모든 게시물

개인키가 노출되지 않았는데도 지갑이 계속 돈을 잃는 이유는 무엇입니까?

blockchainJanuary 29, 2026·#Blockchain

이 기사에서는 Drainer Scripts, Permit2 및 다층 예방 전략과 같은 최신 사기 메커니즘을 심층 분석하여 디지털 자산을 절대적으로 안전하게 보호합니다.

개인키가 노출되지 않았는데도 지갑이 계속 돈을 잃는 이유는 무엇입니까?

암호화폐 생태계가 단순한 자금 이체에서 탈중앙화 금융(DeFi) 및 스마트 계약의 복잡한 네트워크로 전환되면서 자산 보안의 정의가 근본적으로 바뀌었습니다. 초기에는 개인 키나 시드 문구를 보호하는 것이 암호화폐 지갑의 가장 강력한 방패로 간주되었습니다.

그러나 2023년부터 2026년까지의 실제 수치는 놀라운 추세를 보여줍니다. 개인 키가 오프라인 환경이나 보안 장치를 벗어나지 않더라도 사용자의 자산은 여전히 ​​고갈되고 있습니다. Tan Phat Digital의 전문가에 따르면 이러한 손실은 암호화 알고리즘 크래킹에서 비롯된 것이 아니라 권한 승인 메커니즘의 남용, 사용자 인터페이스(UI)의 설계 결함, 인공 지능을 사용한 정교한 사회 공학 기술에서 비롯된 것입니다.

토큰 권한 승인 메커니즘 및 승인 기능의 취약성

탈중앙화(DEX) 거래소 또는 대출 플랫폼과 같은 DeFi 프로토콜의 특성은 스마트 계약과 자산의 직접적인 상호 작용입니다. 사용자 지갑. 분산형 애플리케이션(dApp)이 자동으로 스왑이나 예금을 수행하려면 사용자가 "토큰 승인"이라는 단계를 수행해야 합니다. 기술적으로 approve(주소 지출자, uint256 금액) 함수는 특정 금액의 자산을 소비하도록 허용된 dApp의 주소를 기록하는 데이터 맵을 업데이트하기 위해 토큰 계약에서 호출됩니다.

문제는 사용자 경험을 최적화하기 위한 dApp의 설계 습관에서 발생합니다. 각 개별 거래에 대한 승인을 요구하는 대신 dApp은 일반적으로 256비트 부호 없는 정수($2^{256}-1$)의 최대값에 해당하는 "무제한" 승인을 요청합니다. 사용자가 이 명령을 확인하면 추가 확인 단계 없이 언제든지 원하는 양의 토큰을 인출할 수 있는 권리가 해당 스마트 계약에 부여됩니다. 해당 스마트 계약이 실패하거나 해커에 의해 탈취되거나 그 자체가 "드레이너"로 위장된 경우 전체 토큰 잔액이 즉시 사라집니다.

지출 승인 수준 및 관련 위험

  • 제한적 승인:

    • 특징: 특정 금액의 지출만 허용됩니다(예: 100 USDT).

    • 포인트: 해당 토큰의 현재 및 미래 잔액 전체를 사용할 수 있습니다.

    • 위험: 스마트 계약이 해킹되거나 악의적인 경우 해당 토큰의 모든 자산이 사라질 수 있습니다.

    • 권장 사항: 오랫동안 감사를 받아 왔으며 신뢰할 수 있는 프로토콜에만 적용됩니다. 커뮤니티에 의해 신뢰됨 신뢰됨.

  • NFT 승인(모두 승인):

    • 특징: 승인된 주소가 특정 컬렉션의 모든 NFT를 전송할 수 있도록 허용합니다.

    • 위험: 단일 서명 후에 전체 NFT 컬렉션이 손실될 수 있습니다.

    • 권장 사항: NFT 채굴 사이트나 이국적인 시장과 상호 작용할 때는 극도로 주의하십시오.

시간이 지남에 따라 승인이 누적되면 "잠재적인 공격 표면"이 생성됩니다. 사용자는 몇 년 전에 프로젝트에 권한을 부여한 후 해당 프로젝트가 해커에 의해 중단되거나 손상되었을 수 있습니다. 이것이 바로 "승인 취소" 도구를 사용하여 지출 권한을 주기적으로 취소하는 것이 Tan Phat Digital이 항상 고객에게 강조하는 지갑 위생의 필수적인 부분인 이유입니다.

