖습니다(무제한 승인). 사기꾼이 반드시 즉시 돈을 인출하는 것은 아닙니다. 피해자가 지갑에 더 많은 돈을 추가할 때까지 기다리거나 할당 명령을 실행하기 전에 토큰 가치가 증가할 때까지 기다릴 수 있습니다. 이러한 "침묵"은 자산이 완전히 사라질 때까지 피해자가 이를 감지하기 어렵게 만듭니다.
되돌릴 수 없고 추적하기 어렵습니다.
한 번 확인된 모든 블록체인 거래는 취소할 수 없습니다. 피해자가 자신이 악의적인 계약을 승인했음을 알게 되면 흔적을 지우기 위해 믹서나 크로스체인 브리지를 통해 자산이 전송되는 경우가 많습니다.
그렇게 많은 사용자가 함정에 빠지는 이유: 심리학 및 조작 기술
피싱 및 에어드롭을 통한 정교한 위장
사기꾼은 종종 다음과 같은 인터페이스를 사용하여 피해자를 가짜 웹사이트로 유인합니다. 평판이 좋은 플랫폼. "Claim Airdrop" 버튼은 본질적으로 공격자의 지갑에 대한 승인 또는 허가 요청입니다.
FOMO 효과 및 잘못된 긴급성
FOMO(놓칠 것에 대한 두려움)로 인해 사용자는 안전 확인을 건너뛰게 됩니다. 사기꾼은 "보상 받기까지 5분 남았습니다"와 같은 긴급 알림을 만들어 피해자에게 내용을 주의 깊게 읽지 않은 채 지갑의 "확인"을 클릭하도록 압력을 가합니다.
전자 지갑 인터페이스의 한계
많은 전자 지갑은 종종 혼란스러운 문자열 형식으로 승인 요청을 표시하여 사용자(특히 신규 지갑)가 서명 확인을 이용 약관에 동의하는 것과 같은 일반적인 기술 절차로 간주하게 만듭니다. 기존 웹 애플리케이션.
베트남의 디지털 자산 사기 현황
베트남은 현재 아시아 태평양 지역에서 가장 큰 암호화폐 자산 시장 중 하나이며, 2024~2025년 기간 동안 추정 거래 가치가 2,200~2,300억 달러로 인도와 한국에 이어 3위를 차지했습니다. 그러나 이는 사기의 위험이 매우 큽니다. 2024년에만 베트남에서 온라인 사기로 인한 총 손실액은 18조9000억VND에 이를 것으로 추산된다.
전형적인 사례 및 운영 방법
2025년 11월 말 다낭에서 '유령' TOSI 프로젝트와 관련된 충격적인 사건이 해결됐다. 이 반지는 전국적으로 8,000명 이상의 피해자로부터 약 900억 VND를 충당했습니다. 다음은 식별 가능한 특징입니다.
다단계 변환 모델: 새로운 참가자를 유치하기 위해 월 3%에서 22%까지 비정상적으로 높은 보너스.
국제적 사칭: 가짜 신뢰를 구축하기 위해 일본 기술에 라벨을 붙이거나 바이낸스와 같은 주요 거래소에 상장을 준비하는 것입니다.
정교한 기술적 개입: 개인 전자 지갑 코드를 시스템에 연결하는 기능을 프로그래밍하여 투자자의 돈이 프로젝트의 일반 지갑이 아닌 사기꾼의 주머니로 직접 이동하도록 합니다.
전문적인 흔적 지우기: 신규 사용자 수가 감소하면 "유지 관리" 또는 "해커 공격"을 이유로 웹사이트를 닫은 다음 새 프로젝트를 만들어 이러한 주기를 계속합니다.
2026년 새로운 법적 체계
2026년 1월 1일부터 디지털 기술 산업법이 공식적으로 발효되어 처음으로 디지털 자산이 베트남 법률의 범위에 포함되었습니다. 특히, 베트남은 2026년 1월 20일부터 결의안 제05/2025/NQ-CP에 따라 암호화 자산을 거래하는 시장 기관에 대한 라이센스 신청 접수를 시범적으로 시작할 예정입니다. 참여를 원하는 기업은 다음 요건을 충족해야 합니다.
베트남 동으로 출자한 최소 정관 자본금 10조 VND.
