모든 게시물

온체인 지갑 추적: 해커가 수행하는 방법

blockchainFebruary 9, 2026·#Blockchain

블록체인 시대에 투명성은 양날의 검입니다. Tan Phat Digital은 해커가 체인의 자산을 식별하고 찾는 데 도움이 되는 정교한 기술을 분석합니다.

온체인 지갑 추적: 해커가 수행하는 방법

블록체인 기술의 발전은 디지털 시대에 엄청난 역설을 만들어냈습니다. 절대적인 투명성에는 익명성의 환상이 따른다는 것입니다. 많은 사용자들은 여전히 ​​복잡한 해시 형태의 지갑 주소가 신원을 보호하는 방패라고 믿고 있지만, 온체인 현실은 완전히 다른 그림을 보여줍니다. Tan Phat Digital의 전문가에 따르면 암호화폐 지갑을 추적하는 데 더 이상 판타지 영화에서처럼 뛰어난 기술이 필요하지 않습니다. 대신 주소 클러스터링 알고리즘, 실시간 모니터링, 오프체인 데이터 유출 활용을 통한 체계적인 데이터 분석 프로세스입니다. 개별 MEV 수익자부터 Lazarus Group과 같은 국가가 후원하는 사이버 범죄 그룹에 이르기까지 위협 행위자들은 블록체인을 무자비한 감시의 놀이터로 만들었습니다. 이 보고서는 해커가 공개 원장의 핵심 속성을 활용하여 대상의 자산을 식별, 추적하고 궁극적으로 탈취하는 데 사용하는 기술 메커니즘을 조사합니다.

감시 기술 기반: 주소 클러스터링 및 온체인 분석

지갑 추적의 핵심은 휴리스틱 방법(참-거짓 테스트)을 통해 별개로 보이는 여러 주소를 단일 개체에 연결하는 기능에서 시작됩니다. 블록체인, 특히 Bitcoin 및 Cardano와 같은 UTXO(Unspent Transaction Output) 모델 기반 시스템은 해커가 익명성을 깨기 위해 이용할 수 있는 구조적 단서를 제공합니다.

다중 입력 휴리스틱

이는 주소 클러스터링에서 가장 중요한 기술입니다. 기본 원칙은 블록체인 거래의 구조를 기반으로 합니다. 기업이 단일 주소의 잔액보다 더 많은 금액을 보내려면 자신이 관리하는 여러 주소의 여러 UTXO를 단일 거래로 모아야 합니다. 이를 위해 발신자는 모든 입력 주소에 대해 유효한 서명을 제공해야 하며, 이는 단일 개체가 모든 주소에 대한 개인 키를 보유하고 있음을 수학적으로 증명합니다.

해커는 Union-Find와 같은 알고리즘을 사용하여 이러한 주소를 클러스터로 그룹화합니다. 결과적으로 해커는 단 한 번의 거래만으로도 개인이나 조직의 전체 지갑 "생태계"를 식별할 수 있습니다. 연구에 따르면 평균 개체는 Cardano 네트워크에서 약 9.67개의 주소를 제어하며, 비트코인에서 활동하는 개체의 경우 이 숫자는 훨씬 더 높습니다.

주소 휴리스틱 변경

UTXO 모델에서는 거래가 이루어질 때마다 입력 UTXO의 전체 잔액을 사용해야 합니다. 전송된 금액이 총 입력 금액보다 적을 경우 나머지 금액은 "변경 주소"로 전송됩니다. 최신 지갑 소프트웨어는 개인 정보 보호를 위해 각 반품 거래에 대해 자동으로 새 주소를 생성하지만 해커는 특정 행동 패턴을 통해 이를 식별할 수 있습니다.

  • 주소 상태: 주소는 이전에 블록체인에 표시되지 않은 경우가 많아 해커가 이 주소를 동일한 소유자의 새 주소로 식별하는 데 도움이 됩니다.

  • 출력 구조: 표시만 출력 중에서 새 주소를 식별하여 실제 주소와 구별됩니다. 수신자의 주소.

