거래 내역에서 오염된 지갑 주소를 복사한 한 사용자가 약 5,000만 달러 규모의 USDt(USDT)를 잃으면서, 주소 스푸핑 공격의 위험성이 다시 부각됐다.
온체인 조사 기관 Web3 Antivirus에 따르면, 피해자는 거래 내역에 삽입된 악성 지갑 주소를 그대로 복사해 전송하는 바람에 49,999,950 USDt를 사기 주소로 송금했다. 이는 올해 발생한 온체인 손실 가운데 손꼽히는 규모다.
주소 오염 공격은 공격자가 정상 주소와 매우 유사한 지갑 주소로 소액 전송을 보내 피해자의 거래 기록에 끼워 넣는 방식이다. 이후 사용자가 과거 거래 내역에서 주소를 복사할 경우, 의도한 수신자가 아닌 사기 주소를 선택하게 만드는 것이 핵심이다.
온체인 데이터에 따르면 피해자는 처음에 정상 주소로 소액 테스트 전송을 했다. 그러나 몇 분 뒤, 전체 5,000만 달러 규모의 본 송금이 오염된 주소로 이뤄졌다.
관련 기사: Attacker takes over multisig minutes after creation, drains up to $40M slowly
“앞 3자리·뒤 4자리 동일…숙련자도 속는다”
보안 업체 SlowMist의 창업자 코스(Cos)는 두 주소의 유사성이 매우 미묘했지만, 숙련자도 속을 수 있는 수준이었다고 지적했다. 그는 “앞 3자리와 뒤 4자리가 동일하다”고 설명했다.
해당 지갑은 약 2년간 활발히 사용됐고, 주 용도는 USDt 전송이었다. 사고 직전 자금이 Binance에서 인출된 정황도 확인돼, 사고 당시 지갑이 적극적으로 관리 중이었던 것으로 보인다.
한 온체인 분석가는 “이는 시스템을 해킹하는 공격이 아니라, 인간의 습관을 파고드는 주소 오염 공격의 잔혹한 현실”이라고 평가했다.
공격자는 탈취한 USDt를 이더(ETH)로 교환한 뒤 여러 지갑으로 분산했고, 일부는 Tornado Cash로 이동시켰다.
관련 기사: Binance denies reports of delayed action over funds linked to Upbit hack
2025년 크립토 해킹 피해 34억 달러
앞서 보도된 바와 같이, 2025년 암호화폐 해킹 피해액은 34억 달러로 집계돼 2022년 이후 최대치를 기록했다. 증가분의 상당수는 평균 공격 규모의 확대가 아니라 소수의 초대형 사고에서 발생했다.
올해 전체 피해의 69%는 단 3건에서 나왔으며, 그중 Bybit 해킹(약 14억 달러)이 전체 탈취 금액의 절반가량을 차지했다.
매거진: 2026 is the year of pragmatic privacy in crypto — Canton, Zcash and more
