디지털 경제가 분산형 프로토콜로 강력하게 전환하는 상황에서 스마트 계약은 블록체인의 모든 금융 활동의 중추가 되었습니다. 그러나 Web3의 신뢰의 핵심인 소스 코드의 불변성과 자체 실행성은 사이버 범죄 조직에 의해 악용되어 정교한 형태의 사기를 만들고 있습니다. 이 보고서는 2025년부터 2026년까지 기본 승인 취약점부터 허니팟 트랩, 인공지능(AI) 기반 공격 메커니즘에 이르기까지 악성 스마트 계약의 아키텍처 분석을 자세히 조사합니다.
Tan Phat Digital이 집계한 실제 데이터는 문제의 심각성을 보여줍니다. 2025년 상반기에 암호화폐 관련 범죄로 도난당한 자산의 총 가치는 19억 3천만 달러를 넘어섰습니다. 피싱 공격은 더 이상 단순한 가짜 웹사이트를 기반으로 하지 않고 시스템 조작, 지갑 권한 및 프로토콜 논리를 결합한 "복합 공격"으로 전환되었습니다. 특히 취약점을 찾아 악용하는 데 AI 에이전트가 개입하면서 공격 효율성이 높아졌으며, AI 기반 사기로 인한 수익은 기존 방법보다 4.5배 더 높습니다.
토큰 승인 메커니즘(토큰 승인)의 아키텍처 및 취약점
승인 메커니즘(승인) 메커니즘은 ERC-20과 같은 토큰 표준의 기본 구성 요소로, 사용자는 제3자 주소 이동을 승인할 수 있습니다. 그들을 대신하여 자산. 이는 탈중앙화 금융(DeFi) 애플리케이션이 원활하게 작동하도록 돕는 핵심 메커니즘입니다. 그러나 이 메커니즘의 잘못된 구현이나 남용은 사용자가 종종 간과하는 보안 "사각지대" 중 하나가 되었습니다.
무제한 승인 및 시스템 위험
ERC-20 표준에서 승인(주소 지출자, uint256 금액) 기능에는 대리인 주소와 최대 토큰 수가 필요합니다. 경험을 최적화하고 가스를 절약하기 위해 많은 dApp에는 "무제한 승인" 권한($2^{256}-1$)이 필요합니다. 이 권리는 일단 부여되면 취소될 때까지 영구적입니다. 계약이 손상되면 공격자는 추가 확인 없이 현재 및 미래의 잔액 전체를 탕진할 수 있습니다.
승인 기능에서 경쟁 조건 분석
사용자가 승인 한도를 $x$ 값에서 $y$로 변경하면 공격자는 멤풀에서 트랜잭션을 관찰하고 새 명령이 실행되기 직전에 $x$ 금액만큼 transferFrom 명령을 실행한 다음 계속해서 추가 $y$를 인출할 수 있습니다. 총 손실은 $x+y$입니다. Tan Phat Digital의 전문가들은 이제 OpenZeppelin과 같은 라이브러리가 이러한 위험을 최소화하기 위해 increaseAllowance 사용을 권장한다고 지적합니다.
인기 승인 모델 분석
표준 승인(ERC-20):
허용을 설정하기 위해 온체인 트랜잭션을 통해 수행됩니다. 레거시 dApp과 호환되지만 가스 요금이 높으며 무제한 또는 선행 승인 위험에 취약합니다.허가(EIP-2612): 오프체인 메시지 서명(EIP-712)을 사용하세요. 가스를 절약하고 빠른 경험을 제공하지만 온체인 추적을 남기지 않는 가짜 메시지에 서명하도록 속이기 쉽습니다.
Permit2(Uniswap): Uniswap의 Permit2 계약에 대한 일회성 승인. 중앙 집중식 관리 및 거래 클러스터링을 지원하지만 악용될 경우 치명적인 약점인 "마스터 승인"을 생성합니다.
SetApprovalForAll(ERC-721): 전체 NFT 수집을 승인합니다. 이는 NFT 교환에 필요한 요구 사항이지만 단 하나의 잘못된 기호로 인해 모든 자산을 잃을 수 있는 잠재적 위험이 있습니다.
자세히 보기: 스마트 계약이란 무엇입니까? 스마트 계약에 대해 알아야 할 사항
SetApprovalForAll 및 NFT 피싱의 위험
NFT(ERC-721/1155)의 경우 setApprovalForAll 함수는 "운영자"에게 특정 사용자 계약에 속하는 모든 NFT를 이동할 수 있는 권한을 부여합니다. 공격자들은 종종 가짜 "Free Mint" 또는 "Airdrop" 웹사이트를 통해 사용자를 속여 이 명령에 서명하도록 합니다. 권력을 갖게 되면 Angel Drainer와 같은 툴킷을 사용하여 지갑을 비울 것입니다. Tan Phat Digital에 따르면 각 NFT에 대한 다중 주소 승인 메커니즘이 부족하여 의도치 않게 사용자가 편의를 위해 높은 위험을 감수해야 하는 위치에 놓이게 되었습니다.