상업 은행이나 증권 회사의 참여를 포함하여 조직이 출자한 정관 자본금의 최소 65%.
기술 시스템 및 위험 관리 프로세스를 엄격하게 검사해야 합니다.
2024~2025년 글로벌 드레이너 시장 보고서
사이버 범죄자들은 '서비스로서의 지갑 드레이너' 모델을 통해 점점 더 전문화되고 있습니다. 2025년에는 지갑 출금으로 인한 손실의 절대값이 감소하는 경향이 있지만 사칭 사기는 1400%라는 기록적인 증가세를 기록합니다. 2025년 전 세계 암호화폐 사기를 통해 유용된 총 금액은 미화 140억~170억 달러에 이를 것으로 추산됩니다.
Inferno Drainer와 같은 조직은 정교한 스크립트를 사용하여 Seaport 및 WalletConnect와 같은 인기 있는 프로토콜을 가장하는 방식으로 공격 시장 점유율 약 40~45%로 여전히 우위를 유지하고 있습니다.
온체인 분석: 규제 자산 추적
Tan Phat Digital에 따르면 온체인 데이터 분석은 범죄자에 맞서기 위한 중요한 무기입니다. 조사 프로세스에는 일반적으로 5단계가 포함됩니다.
기준점 설정: 피해자 지갑 주소 및 악의적인 승인 거래 해시 식별.
흐름 추적: 중개 지갑(Peel Chain) 또는 크로스체인 브리지를 통해 자금을 추적합니다.
식별 및 라벨링: 다음과 같은 도구를 사용합니다. MistTrack은 중앙 집중식 거래소(CEX)에 속한 지갑을 식별합니다.
위험 평가: 공격자의 행동을 분석하여 실제 신원 접점을 찾습니다.
문서화 및 조정: 자산 동결을 요청하기 위해 당국 및 거래소에 보고서를 준비합니다.
예방 및 보안 전략 다층
Web3 공간에서는 "예방"이 항상 "치료"보다 더 효과적입니다. Tan Phat Digital은 사용자가 다음 조치를 취할 것을 권장합니다.
승인 권한 확인 및 취소(취소)
사용자는 정기적으로 Revoke.cash와 같은 도구를 사용하여 돈을 쓸 권리가 있는 계약 목록을 확인하고 즉시 취소 명령을 실행해야 합니다. 위험한 승인 요청에 대해 조기 경고를 제공하는 기능 때문에 Rabby Wallet 사용을 권장합니다.
'제로 트러스트' 규칙
정확한 URL: 절대 검색 광고의 링크를 클릭하지 마세요. 항상 도메인 이름을 주의 깊게 확인하십시오.
서명 순서를 주의 깊게 읽으십시오. 지갑에 "허가", "승인" 또는 "모두에 대한 승인 설정"이라는 키워드가 표시되면 위험을 제어하기 위해 중지하십시오.
한도 제한: 평판이 좋은 dApp을 승인할 때 "아니요"를 선택하는 대신 거래할 올바른 수의 토큰만 승인하십시오. 용어".
투자 형태 및 관련 위험
신규 투자자는 고금리 함정에 빠지지 않으려면 인기 있는 형태를 명확하게 이해해야 합니다.
단기 거래(Trading): 급격한 가격 변동을 기반으로 합니다. FOMO 사고방식으로 인해 위험이 매우 높습니다.
장기 투자(HODLing): 안전한 지갑(콜드 지갑)에 자산을 구매하고 보관합니다. 시장의 평균 위험.
스테이킹/대출: 예금 자산에서 이자를 받습니다. 스마트 계약 오류와 관련된 위험.
코인 채굴(채굴): 보상을 받으려면 하드웨어에 투자하세요. 운영 비용 및 장비 마모 위험.
사례 연구 일반적인 승인 사기 및 Web3 사기(2021~2026년)
다음은 투자자가 실제 사기 시나리오를 식별하는 데 도움이 되는 가장 일반적인 사례에 대한 Tan Phat Digital의 요약입니다.