  • 거래 가치: 일반적으로 전송된 라운드 금액에 비해 소수점 이하 자릿수가 홀수이므로 해커가 피해자의 잔여 현금 흐름을 예측할 수 있습니다.

  • 타이밍 규칙: 주소는 원래 거래와 동시에 생성되어 새 주소를 기존 주소 클러스터에 영구적으로 연결합니다.

반환 주소를 사용하면 피해자가 자산을 새 지갑으로 분산시키려고 할 때에도 해커가 지속적인 감시를 유지할 수 있습니다. 이는 체계적인 식별 프로세스로, 자동화된 분석 도구에 대한 수동 익명화 노력을 쓸모없게 만듭니다.

자세히 보기: Blockchain Explorer란 무엇입니까?

Sweeper Bots: Automated Mempool의 포식자

해커가 피해자의 개인 키나 시드 문구를 획득한 후 현재 잔고가 낮거나 자산이 비유동적인 토큰에 있는 경우 즉시 조치를 취하지 않는 경우가 많습니다. 대신 Sweeper Bot(동전 스캔 로봇)을 배치하여 연중무휴 24시간 지갑을 모니터링합니다.

가스 수수료 경쟁 및 메커니즘

Sweeper Bot은 채굴자나 검증자의 트랜잭션 확인을 기다리는 대기열인 Mempool 모니터링을 기반으로 작동합니다. 사용자가 지갑이 손상되었음을 인지하고 다른 귀중한 자산을 인출하기 위해 가스 수수료로 소액의 돈(예: ETH 또는 BNB)을 입금하려고 하면 봇은 이 입금 거래가 네트워크에 공개되자마자 감지합니다.

즉시 봇은 지갑에 새로 입금된 돈이나 가치 있는 토큰을 대상으로 자체 출금 거래를 생성합니다. 결론은 해커가 매우 높은 가스 요금(Gas_{hacker} > Gas_{user})을 설정하여 채굴자가 거래의 우선순위를 우선시하도록 한다는 것입니다. 이더리움 및 이에 상응하는 EVM 네트워크의 구조에서 블록 내 거래가 실행되는 순서는 주로 사용자가 지불하려는 수수료에 따라 달라집니다. 이로 인해 일반 사용자는 "선제 공격"을 피할 수 없습니다.

MEV 및 최대 가치 추출

지갑 추적은 키를 도난당한 지갑에만 국한되지 않습니다. 전문 해커들은 MEV(Maximal Extractable Value) 전략을 구현하기 위해 "Whales"의 지갑도 모니터링합니다. 해커는 GPS(Generalized Profit-Seeker) 봇을 통해 대기 중인 거래를 스캔하고 그 결과를 시뮬레이션하며 샌드위치 공격을 수행합니다.

샌드위치 공격에서 해커는 자신의 거래를 피해자 거래의 양쪽 끝에 배치합니다.

  1. 선취:먼저 토큰을 구매하여 가격을 올립니다.

  2. 피해자 거래 피해자:부풀려진 가격으로 구매 주문을 실행하여 가격 압력을 더욱 높입니다.

  3. 백런:해커는 피해자가 겪은 가격 하락으로 이익을 얻기 위해 즉시 판매합니다.

이러한 작업의 규모는 엄청나며 단일 이더리움 네트워크에서 매일 수백만 달러의 수익이 추출되는 것으로 추정됩니다.

전문 블록체인 분석을 통해 정보를 추적합니다. 도구

해커는 규정 준수 및 연구 목적으로 설계된 동일한 도구를 사용하여 표적 감시 활동을 수행하면서 점점 더 정교해지고 있습니다. Nansen, Chainalytic, Arkham Intelligence 및 Etherscan과 같은 플랫폼은 해커가 자동화된 경고 시스템을 설정할 수 있는 강력한 기능을 제공합니다.

관심 목록 시스템 및 실시간 경고

최신 분석 도구를 사용하면 사용자는 지갑 주소에 라벨을 지정하고 "관심 목록 경고"를 설정할 수 있습니다. 대상 지갑이 입금/출금부터 DEX의 토큰 교환, 새로운 스마트 계약 승인에 이르기까지 모든 작업을 수행하면 해커는 텔레그램, Discord 또는 이메일을 통해 즉시 알림을 받게 됩니다.