백도어 관리 권한 및 업그레이드 가능한 계약
많은 "Rug Pull" 프로젝트는 커뮤니티의 신뢰를 얻은 후 적절한 자산에 대한 관리 백도어를 사용합니다.
관리 기능 남용됨
무한
mint기능: 소유자는 시장에 출시하기 위해 무제한 토큰을 인쇄하여 사용자 자산의 가치를 0으로 줄입니다.영구
일시 중지기능: 자금 강탈 행위 조항.블랙리스트기능: 일반적으로 구매자가 자금을 입금한 직후에 특정 지갑 주소가 거래되는 것을 방지합니다.
공격자는 또한 종종 프록시 모델을 사용하여 처음에 깨끗한 소스 코드를 배포한 다음 프로젝트가 특정 수준에 도달한 후 upgradeTo 기능을 사용하여 악의적인 논리로 대체합니다. TVL 금액(총 가격). 특정 키 값.
허니팟 트랩 심층 분석
허니팟은 예치된 돈의 출금을 막는 논리적 트랩이 포함된 계약의 일종입니다.
재진입 트랩(Hacker Trap): 프로그래밍 지식이 있는 사람들을 속여 돈을 예치하여 '해킹'하도록 하는 재진입 공격에 취약한 모습을 만듭니다. 하지만 '해커'의 모든 출금 시도가 실패하게 만드는 숨겨진 논리로 출금 기능이 차단되어 미끼 돈이 막혔습니다.
난독화 기법: 상속에 동일한 이름의 변수를 사용하거나 최대 99%의 판매세를 부과하여 사용자의 이익을 없애는 방식입니다.
Explorer에서 허니팟을 식별하는 가장 쉬운 징후는 "색상 전용" 촛대 차트입니다. green"(매수만 가능)이며 보유자 수는 지속적으로 증가하지만 양도는 없습니다.
검증되지 않은 소스 코드와 허위 감사 문제
투명성은 Web3의 기본이지만 사기꾼은 소스 코드를 읽을 수 없는 바이트코드로 숨기는 경우가 많습니다. 또한 CertiK 또는 Hacken과 같은 유명 기업의 감사 보고서를 위조하는 것도 골치 아픈 문제가 되고 있습니다.
지침 평판이 좋은 감사 단위 확인
CertiK: 보고서에는 Skynet 제어판에 대한 직접 링크가 있어야 합니다. 확인 위치: Certik.com/projects.
Hacken: 보고서는 GitHub에서 공개적으로 사용할 수 있으며 조직은 다음 위치에서 확인되었습니다. Hacken.io/audits.
OpenZeppelin: 표준 라이브러리 제공업체이며 보고서는 항상 매우 상세합니다: Blog.openzeppelin.com.
Sherlock: 투명한 보고와 함께 커뮤니티 감사 모델을 사용하십시오: Sherlock.xyz.
자세히 보기: 승인 사기는 얼마나 위험하고 많은 사람들이 이에 빠지는 이유
새로운 공격 추세: AI 및 공급망
진입 2026년에는 AI가 사기꾼이 뉴스를 만드는 데 도움이 됩니다. 철자 오류가 없는 피싱 메시지와 매우 설득력 있는 Deepfake 동영상을 표적으로 삼는 공급망 공격도 증가하고 있습니다. 일반적으로 2026년 초 SagaEVM 해킹으로 인해 레거시 취약점으로 인해 700만 달러의 손실이 발생했습니다.
2026년 1월의 일반적인 DeFi 해킹
Step Finance: 개인 키 손상으로 인해 3,000만 달러 손실(개인 키) 교훈: 다중 서명 지갑 및 콜드 스토리지 사용.
Truebit: 무료 토큰 발행을 허용하는 오래된 소스 코드 버그로 인해 2,640만 달러 손실
SwapNet: 임의 함수 호출 취약점으로 인해 1,340만 달러의 손실이 발생했습니다. 교훈: 입력 데이터를 엄격하게 제어하세요.
SagaEVM: 공급망 공격으로 인해 700만 달러의 손실이 발생했습니다. 교훈: 다른 프로젝트에서 상속받은 소스 코드를 신중하게 평가하세요.
MakinaFi: 유동성 풀 논리 오류로 인해 410만 달러의 손실이 발생했습니다. 교훈: DeFi 논리의 극단적 사례 감사.
사용자를 위한 보호 전략 및 분석 도구
자산을 보호하기 위해 Tan Phat Digital은 사용자에게 다층 방어 시스템을 구축할 것을 권장합니다.
자동 도구 사용: 토큰 스니퍼(안전 점수), GoPlus 보안(숨겨진 항목 검색)을 통해 계약 주소 확인 위험) 및 Honeypot.is(판매 함정 감지).
