올해 가상자산 거래승인 피싱으로 인한 피해액이 최소 7400만달러(4850억원)에 달한다는 조사 결과가 나왔다. 블록체인 데이터 분석기업 체이널리시스는 이 같은 내용이 담긴 '2024 가상자산 범죄 보고서–피싱 스캠(Phishing Scam)'을 15일 발표했다.
체이널리시스에 따르면 과거 거래승인 피싱은 허위 가상자산 애플리케이션(앱)을 통해 불특정 다수를 범행 대상으로 삼았다. 하지만 최근에는 특정 인물에 집중하고 관계를 구축해 악의적인 블록체인 거래에 서명하도록 유도하는 방식으로 범행 수법이 바뀌었다. 로맨스 스캠이 이런 수법의 대표적인 사례다.
피해자를 속여 가상자산을 송금하게 하는 기존의 가상자산 스캠과 달리, 거래승인 피싱은 사용자를 속여 거래에 서명하게 해 범죄자가 피해자의 지갑에서 토큰을 빼낼 수 있는 권한을 부여한다. 이러한 스캠의 전형적인 온체인 패턴은 크게 두 단계로 우선 피해자가 자신도 모르게 두 번째 주소를 승인한 다음 범죄자들이 이 두 번째 주소를 이용해 새로운 목적지로 자금을 빼돌린다.
거래승인 피싱 스캠으로 범죄자들이 벌어들인 수익은 지난 2022년 5월에 최고치에 달했다. 2022년 손실액은 5억1680만달러(약 6703억9296만원)로 추정되며, 올해 11월까지 손실액은 3억7460만달러(약 4857억8128만원)에 이른다고 밝혔다.
이러한 스캠에 대응하기 위해 체이널리시스는 사용자 교육·패턴 인식 전술·모니터링 등의 전략을 제안했다. 아울러 거래승인 피싱이 의심되는 통합 지갑을 모니터링하고 이 지갑에서 중앙화 거래소로 이동하는 자금을 동결하는 것은 추가 손실을 방지하는 데 중요한 단계라고 조언했다.