피해자는 승인 서명 후 408일 만에 피싱 사기꾼들에게 33만 달러를 잃었습니다

웹3 기반 사기 방지 플랫폼인 스캠 스니퍼(Scam Sniffer)의 보고서에 따르면, 한 사람이 1년도 더 전에 참여했던 피싱 승인으로 인해 33만 달러를 잃었습니다. 

이더스캔에 따르면 피해자는 이번 공격으로 총 329,743달러 상당의 AAVE 토큰을 잃었습니다. 이 사건에서 가장 특이한 점 중 하나는 피싱 승인이 408일 전인 2024년 2월 10일 오전 12시 51분(UTC)에 이루어졌다는 사실입니다. 이로써 사기범은 피해자의 지갑에 접근할 수 있게 되었습니다.

절도는 2025년 3월 24일 오전 12시 35분(UTC)에 발생했으며, 공격자는 단일 거래로 1,999.23 AAVE 토큰(미화 329,743달러 상당)을 전송했습니다.

해킹 발생 전, 피해자의 지갑에는 527,498달러 AAVE. 해킹이 완료된 후, 피해자에게는 197,755달러만 남았습니다.

지갑에는 LPT를 포함한 다른 자산도 들어 있었습니다. 그러나 해커는 피해자의 AAVE 토큰만 이동시켰는데, 이는 이번 전송에서 목표로 삼은 토큰이 AAVE뿐이었기 때문입니다.

해커는 아직dent확인되지 않았으며, 피해자는 현재 도난당한 자금을 되찾을 수 있는 방법이 제한적입니다.

승인 피싱 사기는 암호화폐 보유자에게 심각한 위협입니다

체인애널리시스의 보고서에 따르면, 암호화폐 업계는 2021년 5월 이후 승인 피싱 사기로 약 10억 달러의 손실을 입었으며, 그중 3억 7400만 달러는 2023년 한 해에만 발생했습니다.

승인 피싱은 오랜 기간 동안 사기 수법으로 사용되어 왔지만, 과거에는 사기꾼들이 가짜 암호화폐 앱을 유포하여 암호화폐 사용자들을 표적으로 삼았습니다. 암호화폐 시장이 발전함에 따라 그들의 수법은 더욱 효과적이 되었습니다.

일반적으로 사기꾼들은 허위 투자 기회를 제시하거나 다른 사람을 사칭하여 피해자로부터 암호화폐를 갈취합니다. 그러나 승인 피싱 사기의 경우, 사기꾼은 피해자를 속여 악성 블록체인 거래에 서명하도록 유도합니다. 이 거래는 사기꾼의 주소가 피해자 지갑에서 특정 토큰을 사용할 수 있도록 승인하는 내용을 담고 있습니다. 이를 통해 사기꾼은 마음대로 피해자의 지갑에서 해당 토큰을 빼돌릴 수 있게 됩니다.

일반적으로 승인 피싱 공격자는 피해자의 자금을 피해자를 대신하여 거래를 실행할 권한을 부여받은 지갑과는 별도의 지갑으로 보냅니다. 온체인 패턴은 보통 피해자 주소가 두 번째 주소의 자금 사용을 승인하는 거래에 서명한 후, 승인된 지출자 주소가 해당 거래를 실행하여 자금을 새로운 목적지 주소로 이체하는 방식으로 진행됩니다.

Metamask의 수석 보안 연구원인 Taylor Monahan( @tayvano_)은 trac로맨스 사기 스타일의 승인 피싱 공격을 Dune Analytics 맞춤형 대시보드를이용한.

이러한 로맨스 사기의 피해자들은 2021년 5월 이후 승인 피싱 사기로 약 10억 달러를 잃은 것으로 알려져 있습니다. 하지만 이 10억 달러라는 수치는 블록체인 데이터를 기반으로 한 추정치이며, 사기범들이 이미 확보한 자금을 세탁한 것일 가능성도 있다는 점을 유의해야 합니다.

이는 로맨스 사기가 심각하게 과소 보고되는 경향이 있고, 해당 분석 결과가 나온 근거가 신고된 사례의 수가 제한적이기 때문입니다.

승인 피싱 사기의 대다수는 소수의 매우 숙련된 공격자에 의해 자행되는 것으로 여겨지며, 이 문제를 해결하는 방법은 사용자 교육부터 패턴 인식 전략 활용에 이르기까지 다양합니다.