사기꾼들이 텔레그램 피싱 사기를 통해 암호화폐 지갑을 털고 있습니다

최근 암호화폐 절도 사건이 잇따르면서 사기꾼들이 ERC-2612 토큰의 취약점을 악용해 거래 확인 절차 없이 피해자들의 지갑에서 자금을 빼돌리는 수법을 사용하고 있습니다. 보고에 따르면 공격자들은 텔레그램에서 교묘한 수법을 이용해 이 사기를 성공적으로 실행했으며, 이로 인해 아무것도 모르는 사용자들이 상당한 금전적 손실을 입었습니다.

텔레그램 피싱 사기, ERC-2612 토큰 악용

이 사기는 ERC-2612 표준을 준수하는 토큰을 표적으로 삼습니다. 이 표준을 준수하는 토큰은 가스 수수료 없이 전송이 가능하며 사용자가 수동으로 거래를 승인할 필요가 없습니다. 공격자는 토큰 소유자의 서명을 악용하여 해킹된 지갑에서 자금을 빼돌립니다. 피해자들은 토큰 개발자의 공식 채널로 위장한 사기성 텔레그램 그룹을 통해 이 사기에 속아 넘어갑니다.

피해자들은 자신이 봇이 아님을 증명하는 일상적인 절차라고 믿고 지갑을 가짜 인증 시스템에 연결하도록 유도당합니다. 그러나 사용자들은 지갑을 연결하는 것만으로도 자신도 모르게 지갑 접근 권한을 넘겨주게 됩니다. 어떠한 거래도 승인한 적이 없음에도 불구하고, 피해자들은 사기 플랫폼과의 접촉 후 몇 분 만에 암호화폐 자산이 모두 사라지는 것을 발견합니다.

정교한 피싱 기법이 공개되었습니다

사기 수법을 자세히 살펴보면 피싱 기법의 복잡성을 알 수 있습니다. 사기성 텔레그램 그룹은 Collab.Land와 같은 합법적인 인증 시스템을 모방하지만, 처음에는 알아채기 어려운 미묘한 차이점이 있습니다. 예를 들어, 가짜 시스템은 거의dent사용자 이름으로 메시지를 보내 시각적 유사성을 이용해 사용자를 속입니다.

블록체인 데이터는 공격 메커니즘을 밝혀주며, ERC-2612 표준의 기능을 악용한 사례를 보여줍니다. 공격자들은 토큰trac내의 "허가(Permit)"와 같은 기능을 조작하여 기존의 승인 절차 없이도 전송을 승인할 수 있도록 합니다. 

사기꾼들은 자신을 승인된 지출자로, 피해자를 계좌 소유자로 설정하여 보안 조치를 우회하고 무단 자금 이체를 가능하게 합니다.

ERC-2612 표준의 보안 관련 사항

ERC-2612 표준은 이더리움을, 동시에 악용될 수 있는 새로운 가능성도 열어줍니다. 승인 거래 대신 서명된 메시지를 통한 전송을 허용하는 것은 기회와 위험을 동시에 내포하고 있습니다. 정당한 개발자는 이 기능을 활용하여 사용자 경험을 개선할 수 있지만, 사기꾼들은 이를 악용하여 의심하지 않는 사용자들을 속일 수 있습니다.

암호화폐 사기가 진화함에 따라 사용자는 디지털 자산을 보호하기 위해 각별히 주의해야 합니다. 특히 텔레그램과 같은 소셜 미디어 채널을 포함한 온라인 플랫폼을 이용할 때는 경계심을 늦추지 않는 것이 매우 중요합니다. 통신 채널의 진위 여부를 확인하고 민감한 정보를 공유하지 않는 것은 피싱 사기의 피해자가 될 위험을 줄이는 데 도움이 됩니다.