2024년 피싱 공격이 급증하여 올해 들어 현재까지 8억 달러의 손실이 발생했습니다

피싱 공격은 2024년에도 줄어들지 않았으며, 특히 지난 3개월 동안 꾸준히 증가했습니다. Certik은 올해 들어 현재까지 피싱 공격으로 인한 손실액을 8억 달러로 추산했습니다. 

악성 링크를 통한 공격으로 인해 사상 최대 규모의 사건이 발생했습니다. Certik에 따르면 올해 들어 현재까지 피싱 공격으로 인한dent은 8억 달러에 달합니다. 암호화폐 시장이 상승함에 따라 이러한 공격으로 인한 손실액은 더욱 증가했습니다. 10월 한 달 동안에만 26건의 주요 공격이 발생했으며, 11월 중순 현재까지도 7건이 발생했습니다. 

피싱 및 주소 변조 공격 중 일부는 대규모 지갑을 표적으로 삼아 더 큰 손실을 초래하기도 합니다. 그러나 이러한 공격 방식은 광범위한 유포와 최대한 많은 지갑에 대한 공격 발생에 기반합니다. 가짜 주소를 복제한 사기는 거의 매일 발생하며, 때로는 상당한 개인 자산을 앗아가기도 합니다. 최근 사례에서는 변조된 주소가 중앙 집중식 거래소의 정식 지갑을 사칭했습니다. 

🚨 긴급 알림: 또 다른 피해자가 오염된 이체 내역에서 잘못된 CEX 입금 주소를 복사하여 불과 10분 전에 111,726달러를 잃었습니다.

안전을 위한 팁 🔐:
• 주소를 항상 꼼꼼히 확인하세요 📝
• 즐겨찾기를 활용하세요 🔖
• 큰 금액을 보내기 전에 다시 한번 확인하세요 ✅ https://t.co/t1uZRiRTev pic.twitter.com/V3K4ONWkzW

— 스캠 스니퍼 | 웹3 안티스캠 (@realScamSniffer) 2024년 11월 15일

지갑 탈취의 더욱 정교한 수법은 테스트 공격을 이용합니다. 최근 또 다른 주소에서 11만 달러가 넘는 금액이 유출되었는데, 악의적인 지갑이 위조한 것입니다 . 사기꾼의 지갑은 사용자가 전체 금액을 송금하도록 유도하기 전에 테스트 거래까지 통과했습니다.

또 다른 사용자는 trac 에 연결하도록 허용한 결과 22만 달러를 잃었습니다. 해당 지갑 수신자는 가짜 피싱 지갑 목록에 이미 등재되었습니다. 다른 유사한 사기 수법과 마찬가지로 사기꾼들은 여전히 ​​Tornado Cash trac 감추고 있습니다 .

대부분의 공격은 Ethereum 과 Solana 생태계에 집중되었으며, 비트코인 ​​손실은 상대적으로 적었습니다. 웹3, NFT, 밈 토큰 등 다양한 프로토콜을 일상적으로 사용하는 사용자들은 지갑 연결을 위해 권한에 서명하고 신뢰하라는 메시지에 동의할 가능성이 높았습니다. 여러 자산을 관리하는 지갑 또한 취약하며, 이는 비트코인 ​​손실의 주요 원인 중 하나입니다. 

Web3는 여전히 '얼음낚시' 공격에 직면해 있습니다

Certik은 웹3 프로젝트가 소위 '아이스 피싱' 기법에 특히 취약하다고 지적했습니다. 아이스 피싱은 가짜 링크, 스푸핑된 사이트 또는 더욱 교묘한 도구를 사용하여 링크를 삽입합니다. 이러한 링크는 지갑 승인을 요구하고 승인 거래를 발생시킵니다. 

이후 악의적인 공격자는 지갑이 열리면 거래를 시작할 수 있습니다. 권한이 취소될 때까지 피싱 링크에 연결된 지갑은 취약한 상태로 남아 있습니다. Certik은 사용자들에게 제3자 링크가 아닌 정식 도구를 통해 지갑 승인 여부를 확인하도록 권고합니다. Etherscan의 토큰 승인 프로토콜은 의심스러운 링크를 취소하는 데 도움이 될 수 있습니다.

탈중앙화 거래소와 대출 프로토콜은 가장 광범위하게 공격받고 스푸핑되는 앱입니다. 지금까지 사기꾼들이 탈 중앙화 거래소 활동 .

Certik은 지갑 사기를 다른 유형의 공격과는 구분합니다. 10월에는 대규모 해킹 및 공격은 드물었지만, 지갑 사기는 발생 건수와 피해 금액 모두에서 여전히 높은 수준을 유지했습니다. 

Certik은 맞춤형 주소 사용을 제안합니다

보다 알아보기 쉬운 주소를 만드는 방법 중 하나는 개성 있는 문자열을 생성하는 것입니다. 지갑 주소 생성 도구는 원하는 숫자 문자열을 포함한 올바른 주소를 생성할 때까지 여러 번 시도합니다. 

사용자 지정 주소도 위조될 수 있지만, 그럴 가능성은 낮습니다. Certik은 일부 위조 지갑이 특정 문자열을 중간에 넣어 사용자 지정 주소를

1Inch DEX 애그리게이터와 같이 널리 사용되는 다른 서비스들도 입금을 쉽게 하기 위해 주소를 사기 주소는 총 269,705개로 늘어났습니다. Pink Drainer는 여전히 사용자 자금을 가장 많이 가로채는 곳 , 규모가 더 작은 새로운 주소들이 계속해서 추가되고 있습니다.

위험한 주소는 여러 번 신고된 후에야 가짜 피싱(Fake Phishing)으로 표시되는 경우가 많습니다. 또한, 가치가 없는 토큰 거래가 포함된 주소도 있습니다. 사기꾼들은 가치가 없는 토큰에 대한 경고를 피하기 위해 실제 USDT를 전송하기도 합니다. 하지만 이러한 사기 수법은 최종 사용자가 거래 내역에서 주소를 복사하는 데 의존합니다.