왕춘도 피해 갈 수 없었다: 5천만 달러 ‘수업료’와 주소 중독(Address Poisoning)이 계속 성공하는 이유

2025년 12월 20일, 약 5천만 달러 상당의 USDT가 순식간에 잘못된 지갑으로 송금되는 사건이 발생하며 암호화폐 업계의 오래된 사기 수법인 ‘주소 중독(Address Poisoning)’에 대한 경각심이 다시금 높아졌습니다. 온체인 데이터 분석가들에 따르면, 피해자는 최근 거래 목록에서 기존에 사용한 지갑 주소를 복사했다고 생각했지만, 사실은 정교하게 꾸며진 가짜 지갑 주소였고, 여기에 4,999만 9,950 USDT를 송금한 것으로 나타났습니다. 공격자는 이 실수를 포착해 수 분 만에 자산을 탈취했습니다.

Etherscan의 공개 정보에 따르면, 해당 수신 주소는 이후 피싱 관련 주소로 표시되었으며, 피해자가 바이낸스에서 자금을 인출한 직후의 일이었습니다. 주요 언론의 보도 또한 자금 흐름과 주소 유사성을 이용한 사기임을 입증하고 있습니다. (etherscan.io)

사건 개요: 5천만 달러 오송금의 전말

• 피해자는 먼저 올바른 지갑 주소(…F8b5)로 시범 송금 형태로 50 USDT를 전송했습니다.
• 이후 공격자는 겉보기에는 유사한 vanity 주소를 생성해, 피해자의 거래 내역에 아주 소량(‘먼지’ 수준)의 이체를 통해 기록을 남겼습니다.
• 몇 분 뒤 피해자는 자신의 거래 내역에서 이 ‘중독된’ 주소를 복사해 전체 4,999만 9,950 USDT를 보냈고, 이 금액은 공격자의 지갑으로 그대로 흘러갔습니다.

여러 매체의 사건 요약 내용이 이 절차와 주소 짝에 대해 동일한 사항을 보도하고 있습니다. (blockchain.news)

그 뒤 공격자는 자산을 신속히 USDT에서 DAI로, 다시 ETH로 교환한 후, 자금 추적이 어려운 Tornado Cash를 통해 분산시켜 잠재적인 동결을 피하려는 움직임을 보였습니다. 이는 자금 회수 가능성을 낮추기 위한 대표적인 수법입니다. (phemex.com)

직접 거래 내역을 확인하고 싶다면 다음 주소를 참고하세요: 피해자 지갑 0xcB80784…0819, 공격자 지갑 0xBaFF2F…08f8b5.

주소 중독이 여전히 통하는 이유

주소 중독은 암호화 기술의 취약점을 노리는 것이 아니라, 사용자 습관과 UI의 편의성에서 비롯된 허점을 공략합니다:

• 대부분의 지갑 앱에서는 화면 공간 절약을 위해 주소의 앞과 뒤 몇 글자만 보여줍니다. 공격자는 이를 노려 이 앞뒤 값만 같은 vanity 주소를 만들고, 아주 적은 금액을 보내 피해자의 거래 내역에 이 주소를 남깁니다.
  피해자가 거래 기록에서 주소를 복사하면 공격자의 주소일 가능성이 높습니다. MetaMask의 공식 설명서에서도 해당 수법에 유의할 것을 경고합니다.

• 이더리움의 대소문자 체크섬 기능(EIP-55)은 오타 방지에는 유용하지만, ‘다른데 유효한’ 유사 주소를 구별하는 데는 무용지물입니다. EIP-55 원문을 읽어보면 언제 체크섬이 의미 있는 보호 수단이고, 언제 무력한지를 알 수 있습니다.

“베테랑도 당한다”: 왕춘의 사례

F2Pool의 공동 창업자 왕춘은 2024년 개인 키 유출을 의심해, 이를 확인하기 위해 실험 삼아 500 BTC를 의심되는 주소로 전송했다고 밝혔습니다. 결과적으로 490 BTC는 탈취되었으며, 10 BTC만 남은 채로 발견되었습니다. 이는 블록체인 네트워크의 기술 상 취약점이 아닌, 운영상의 실수가 얼마나 큰 손실을 초래할 수 있는지를 보여주는 대표 사례입니다. (theblockbeats.info)

“그럼 USDT는 왜 동결 못 해?”