TOSI 사례(다낭, 2025): 피험자들은 바이낸스 스마트 체인에서 TOSI 코인을 생성하기 위해 프로그래머를 고용하는 "유령" 프로젝트를 만들었습니다. 가장 정교한 수법은 사용자의 거래 시스템에 개인 지갑 코드를 첨부해 투자금이 범죄자들의 주머니로 직접 들어가는 기능을 프로그래밍하는 것이다. 피해액은 8,000명이 넘는 피해자에 대해 약 900억 VND에 달하는 것으로 기록됐다.
Ledger Connect Kit 공급망 공격(2023년 12월): 공격자는 Ledger 직원의 NPM 계정을 탈취하여 Connect Kit 라이브러리 버전 1.1.5~1.1.7에 악성 코드를 삽입했습니다. 사용자가 이 라이브러리를 사용하는 dApp에 지갑을 연결하면 자금이 해커의 지갑(Angel Drainer 관련)으로 인출됩니다. 몇 시간 만에 약 600,000 USD의 피해가 발생했습니다.
Trust Wallet Chrome 확장 프로그램 취약점(2025년 12월): Chrome 브라우저의 버전 2.68 업데이트를 표적으로 한 해킹으로 인해 약 700만 달러가 도난당했습니다. 이 문제는 사기꾼이 앱 스토어에 악성 버전을 푸시할 수 있는 Chrome 웹 스토어 API 키의 유출로 인해 발생한 것으로 추정됩니다.
Monkey Drainer - 대규모 NFT 피싱(2022~2023): 이 그룹은 유명한 NFT 프로젝트를 사칭하는 약 2,000개의 도메인을 사용하여 사용자를 속여 악성
signTypedData명령에 서명하도록 했습니다. CryptoPunks 및 Otherside와 같은 고가치 자산을 포함하여 7,000개 이상의 NFT가 도난당하여 총 손실액은 1,300만 달러로 추산됩니다.Matrix Chain(MTC) 사례(베트남, 2025): 다국적 사기 조직은 엄청난 이익을 약속하며 참가자들이 MTC 가상 통화에 투자하도록 유도했습니다. 동나이성 경찰이 200일간 진행한 프로젝트로 이 네트워크가 파괴되어 약 10조 VND에 달하는 불법 모금 금액이 기록되었습니다.
인페르노 드레이너 및 Discord Trap(2025년 1월): 공격자는 대규모 Discord 서버에서 지원 로봇(Collab.Land 봇)을 사칭합니다. 사용자가 신원 확인을 위해 'Let's go'를 클릭하면 무한 승인 명령에 서명을 요구하는 피싱 웹사이트로 리디렉션되어 모든 지갑 자산이 손실됩니다.
슈퍼 사기 Paynet Coin(PAYN) / FMCPAY(2025): 주체 그룹이 FMCPAY 플랫폼을 설정하고 PAYN 코인을 생성하여 미국에서 항공권과 호텔을 예약하는 데 사용할 수 있다고 광고합니다. 본질적으로 이것은 수십억 달러를 충당하는 다단계 피라미드 모델입니다. 바닥이 무너진 뒤에도 피해자를 속여 '미국인 변호사 고용'해 돈을 돌려받았다.
주소 중독을 통한 5천만 달러 도난(2025년): 2025년 단일 손실 중 최대 규모이다. 악당들은 피해자의 평소 지갑과 동일한 첫 글자와 마지막 글자로 지갑 주소를 만든 뒤 0달러 상당의 거래를 보내 지갑 내역을 '중독'시킨다. 피해자는 5천만 달러 상당의 실제 거래를 위해 이 주소를 주관적으로 복사했습니다.
Aurory NFT 'Drainware'(2021): 지갑 스크래핑 악성코드의 초기 사례 중 하나입니다. 공격자는 실제 Aurory 프로젝트와 매우 유사한 DNS 도메인 이름을 만듭니다. 사용자가 "Mint NFT" 버튼을 눌렀을 때, 그들은 본질적으로 악성 계약이 모든 자산을 인출할 수 있도록 허용하는 주문에 서명했습니다. 이 사건으로 인해 150만 달러와 70개의 NFT가 단 1초 만에 증발했습니다.
'GitHub 적성 테스트' 사기(2025): 해커는 채용 담당자인 척하며 프로그래머에게 테스트를 위해 GitHub에서 프로젝트를 다운로드하도록 요청합니다. 이러한 프로젝트에는 운영 체제를 자동으로 식별하여 페이로드를 다운로드하고, 컴퓨터를 제어하고, 사용자가 로그인하자마자 지갑 승인 정보를 훔치는 악성 코드가 포함되어 있습니다.
