프라이빗키 유출 없이 거래내역과 지갑 UI를 속여 수십억~수천억 원대 자산을 탈취하는 어드레스 포이즈닝 사기가 잇따르고 있다.
전문가들은 최근 거래내역 주소 복사 습관을 중단하고 주소록·화이트리스트 활용, 지갑의 스팸 필터·유사 주소 경고 기능 도입이 시급하다고 지적한다.
7,231억 원 한 번에 증발… 프라이빗키 멀쩡한데 털리는 '주소 독극물' 사기 확산 / TokenPost.ai
주소 독을 노린 ‘어드레스 포이즈닝(address poisoning)’ 사기가 지갑 ‘프라이빗키’ 보안과는 무관하게 막대한 피해를 내고 있다. 공격자는 블록체인 구조나 암호 기술을 뚫지 않는다. 단지 거래내역을 교묘하게 조작해 사용자가 스스로 ‘눈에 익은 주소’라고 착각한 악성 주소로 송금하게 만드는 방식이다.
2025년에는 한 사용자가 잘못 복사한 주소로 테더(USDt) 5,000만 달러(약 7,231억 5,000만 원)를 보내는 사고가 발생했다. 2026년 2월에는 팬텀(Phantom) 지갑의 채팅 기능을 노린 피싱 캠페인에서 어드레스 포이즈닝 기법이 활용돼 래핑된 비트코인 wBTC 약 3.5개, 당시 시세 기준 26만 4,000달러(약 38억 1,800만 원) 상당이 유출됐다. 단순한 ‘인터페이스 속임수’만으로도 수십억~수천억 원대 손실이 발생할 수 있다는 점이 여실히 드러난 셈이다.
이 같은 사건이 잇따르자 바이낸스 공동창업자 창펑 자오(Changpeng Zhao, CZ) 등 업계 인사들은 지갑 서비스에 보다 강력한 보호장치를 도입해야 한다고 공개적으로 요구하고 있다. 문제의 핵심은 프라이빗키 유출이 아니라, 사용자 행동 패턴과 지갑 화면 설계에 있다는 인식이 확산되고 있다.