자세히 보기: 지갑의 개인 키와 암호는 무엇인가요? 디지털 자산 자체 관리 가이드

오프체인 서명의 진화: EIP-2612에서 Permit2로

가스 요금과 번거로운 거래 단계 문제를 해결하기 위해 이더리움 커뮤니티는 EIP-2612(Permit) 및 Uniswap Permit2와 같은 표준을 도입했습니다. 그러나 이러한 개선으로 인해 공격자가 사용자에게 온체인 거래를 요청하지 않고도 자금을 인출할 수 있는 새로운 방법이 의도치 않게 만들어졌습니다.

허가 메커니즘(EIP-2612) 및 Permit2

EIP-2612에는 사용자가 오프체인 디지털 서명을 통해 지출을 승인할 수 있는 permit() 기능이 도입되었습니다. 네트워크에 트랜잭션 승인을 보내는 대신 사용자는 EIP-712 구조 형식으로 메시지에 서명하기만 하면 됩니다. 공격자는 사용자에게 "로그인"을 요청하는 피싱 웹사이트를 만들 수 있지만 실제로는 무제한 지출 권한을 부여하는 명령입니다. 이는 오프체인 서명이므로 사용자에게 가스 비용 알림이 표시되지 않아 경계심이 줄어듭니다.

Uniswap의 Permit2는 모든 유형의 ERC-20 토큰에 대한 권리를 관리하는 중개 계약을 생성합니다. 편의성에도 불구하고 Permit2는 "중앙 집중식 약점"을 만듭니다. 공격자가 사용자를 속여 Permit2 메시지에 서명하게 하면 동일한 거래에서 여러 유형의 토큰을 동시에 인출할 수 있어 기존 방법보다 인출 속도가 훨씬 빠릅니다.

서명 생성 프로세스는 타원 곡선 Secp256k1을 사용하는 ECDSA 알고리즘을 기반으로 합니다. 공격자는 ecrecover 함수를 사용하여 소유권을 증명할 수 있습니다.

address = ecrecover(digest, v, r, s)

이 구조의 복잡성으로 인해 일반 사용자가 수동으로 진위 여부를 확인하기 어렵고, 블라인드 서명 사기 시나리오가 흔해지는 조건이 조성됩니다.

참조: 거래 ID(TxID)란 무엇인가요? 거래 코드 조회 지침

자동 출금 기술: Drainer 스크립트 및 DaaS

"소진된 지갑"이라는 용어는 DaaS(Drainer-as-a-Service) 모델 하에서 운영되는 전문 범죄 조직의 증가와 관련이 있습니다. 이러한 그룹은 계열사가 대규모 피싱 캠페인을 배포할 수 있도록 완전한 악성 코드 툴킷을 제공합니다.

일반적인 Drainer 그룹 분석

  • Monkey Drainer(2022년~2023년 3월): 약 1,300만 달러를 책정했습니다. 사용자를 속여 서명하도록 속이기 위해 Seaport 및 WalletConnect 프로토콜을 가장하는 자바스크립트 스크립트를 사용하는 것이 특징입니다.

  • Inferno Drainer(2022년 11월~2023년 11월): 약 8,700만 달러의 지출. 이 그룹은 조치를 취하기 전에 잔액이 많은 지갑을 잡기 위해 '대기' 메커니즘을 사용하여 16,000개가 넘는 사기 도메인 이름을 만들었습니다.

  • Angel Drainer(2023~2025): 수천만 달러를 책정했습니다. 도메인 이름 제공업체와 대규모 프로젝트의 IT 직원을 직접 표적으로 삼는 공급망 공격으로 유명합니다.

DaaS의 비즈니스 모델은 개발자와 계열사 간의 사기 행위로 이익을 공유하는 매우 전문적이며, 소셜 네트워크에 밀집된 피싱 공격을 발생시킵니다.

공급망 공격 및 프런트엔드 인프라 중독

사용자가 매우 조심하더라도 자신이 신뢰하는 인프라를 표적으로 하는 공격으로 인해 여전히 돈을 잃을 수 있습니다. 2023년 말 Ledger Connect Kit에 대한 공격이 대표적인 예입니다. 공격자는 수백 개의 dApp에서 사용하는 Javascript 라이브러리에 악성 코드를 삽입했습니다. 사용자가 공식 웹사이트를 방문하면 가짜 확인 창이 표시되어 해커 지갑으로 직접 자산이 전송되도록 인터페이스가 변경되었습니다.

1억 2천만 달러 규모의 BadgerDAO 해킹 역시 공격자가 프로젝트의 Cloudflare 계정을 장악하여 사용자 인터페이스에 악성 코드를 삽입하는 것과 유사한 시나리오를 따랐습니다.