온체인 데이터와 엔터티 레이블의 조합은 해커가 대상을 효과적으로 분류하는 데 도움이 됩니다.

  • 고래: 시장 변동 또는 공격을 모니터링합니다. Sandwich.

  • 프로젝트 개발자 지갑: 새로 배포된 계약의 조기 매도 또는 취약점을 감지하기 위해.

  • 정보가 도난당한 피해자의 지갑: 가스 수수료 자산을 재충전할 때까지 기다리기 위해.

다음은 해커와 분석가가 사용하는 일반적인 도구입니다. 애플리케이션:

  • Arkham: 지갑 주소를 실제 신원 또는 특정 조직에 연결하는 시각화 도구 및 개체 라벨링 기능을 제공합니다.

  • Nansen: 스마트 자금 추적을 전문으로 하여 투자 자금 및 대형 어류 지갑의 현금 흐름을 추적합니다.

  • 버블맵: 토큰 배포 제공 지갑 클러스터를 감지하는 맵은 중앙 집중식 제어입니다.

  • Tenderly: 실시간 추적을 지원하여 스마트 계약 내의 세부 함수 호출을 모니터링합니다.

  • Dune Analytics: 사용자 정의 SQL 쿼리를 실행하여 대규모 금융 행동 패턴을 심층적으로 분석할 수 있습니다.

자세히 보기: 블록체인은 완전히 익명인가요?

비익명화: IP 및 오프체인 데이터가 유명해질 때

블록체인은 익명일 수 있지만 상호 작용하면 디지털이 되는 경우가 많습니다. 해커가 사용자를 식별하는 데 사용할 수 있는 추적입니다. 이는 생명이 없는 해시를 특정 인물로 바꾸는 "비익명화" 과정입니다.

RPC 서비스를 통한 IP 주소 유출

현재 대다수의 사용자는 MetaMask와 같은 브라우저 지갑을 통해 상호 작용합니다. 이 지갑은 Infura와 같은 RPC 서비스를 통해 요청을 보냅니다. 최신 연구에 따르면 공격자는 TCP 패킷과 원장 거래 사이의 시간적 상관 관계를 활용하여 최대 95%의 성공률로 익명화 해제를 수행할 수 있는 것으로 나타났습니다.

IP 주소를 보유하면 해커는 다음을 수행할 수 있습니다.

  1. 지리적 위치 파악: 대상 위치를 파악하여 물리적 또는 피싱 공격을 수행합니다.

  2. DDoS 공격: 중요한 순간에 피해자의 네트워크 상호 작용을 마비시킵니다.

  3. ISP 데이터 마이닝: 제3자로부터의 데이터 유출을 통해 실제 신원에 대한 심층적인 연결.

사회 공학 및 사회적 신원

해커는 오픈 소스 정찰 기술(OSINT)을 사용하여 X, Discord 및 Telegram에서 대상을 추적합니다. 사용자가 실수로 에어드롭을 받기 위해 지갑 주소를 공개하고 지갑을 .eth 또는 .sol 도메인에 연결하면 ID 앵커가 생성됩니다. 해커가 지갑 주소를 소셜 네트워크 계정에 연결하면 해당 사용자의 모든 온체인 개인 정보 보호가 종료됩니다.

기만의 기술: 주소 중독 공격

주소 중독 공격은 복사-붙여넣기 습관과 사용자의 부주의함을 표적으로 삼는 정교한 추적 및 사기 방법입니다.

허영 주소 위조 메커니즘

해커는 사용자 정의 주소 생성 소프트웨어를 사용하여 주소를 생성합니다. 피해자가 자주 상호 작용하는 주소와 동일한 처음과 마지막 몇 개의 문자가 있는 지갑. 지갑 인터페이스는 종종 주소의 중간 부분을 단축시키기 때문에 이 차이를 한 눈에 발견하는 것이 거의 불가능합니다.