자주 묻는 질문(FAQ)
다음은 승인 사기와 관련하여 사용자가 Tan Phat Digital에 자주 보내는 10가지 일반적인 질문입니다.
기타 "승인" 명령 "허가" 주문의 차이점은 무엇입니까?
승인은 온체인 거래로, 계약에 돈을 쓸 수 있는 권한을 부여하기 위해 가스 요금을 지불해야 합니다. 한편,Permit(EIP-2612)은 가스 비용이 들지 않지만 사기꾼이 나중에 자동으로 지출 주문을 활성화할 수 있게 해주는 오프체인 디지털 서명입니다.시드프레이즈(지갑비밀번호)를 알려주지 않으면 악당들이 내 돈을 인출할 수 있나요? 네. 승인 사기를 통해 악당은 귀하의 시드 문구가 필요하지 않습니다. 지갑에 액세스하고 자산을 인출하려면 악의적인
승인또는허가명령에 서명하기만 하면 됩니다.사기 프로젝트를 승인했는지 어떻게 알 수 있나요? Revoke.cash, Etherscan Approval과 같은 검사 도구를 사용하세요. Checker 또는 BSCScan 취소. 이 도구에는 지갑에서 토큰을 사용할 수 있는 권한이 있는 모든 주소가 나열됩니다.
"무제한 승인"은 얼마나 위험한가요? "무한"을 선택하면 해당 dApp은 취소 주문을 할 때까지 해당 토큰의 전체 잔액을 영원히 인출할 권리가 있습니다. dApp이 해킹되거나 사기성 프로젝트인 경우 언제든지 지갑이 전멸될 수 있습니다.
Uniswap의 Permit2 프로토콜은 지갑을 더욱 안전하게 만들어 주나요? Permit2는 편의성을 높이고 자동 승인 만료 기능을 제공합니다. 그러나 중앙화 위험도 발생합니다. 잘못된 Permit2 서명으로 인해 악의적인 행위자가 이전에 승인한 여러 토큰을 동시에 인출할 수 있습니다.
실수로 이상한 요청에 서명했습니다. 즉시 어떻게 해야 하나요? 해당 승인을 취소하려면 즉시 Revoke.cash를 방문해야 합니다. 가능하다면 남은 자금을 즉시 완전히 새로운 지갑으로 이체하여 안전을 확보하세요.
승인 사기를 피하기 위해 Rabby Wallet을 권장하는 이유는 무엇입니까? Metamask와 달리 Rabby Wallet에는 보안 검색 기능이 내장되어 있으며 악의적인 승인 명령이나 무제한 승인 명령에 서명하려고 할 때 명확한 경고를 표시합니다.
2026년까지 베트남에서 가상 화폐 사기가 범죄화될까요?예. 디지털기술산업법(2026년)과 2025년 최신 판례에 따라 암호화폐를 탈취하는 사기 행위가 점차 엄중한 형사 처벌 체계에 포함되고 있습니다.
'중지-확인-보호' 규칙이 무엇인가요? 이것이 황금률입니다. 명령 내용 서명) 및 보호(비정상적인 경우 은행이나 거래소에 문의하여 자산을 동결하세요).
승인 사기를 당하면 돈을 돌려받을 수 있나요? 블록체인은 되돌릴 수 없기 때문에 매우 어렵습니다. 하지만 중앙 집중식 거래소(CEX) 및 당국에 보고해야 MistTrack과 같은 도구를 사용하여 온체인을 추적하고 자금이 거래소로 이체된 경우 자금을 동결할 수 있습니다.
승인 사기는 사기 기술이 기술과 함께 항상 진화하고 있다는 증거입니다. 베트남이 2026년부터 디지털 자산을 파일럿 프레임워크에 공식적으로 도입함에 따라 사용자는 법으로부터 더 많은 보호를 받을 수 있습니다. 그러나 개인적인 지식과 주의가 여전히 가장 중요한 방어 수단입니다. Tan Phat Digital은 지식이 풍부한 투자자 커뮤니티가 베트남 디지털 경제의 지속 가능한 발전을 위한 기반이 될 것이라고 믿습니다.
공유