주소 중독: 주소 중독 및 심리적 함정 복사

주소 중독 기술은 소프트웨어 취약점을 기반으로 하지 않습니다. 그러나 사람들의 피상적인 주소 확인 습관을 이용합니다. 공격자는 강력한 알고리즘을 사용하여 첫 번째와 마지막 문자가 피해자의 일반 파트너 주소와 동일한 지갑 주소를 생성합니다. 그런 다음 거래 내역을 "중독"시키기 위해 소량의 정크 암호화폐를 보냅니다. 피해자가 다음 거래를 위해 기록에서 주소를 복사할 때 실수로 공격자에게 자금을 보내는 것입니다. 2024년에는 이 과정의 작은 실수로 인해 대규모 투자자가 WBTC에서 최대 6,800만 달러의 손실을 입었습니다.

암호화폐를 위해 특별히 설계된 악성 코드

핫 지갑의 인기로 인해 정교한 운영 메커니즘을 갖춘 전문 악성 코드(Infostealer) 시장이 형성되었습니다.

  • 클립보드 하이재커: 클립보드를 모니터링하고 사용자가 붙여넣기 명령을 실행하자마자 복사된 지갑 주소를 해커의 주소로 바꿉니다.

  • 키로거: 사용자가 컴퓨터에 입력할 때 모든 키 입력을 기록하고 지갑 비밀번호를 훔치거나 클러스터 복구 단어를 훔칩니다.

  • 메모리 스크레이퍼: RAM 메모리를 스캔하여 시드 문구와 유사한 형식의 문자열을 검색하여 사용자가 키를 입력하지 않아도 키를 훔칩니다.

  • 악성 확장 프로그램: 가짜 브라우저 확장 프로그램에는 웹사이트 데이터를 수정하고 실제 지갑에 서명을 보내기 전에 거래 매개변수를 자동으로 변경하는 기능이 있습니다.

다층 위험 관리 및 방지 전략

여기서 상황에 따라 Tan Phat Digital은 사용자에게 단일 보안 계층에만 의존하는 대신 지속적인 위험 관리 프로세스를 구축할 것을 권장합니다.

필요에 따라 적절한 지갑 모델을 선택하세요.

  • 2-3 다중 서명 구성:

    • 장점: 키를 보존하면서 키를 분실하거나 공개할 수 있습니다. 자산. 하나의 사기성 서명으로 인해 지갑이 유출되는 것을 방지합니다.

    • 단점: 사용자가 최소 3개의 별도 장치 또는 키를 관리하고 유지해야 합니다.

    • 적합 대상: 대규모 자산 또는 소규모 작업 그룹을 보유한 개인.

  • 다중 서명 구성 3/5:

    • DAO 또는 대기업.

개인 키를 여러 지리적 위치에 분산시키고 여러 장치(예: Ledger와 Trezor의 조합)를 사용하면 제조업체 오류나 지역적 물리적 재난의 위험이 제거됩니다.

10 암호화폐 지갑 보안 FAQ

  1. dApp에서 지갑을 연결 해제하면 안전할까요? 아니요. 연결을 해제하면 사용자 인터페이스에서의 상호 작용이 중지됩니다. 승인은 블록체인에 남아 있으며 "취소" 명령을 통해서만 비활성화할 수 있습니다.  

  2. 지갑이 해킹된 것으로 의심되면 즉시 어떻게 해야 하나요? 즉시 지갑에 돈을 추가하는 것을 중단하세요. 남은 자산을 모두 완전히 새로운 지갑 주소(새 시드 문구 포함)로 이전하고 즉시 이동할 수 없는 자산이 있는 경우 기존 지갑에 대한 모든 지출 권한을 취소합니다.  

  3. Permit2가 일반 Permit보다 더 큰 위험을 초래하는 이유는 무엇입니까? Permit2는 다양한 유형의 토큰에 대한 대량 승인을 허용하기 때문입니다. 공격자가 사용자를 속여 악의적인 Permit2 메시지에 서명하게 하면 한 번에 하나씩이 아닌 동일한 트랜잭션에서 여러 자산을 "삭제"할 수 있습니다.  

  4. 포이즈닝(Address Poisoning)된 지갑 주소를 어떻게 식별할 수 있나요? 주소의 처음과 끝 4~6자만이 아닌 문자 하나하나를 주의 깊게 확인하세요. 공격자는 도구를 사용하여 "가상 주소"를 생성하여 사용자의 눈을 속여 거래 내역을 훔쳐봅니다.  

  5. Flashbot을 사용하여 돈을 돌려받을 수 있나요? Flashbot은 거래를 묶어 Sweeper Bot에 감염된 지갑에서 귀중한 자산(NFT 또는 스테이킹 토큰 등)을 "구출"하여 봇이 방해하지 못하도록 할 수 있습니다.  

  6. EIP-7702는 일반 사용자에게 어떤 이점을 제공합니까? 개인 지갑(EOA)이 일괄 처리, 제3자가 가스 요금을 지불하도록 허용하는 등의 기능을 얻을 수 있어 지갑을 변경할 필요 없이 보다 원활한 경험을 할 수 있습니다.  