거래 내역 중독 프로세스

  • 행동 추적: 해커는 대상의 거래 내역을 모니터링하는 봇을 사용하여 빈번한 파트너를 식별합니다.

  • 먼지 입금: 해커는 가짜에서 극소량의 자산을 보냅니다. 피해자의 지갑 주소.

  • 트랩 만들기: 가짜 거래가 최신 목록에 나타납니다. 피해자가 실제 돈을 이체해야 하는 경우 기록에서 잘못된 해커의 주소를 쉽게 복사합니다.

2024년과 2025년의 수치를 보면 이러한 유형의 공격 시도가 2억 7천만 건 이상 기록될 정도로 규모가 매우 크다는 것을 알 수 있습니다. 2025년 12월에 발생한 일반적인 사건에서는 거래자가 중독된 주소 복사 오류로 인해 거의 5천만 USDT를 잃었습니다.

승인 권한 악용: ERC-20, Permit 및 Permit2

지갑 추적은 잔액을 넘어 사용자가 스마트 계약에 부여한 승인 권한(승인)도 포함합니다. 승인은 영구적이고 개수에 제한이 없는 경우가 많아 큰 위험을 초래합니다.

무한 및 허가2 승인 위험

많은 DeFi 프로토콜은 가스를 절약하기 위해 최대 승인을 요구합니다. 해커는 Etherscan을 통해 이러한 명령을 추적합니다. 웹의 프런트엔드를 장악하거나 승인된 계약에서 취약점을 발견하면 추가 권한 없이 자산을 유출할 수 있습니다.

Permit 및 Permit2와 같은 표준을 사용하면 오프체인 서명을 통해 승인이 이루어질 수 있습니다. 해커는 이 기능을 이용하여 Inferno Drainer와 같은 피싱 툴킷을 개발했습니다.

  1. 추적 및 유인: 해커는 가짜 광고를 사용하여 피해자를 사기성 웹사이트로 유도합니다.

  2. 서명 알림: 웹사이트에서는 '로그인' 또는 '확인' 알림에 서명해야 합니다. 이는 본질적으로 토큰 인출 권한을 부여하는 Permit2 서명입니다.

  3. 지연: 해커는 즉시 돈을 인출하지 않습니다. 이들은 며칠 동안 지갑을 모니터링하며 체인에서 가장 높은 잔고가 인출될 때까지 기다립니다.

임상 사례: 15억 달러 규모의 Bybit 공격

2025년 2월 Bybit의 콜드 지갑에서 15억 달러 규모의 도난 사건은 공급망 추적과 온체인 감시의 궁극적인 조합이었습니다. Lazarus 그룹은 개발자 워크스테이션을 통해 Safe{Wallet} 시스템에 침투했습니다.

2025년 2월 19일, 해커는 S3 서버에서 JavaScript 파일을 편집했습니다. 악성코드는 원본 지갑 주소가 Bybit의 콜드 지갑으로 식별되는 경우에만 활성화됩니다.

Trigger = (Address_{source} == Address_{Bybit_Cold})

Bybit 관리자가 송금 주문을 실행할 때 악성코드는 거래 내용을 해커의 계약으로 이어지는 delegatecall 명령으로 자동 변경하여 추가 서명 없이 출금 기능을 추가하고 자산을 빼낼 수 있도록 합니다. 기타.

지갑이 추적되고 있는 징후를 인식하세요.

  • 가스 요금의 즉각적인 손실: 스위퍼 봇이 있다는 분명한 신호입니다. 가스 요금을 입금했는데 몇 초 안에 사라지면 지갑에서 개인 키를 제어할 수 있습니다.

  • 잦은 "더스트" 거래: 해커가 주소를 클러스터링하거나 주소 중독 공격에 대비하려고 합니다.

  • 비정상적인 메시지 서명 요청: 사용할 때 Permit2와 관련된 특히 복잡한 JSON 형식 DApp.

Tan Phat Digital의 관점에서 본 예방 조치

온체인 추적이 주요 과제이기는 하지만 사용자는 다음과 같은 전략을 적용하여 자산을 보호할 수 있습니다.