수동 평가: 항상 CoinGecko/CoinMarketCap에서 계약 주소를 가져옵니다. Rabby 지갑을 사용하여 서명하기 전에 거래를 시뮬레이션하세요(거래 시뮬레이션).
승인 권한 관리: 정기적으로 Revoke.cash를 방문하여 더 이상 사용하지 않는 애플리케이션에 대한 승인 권한을 취소하세요. 이는 자동 출금을 방지하기 위한 가장 중요한 조치입니다.
자주 묻는 질문(FAQ)
무제한 승인이란 무엇입니까? dApp이 지갑에서 최대 2^256 - 1 토큰을 소비하도록 승인하는 경우입니다. 이는 편리하지만 dApp이 해킹되었거나 사기인 경우 매우 위험합니다.
토큰 승인 취소 방법 Revoke.cash(이더리움) 또는 Solscan(Solana)과 같은 도구를 사용하여 불필요한 액세스 권한을 주기적으로 확인하고 제거해야 합니다.
메커니즘이란 무엇입니까? NFT의 "SetApprovalForAll"? 이는 제3자(예: 교환소)가 특정 컬렉션의 모든 NFT를 이동할 수 있도록 허용하는 권한입니다.
NFT 거래소가 "SetApprovalForAll" 권한을 요청하는 이유는 무엇입니까? 거래가 완료되면 각 소액 주문을 승인할 필요 없이 구매자에게 자동으로 NFT를 전송할 수 있도록 하기 위함입니다.
허니팟 토큰의 가장 명확한 징후는 무엇입니까? 가격 차트에는 여러 시간 동안 일반 사용자의 판매 주문이 전혀 없는 녹색 양초(매수 주문)만 있습니다.
허니팟의 "균형 장애"는 어떻게 작동합니까? 사기꾼은 사용자가 계약의 현재 잔액보다 많은 양의 ETH를 보내면 모든 것을 받을 것이라고 생각하도록 속입니다. 하지만 실제로는 계약 논리가 이를 방지합니다.
"재진입 미끼"는 어떻게 해커를 속이나요?계약은 의도적으로 "가짜" 재진입 취약점을 노출합니다. 해커가 공격을 위해 돈을 예치하면 숨겨진 기능이
revert명령을 실행하여 해커가 모든 미끼 돈을 잃게 됩니다.무한 "민트" 기능은 투자자에게 어떤 해를 끼치나요? 프로젝트 소유자는 수십억 개의 추가 토큰을 인쇄하여 가치를 희석시키고 보유한 토큰의 가격을 거의 0으로 떨어뜨릴 수 있습니다. 즉시.
원시 소스 코드와 상호작용하면 안 되는 이유는 무엇입니까? 검증? 바이트코드 형태의 소스코드는 읽을 수 없기 때문에 출금 명령이나 악의적인 백도어가 완전히 숨겨져 있습니다.
감사가 진짜인지 어떻게 알 수 있나요? 스크린샷을 믿지 말고 직접 감사 기관 공식 홈페이지(예: CertiK Skynet)에 방문하여 계약 주소를 검색해 비교해 보세요.
위험 "Permit" 서명(EIP-2612)?공격자는 지갑이 비워질 때까지 사용자 모르게 토큰을 사용할 수 있는 권한을 부여하는 오프체인 메시지(가스 없음)에 서명하도록 속일 수 있습니다.
"Permit"과 "Permit2"의 차이점은 무엇입니까? Permit은 토큰에 내장되어 있는 반면 Permit2(Uniswap의)는 중개 계약으로 다양한 유형의 대량 승인을 허용합니다. 단일 서명으로 동시에 토큰을 생성합니다.
"거래 시뮬레이션"은 절대적으로 안전한가요? 거래 결과를 예측하는 데 도움이 되지만(예: "10 ETH를 잃게 됩니다.") 느린 활성화 로직 트랩을 감지하거나 나중에 계약을 업그레이드할 수는 없습니다.
악의적으로 유해한 것으로 의심되는 계약에 실수로 서명한 경우 어떻게 해야 합니까? 즉시 Revoke.cash를 사용하여 승인을 취소하고 남은 자산을 보다 안전한 새 지갑으로 이전하십시오.
Etherscan이 사기를 탐지하는 데 도움이 될 수 있습니까? 예, "계약" 섹션을 확인하여 소스 코드가 확인되었는지 확인하고, "구매만 가능하고 판매하지 않음" 패턴에 대한 거래 내역을 확인하고, 댓글을 읽을 수 있습니다.
악성 스마트 계약 생태계의 성장은 공격이 점점 더 정교해지고 있음을 보여줍니다. 모든 투자자를 위한 Tan Phat Digital의 마지막 조언은 항상 '제로 트러스트' 사고방식을 유지하라는 것입니다. 모든 거래와 서명은 주의 깊게 확인되지 않으면 잠재적으로 위험할 수 있습니다. 편리함보다 안전을 우선시하고, 장기간 축적된 자산은 콜드월렛을 활용하세요.
공유
