2024년 피싱 공격으로 인한 손실액은 거의 5억 달러에 달할 것으로 예상됩니다

암호화폐 사용자들이 2024년 한 해 동안 피싱 공격으로 4억 9400만 ​​달러의 손실을 입었다고 웹3 보안 회사인 스캠 스니퍼(Scam Sniffer)가 최신 보고서에서 밝혔습니다. 이는 전년 대비 67% 증가한 수치입니다.

에 따르면 보고서만을 대상으로 한 Ethereum , 2024년 피싱 공격으로 피해를 입은 주소는 332,000개에 달합니다. 이는 2023년에 비해 피해자 수가 3.7% 증가한 수치입니다.

도난 금액의 급격한 증가는 피싱 공격자들이 2024년 암호화폐 가치 상승을 악용하여 수백만 명의 무고한 피해자를 만들어냈다는 사실을 여실히 보여줍니다. 지갑 탈취 공격자들은 일반적으로 악성 소프트웨어를 사용하여 사용자를 속여 승인을 받거나 악성 거래에 서명하도록 유도함으로써 자산을 훔칩니다.

dent을 자세히 분석해 보면, 공격자들은 7월에서 9월 사이에 전체 자금의 52%를 훔쳤음에도 불구하고 연중 내내 활동했던 것으로 나타납니다. 이들은 3월에 7,500만 달러를 훔쳐 달아나며 월간 최고 수익을 기록했고, 11월에는 900만 달러의 손실을 입었습니다.

한편, 도난 금액은 분기별로 감소했으며, 1분기에 17만 5천 명의 피해자로부터 1억 8,720만 달러의 손실이 발생하여 가장 큰 피해를 입었습니다. 2분기 분기별 총 손실액은 1억 6,700만 달러, 3분기는 1억 2,900만 달러였으며, 4분기에는 5,100만 달러에 불과한 것으로 알려졌습니다.

점진적인 감소세는 업계에 긍정적인 신호로 작용하며, 이는 연중 피싱 공격에 대한 보안 인식이 높아지고 있음을 나타냅니다.

Ethereum 대규모 해킹 사건의 85%를 기록하고 있습니다

한편, 2024년에는 100만 달러 이상이 도난당한 대규모 피싱dent이 30건 발생했습니다. 가장 큰 규모의 공격은 setOwner 피싱 취약점을 이용한 5,540만 달러 도난 사건으로, 이전의 가장 큰 사건보다 130% 증가한dent 입니다.

흥미롭게도, 대규모 손실의 대부분은 Ethereum 에서 발생했습니다. 보고서에 따르면, 대규모 손실의 85.3%가 이더리움 네트워크에서 발생했으며, 그 금액은 1억 5200만 달러에 달합니다. 반면 아비트럼에서는 단 두 건의 손실만 발생했습니다. 다른 EVM 네트워크에서는 손실 건수가 더욱 적어 블래스트, 베이스, BNB 체인에서 각각 한 건씩만 발생했습니다.

공격자들은 다른 자산보다 더 많은 자산을 표적으로 삼는 것으로 보입니다. 도난당한 자금의 40.9%는 스테이킹 및 리스테이트링 자산이었고, 스테이블코인은 33.5%를 차지했습니다. 또한 Aave 담보 자산의 10.7%와 Pendle 수익률 토큰의 9.3%도 도난당했습니다.

자산 탈취와 마찬가지로, 사기범들은 다양한 피싱 공격 수법을 사용했습니다. '허가(Permit)' 방식이 가장 흔하게 사용되었는데, 대규모 손실 사례의 56.7%에서 사용되었습니다. 하지만 사기범들은 '소유자 설정(setOwner)' 방식도 31.9%의 사례에서 사용했으며, 여기에는 5,540만 달러 상당의 DAI 탈취 사건도 포함됩니다. 그 외에도 '이체(Transfer)'와 '허용 한도 증액(increase allowance)' 등의 수법이 사용되었습니다.

지갑을 털어가는 업체들이 계속해서 합병하고 확장하고 있습니다

한편, 2024년 마지막 분기에 피싱 공격이 감소했다고 해서 암호화폐 사용자들에게 반드시 승리의 신호는 아닙니다. 스캠 스니퍼(Scam Sniffer)에서 지적했듯이, 이는 공격자들이 전략을 바꾸고 다른 방법을 사용하고 있기 때문일 가능성이 높습니다.

이는 2024년 한 해 동안 악덕 업체들이 시장을 장악하고 연말에 새로운 업체들이 진입한 방식에서dent 납니다. 특히 엔젤 트레이딩, 핑크 트레이딩, 인페르노 트레이딩의 세 가지 주요 트레이더가 상반기 시장을 지배했으며, 각각 42%, 28%, 22%의 시장 점유율을 기록했습니다.

하지만 핑크 드레이너가 2분기에 시장에서 철수하면서 3분기 말 기준으로 인페르노 드레이너와 엔젤 드레이너가 각각 43%와 25%의 시장 점유율을 차지하게 되었습니다. 인페르노는 4분기에 자사의 인프라를 엔젤 드레이너에 매각하면서 시장에서 완전히 철수했습니다. 연말 기준으로 인페르노와 엔젤 드레이너는 45%의 시장 점유율을 확보했고, 신규 업체인 에이스 드레이너는 20%를 차지했습니다. 이 밖에도 새로운 업체들이 계속해서 등장하고 있어 배수 서비스 산업의 치열한 경쟁 구도를 보여줍니다.

지갑에서 돈을 빼내려는 악의적인 공격자들이 늘어남에 따라, 지갑 개발자들의 피싱 방지 보안 수준에 맞춰 공격 수법 또한 더욱 정교해지고 있습니다. 스캠 스니퍼(Scam Sniffer)는 이러한 악의적인 공격자들이 사용하는 여러 우회 방법을 밝혀냈습니다. 여기에는 지갑 정규화 프로세스를 악용하거나, XSS 취약점을 이용해 지갑 블랙리스트를 우회하거나, 가짜 CAPTCHA 페이지나 클라우드플레어(Cloudflare)를 사용하여 합법적인 계약을trac행위 등이 포함됩니다.