계정 추상화(ERC-4337)

스마트 지갑(스마트 계정)의 도입으로 보안이 크게 강화됩니다. 포함:

  • 화이트리스트: 사전 승인된 주소로만 자금을 이체할 수 있도록 허용하여 주소 중독 함정을 완전히 비활성화합니다.

  • 거래 제한: 일일 인출 한도를 설정하여 Sweeper Bot이 즉시 자산을 빼내지 못하도록 방지합니다. 즉,

  • Paymasters: 가스 수수료를 허용합니다. 기본 가스 수수료 현금 흐름의 노출을 피하면서 다른 토큰이나 수수료 후원으로 지불받을 수 있습니다.

  • 사회 회복: 친구나 다른 장치를 통해 지갑 액세스를 복원하여 시드 문구로 인한 위험을 완전히 제거합니다.

개인정보 관리 및 승인

Wasabi Wallet(CoinJoin 프로토콜)과 같은 솔루션을 사용하면 거래 혼합에 도움이 되고 클러스터링 알고리즘이 중단됩니다. 또한, 개인 RPC 노드나 VPN을 사용하면 IP 유출을 방지하는 데 도움이 됩니다. 사용자는 정기적으로 Revoke.cash를 사용하여 더 이상 필요하지 않은 승인을 취소해야 합니다.

자주 묻는 질문(FAQ)

  1. 더스팅 공격이란 무엇입니까? 해커는 "태그"를 위해 수백만 개의 주소에 극소량의 암호화폐를 보내고 이러한 자금을 관리하거나 모으는 방법을 추적하여 소유자를 식별합니다.  

  2. 주소 클러스터링은 어떻게 작동하나요? 이는 거래 구조 및 지출 행동에 대한 규칙을 기반으로 동일한 엔터티에 속할 가능성이 있는 다양한 지갑 주소를 그룹화하는 기술입니다.  

  3. 다중 입력 휴리스틱이란 무엇입니까? 여러 지갑 주소가 단일 거래에 자금을 기여하는 경우 모든 개인 키가 서명되어야 하기 때문에 동일한 사람이 관리한다고 가정하는 규칙입니다.  

  4. 암호화폐 지갑을 통해 IP 주소가 유출될 수 있나요? 네, 라이트 지갑이나 브라우저 플러그인을 사용하는 경우 RPC 요청을 통해 IP 주소가 유출될 수 있으며, 이로 인해 해커가 귀하의 실제 신원을 지갑 주소와 연관시키는 데 도움이 됩니다.  

  5. 지갑이 해킹되면 Sweeper 봇은 무엇을 합니까? 트랜잭션 대기열(mempool)을 모니터링하고 매우 높은 가스 수수료로 즉시 인출하여 가스 수수료 예치금을 빼앗습니다.  

  6. 샌드위치 공격이란 무엇입니까? 해커는 피해자의 가격 하락으로 이익을 얻기 위해 피해자의 거래 이전에 매수 주문을 하고 직후에 매도 주문을 합니다.  

  7. 무제한 승인은 얼마나 위험한가요? 스마트 계약을 사용하면 다시 서명할 필요 없이 언제든지 지갑에서 해당 토큰을 비울 수 있습니다.  

  8. Permit2는 일반 Permit에 비해 어떤 위험이 있나요? Permit2는 매우 유연하고 동시에 여러 토큰을 승인할 수 있기 때문에 해커는 자금을 인출하기 위해 사용자가 완전히 이해하지 못하는 복잡한 통지에 서명하도록 속일 수 있습니다.  

  9. 주소 중독은 더스팅 공격과 어떻게 다릅니까? 더스팅은 추적에 사용되는 반면, 주소 중독은 돈을 이체할 때 잘못된 주소를 복사하여 붙여넣도록 속이기 위해 일반적으로 사용하는 주소와 유사한 주소를 생성합니다.  

  10. 15억 달러 규모의 Bybit 해킹은 어떻게 이루어졌습니까? Lazarus 그룹 해커는 Safe{Wallet}의 클라우드 인프라에 악성 코드를 주입하여 사용자가 콜드 지갑에 대한 제어 권한을 전달하는 명령에 서명할 수 있도록 인터페이스를 변경했습니다.  