  7. Multisig Wallet은 개인 용도로 사용하기에는 너무 복잡합니까? 2-3 모델은 완벽한 균형을 이루고 있습니다. 2개의 서로 다른 장치에 2개의 키를 보관하고 1개의 키를 신뢰할 수 있는 친척이나 냉장 매장에 백업으로 보내 번거로움 없이 최대한의 안전을 보장할 수 있습니다.  

  8. 자동 결제에 MoMo를 사용해도 안전한가요? MoMo의 토큰화 메커니즘은 결제 정보를 암호화하여 반복 거래를 수행합니다. 더 이상 사용하지 않는 서비스를 취소하려면 앱 내 '계정 링크' 목록을 주기적으로 확인해야 합니다.  

  9. 서명하기 전에 거래를 "전체적으로 확인"하는 방법은 무엇입니까? Rabby Wallet 또는 Pocket Universe와 같은 유틸리티를 설치하십시오. 거래 결과(자산 입출고)를 시뮬레이션하므로 어떤 권한을 부여하고 어떤 자산이 이동될지 정확히 알 수 있습니다.  

  10. 콜드 월렛(하드웨어 월렛)을 사용하는 경우 악성 코드에 대해 걱정해야 합니까? 네. Clipboard Hijacker와 같은 악성 코드는 복사한 지갑 주소를 변경하여 콜드 지갑 장치가 여전히 매우 안전함에도 불구하고 해커에게 돈을 보낼 수 있습니다. 콜드월렛의 실제 화면에 표시된 주소를 항상 확인하세요.  

개인 키를 공개하지 않고 암호화폐 지갑에서 돈을 잃는 것은 블록체인 보안이 암호화 기술 계층에서 계약 논리 및 사용자 심리학 계층으로 이동했다는 증거입니다. 최신 피싱 기술에는 모두 한 가지 공통점이 있습니다. 즉, 사용자를 속여 자발적으로 자신에게 해를 끼치는 행동을 하게 한다는 것입니다.

미래 자산을 보호하는 열쇠는 서명하려는 권한의 유형을 깊이 이해하는 데 있습니다. Tan Phat Digital은 항상 커뮤니티와 함께 ​​보안 지식을 향상하고, "블라인드 서명" 습관을 버리고, 보다 안전한 자산 관리 모델로 전환하여 블록체인에서 귀하의 재정적 운명을 진정으로 통제할 수 있는 유일한 사람이 되도록 보장합니다.

공유

댓글

0.0 / 5(0 개의 평가)

댓글을 남기려면 로그인하세요.

아직 댓글이 없습니다. 첫 번째 댓글을 남겨보세요.

관련 게시물

Node를 실행하면 광고만큼 쉽게 돈을 벌 수 없는 이유는 무엇입니까? | 탄팟 디지털
blockchain2/27/2026

Node를 실행하면 광고만큼 쉽게 돈을 벌 수 없는 이유는 무엇입니까? | 탄팟 디지털

블록체인이 고객의 신뢰를 높이는 데 도움이 됩니까 | 탄팟 디지털
blockchain2/27/2026

블록체인이 고객의 신뢰를 높이는 데 도움이 됩니까 | 탄팟 디지털

엔터프라이즈 블록체인 배포 2026: 구현을 위한 시작점 및 로드맵
blockchain2/27/2026

엔터프라이즈 블록체인 배포 2026: 구현을 위한 시작점 및 로드맵

블록체인은 실제로 내부 사기를 방지하나요? | 탄팟 디지털
blockchain2/26/2026

블록체인은 실제로 내부 사기를 방지하나요? | 탄팟 디지털

블록체인을 애플리케이션에 통합 | 탄팟 디지털
blockchain2/26/2026

블록체인을 애플리케이션에 통합 | 탄팟 디지털

블록체인이 ERP 시스템을 대체할 수 있나요? | 탄팟 디지털
blockchain2/26/2026

블록체인이 ERP 시스템을 대체할 수 있나요? | 탄팟 디지털

블록체인 베트남 2026: 지속 가능한 개발을 위한 잠재력, 과제 및 로드맵
blockchain2/25/2026

블록체인 베트남 2026: 지속 가능한 개발을 위한 잠재력, 과제 및 로드맵

직접 블록체인을 구축하거나 즉시 사용할 수 있는 블록체인을 구축하시겠습니까? 인프라 전략 2026 - Tan Phat Digital
blockchain2/25/2026

직접 블록체인을 구축하거나 즉시 사용할 수 있는 블록체인을 구축하시겠습니까? 인프라 전략 2026 - Tan Phat Digital