USDT는 이론적으로 발행자(Tether)가 임의로 지갑 주소를 블랙리스트 처리해 동결할 수 있지만, 이 절차는 즉각 이뤄지지 않으며, 공격자들은 그 짧은 시간차를 노립니다. 최근 연구에 따르면, 대부분의 네트워크에서 동결 요청, 내부 승인, 실행 간에는 지연이 존재하며, 그 사이 공격자는 토큰을 DAI나 ETH로 바꾸거나 믹서로 세탁해 회수를 어렵게 만듭니다. (cointelegraph.com)

2025년 배경: 개인 지갑이 주요 타깃으로

Chainalysis가 발표한 2025년 연말 보고서에 따르면, 올해 총 암호자산 도난 규모는 34억 달러를 넘겼으며, DeFi 공격보다는 개인 지갑 해킹 사고가 더 뚜렷한 증가세를 보였습니다. 대규모 사건 몇 건이 전체 피해액에서 큰 비중을 차지하지만, 주소 중독처럼 사용자 실수로 인한 피해 또한 총합으로 보면 결코 작지 않습니다. (chainalysis.com)

주소 중독을 막는 실전 체크리스트

대규모 자금을 옮길 때는 아래 수칙들을 실천해보세요:

1. 주소 전체를 항상 확인하세요. 앞, 끝 몇 자만 보고 보내면 안 됩니다. MetaMask도 명확히 경고합니다: 거래 내역에서 복사해 송금하는 것은 절대 피하십시오. (support.metamask.io)

2. 자주 쓰는 주소는 주소록이나 화이트리스트에 등록해두세요.

3. 하드웨어 지갑 화면에서 주소를 직접 확인하고 서명하세요. 앱이나 클립보드 조작, 주소 중독으로 인한 잠깐의 실수가 치명적인 결과로 이어질 수 있습니다.

4. 큰 금액을 보낼 때는 상대방으로부터 서명된 메시지를 확인하거나, 미리 합의한 안전 채널(PGP, Signal 등)을 통해 주소를 검증하세요.

5. 거래 시뮬레이션 도구를 사용해 의심스러운 주소나 승인 요청이 있는지 미리 확인하는 것도 좋습니다.

6. 반복 거래 시 ENS 등 사람이 읽기 쉬운 주소를 사용하는 것도 방법이지만, 최종 서명 시 ENS 주소가 실제 주소와 일치하는지 반드시 확인하세요.

7. 기업·기관은 프로세스를 정립하세요: 출금 시 2인 승인, 화이트리스트 등록 주소 제한, 하드웨어 지갑의 화면 캡처 제출을 기본으로 삼아야 합니다.

OneKey 사용자라면

이미 OneKey를 사용 중이라면, 다음 보안 팁을 활용하세요:

• 디바이스 화면에서 주소를 최종 확인 후 서명하세요. 이렇게 하면 앱이나 최근 거래 내역에서 주소가 교묘히 바뀌는 것을 막을 수 있습니다.
• 주소록/화이트리스트 기능을 활용하세요. 반복 거래 대상은 등록해 두고, 고액 자금 이체에는 다단계 승인 정책을 병행하세요.
• 펌웨어와 앱을 최신 상태로 유지하세요. OneKey는 오픈소스 구조와 인증 기능을 통해 소프트웨어 무결성을 검증합니다.

이 방법들이 완벽한 방패가 될 수는 없겠지만, 악의적인 주소 중독 시도를 실질적으로 막는 데 큰 도움이 됩니다.

맺음말

주소 중독은 암호화폐 생태계의 가장 큰 리스크가 기술이 아닌 '운영'이라는 사실을 상기시킵니다. 단순한 ‘복사-붙여넣기’ 실수 하나가 수년간 쌓은 자산을 하루아침에 날려버릴 수 있습니다.

고액 송금이 있을 경우, 반드시 은행 계좌 이체 수준으로 주소를 신중히 대조하고, 장치에서 직접 확인하며, 외부 채널을 통한 이중 검증까지 병행하세요.

관련 자료들: Cointelegraph의 보도, Etherscan 지갑 기록, MetaMask 안전 가이드, EIP-55, Chainalysis 2025 보고서, 그리고 왕춘의 공개 발언을 요약한 블록비츠 기사.

아직 하드웨어 지갑이나 체계적인 보안 절차가 없다면, 지금이 바로 구축할 때입니다.
특히 OneKey 사용자라면 "기기에서 확인", "신뢰 연락처 저장", "고액 송금 시 다단계 확인" 습관을 들이세요. 이 단순한 습관이 주소 중독 사기를 무력화시킬 수 있습니다.