  11. AA(계정 추상화)란 무엇입니까? 지갑을 단순한 개인 키 쌍이 아닌 자체 보안 로직을 프로그래밍할 수 있는 스마트 계약으로 바꾸는 기술입니다.  

  12. ERC-4337은 스위퍼 봇(Sweeper Bot)을 방지하는 데 어떻게 도움이 됩니까? AA는 인출 한도를 설정하고 수신 주소를 화이트리스트에 추가하여 봇이 모든 자금을 익숙하지 않은 주소로 즉시 인출하는 것을 불가능하게 만듭니다.  

  13. ERC-4337을 사용하면 어떤 단점이 있나요? 거래 복잡성이 증가하고 가스 요금이 높아지며, 복잡한 인증 논리로 인해 DoS(서비스 거부) 공격 위험이 높아질 수 있습니다.  

  14. 현재 고래의 움직임을 추적하는 가장 좋은 도구는 무엇입니까? Nansen, Arkham Intelligence 및 Bubblemaps는 전문적인 명목 데이터 및 현금 흐름 시각화를 제공하는 선도적인 도구입니다.  

  15. 추적으로부터 지갑을 완전히 보호하는 방법은 무엇입니까? CoinJoin(예: Wasabi)을 지원하는 지갑을 사용하고, Tor/VPN을 통해 연결하고, 정기적으로 승인을 취소하고, 거래 내역에서 주소를 복사하지 마세요.  

Tan Phat Digital은 미래에 온체인 개인정보 보호는 더 이상 단순한 숫자 숨기기가 아니라 데이터를 제어하는 ​​능력이라고 강조했습니다. 영지식 증명과 같은 보안 기술이 대중화될 때까지 경계와 이해는 모든 투자자에게 가장 중요한 보호 계층입니다.

공유

댓글

0.0 / 5(0 개의 평가)

댓글을 남기려면 로그인하세요.

아직 댓글이 없습니다. 첫 번째 댓글을 남겨보세요.

관련 게시물

Node를 실행하면 광고만큼 쉽게 돈을 벌 수 없는 이유는 무엇입니까? | 탄팟 디지털
blockchain2/27/2026

Node를 실행하면 광고만큼 쉽게 돈을 벌 수 없는 이유는 무엇입니까? | 탄팟 디지털

블록체인이 고객의 신뢰를 높이는 데 도움이 됩니까 | 탄팟 디지털
blockchain2/27/2026

블록체인이 고객의 신뢰를 높이는 데 도움이 됩니까 | 탄팟 디지털

엔터프라이즈 블록체인 배포 2026: 구현을 위한 시작점 및 로드맵
blockchain2/27/2026

엔터프라이즈 블록체인 배포 2026: 구현을 위한 시작점 및 로드맵

블록체인은 실제로 내부 사기를 방지하나요? | 탄팟 디지털
blockchain2/26/2026

블록체인은 실제로 내부 사기를 방지하나요? | 탄팟 디지털

블록체인을 애플리케이션에 통합 | 탄팟 디지털
blockchain2/26/2026

블록체인을 애플리케이션에 통합 | 탄팟 디지털

블록체인이 ERP 시스템을 대체할 수 있나요? | 탄팟 디지털
blockchain2/26/2026

블록체인이 ERP 시스템을 대체할 수 있나요? | 탄팟 디지털

블록체인 베트남 2026: 지속 가능한 개발을 위한 잠재력, 과제 및 로드맵
blockchain2/25/2026

블록체인 베트남 2026: 지속 가능한 개발을 위한 잠재력, 과제 및 로드맵

직접 블록체인을 구축하거나 즉시 사용할 수 있는 블록체인을 구축하시겠습니까? 인프라 전략 2026 - Tan Phat Digital
blockchain2/25/2026

직접 블록체인을 구축하거나 즉시 사용할 수 있는 블록체인을 구축하시겠습니까? 인프라 전략 2026 - Tan Phat Digital