“3시간 안에 받으세요” 그 에어드랍 링크, 진짜인지 어떻게 알아요?
지갑 연결과 서명은 완전히 다른 버튼입니다. 이 차이를 모르고 누르면 진짜 에어드랍도 위험해집니다.
| 지금 보고 있는 화면 | 위험도 | 어떻게 해야 하나 |
|---|---|---|
| 사이트가 지갑 “연결”만 요청 | 낮음 | 주소만 노출될 뿐, 자산은 빠지지 않음 |
| eth_sign 요청 (뒤죽박죽 16진수 문자열) | 최고 | 즉시 거부하고 지갑 창부터 닫기 |
| Permit/Permit2 “무제한” 토큰 위임 요청 | 높음 | 모르는 dApp이면 거부하고, 아는 곳이라도 금액·만료일은 꼭 확인 |
| 클레임 전 “가스비”·”언락비” 선입금 요구 | 100% 사기 | 절대 송금 금지. 정상 클레임은 가스비를 내 지갑 잔액에서 스스로 냅니다 |
| “○시간 내 마감” 같은 긴급성 문구 | 사기 신호 | 진짜 클레임 기간은 보통 수주~수개월 |
| 시드문구·개인키 입력 요구 | 100% 사기 | 어떤 사이트·상담원에게도 절대 입력 금지 |
1. 카톡방에서 ‘3시간 안에 받아야 한다’는 에어드랍 링크를 받았다면
2. 숫자로 먼저 보는 피해 규모 (Scam Sniffer·Chainalysis·CertiK)
3. 업비트·빗썸 유저라면 먼저 알아야 할 원화마켓의 특수사정
4. 에어드랍 자격은 이미 지나간 스냅샷 시점에 정해져 있습니다
5. 가짜 에어드랍, 2025~2026년엔 이 6가지 수법으로 털렸습니다
6. 업비트가 54분 만에 445억을 잃은 사건이 우리에게 알려주는 것
7. ‘지갑 연결’과 ‘서명’은 완전히 다른 버튼이다
8. 진짜 에어드랍 vs 가짜 에어드랍, 한눈에 구분표
9. 안전하게 클레임하는 5단계 체크리스트
10. 거래소 자체 에어드랍이 오히려 더 안전한 이유
11. 이미 서명해버렸다면 지금부터 뭘 해야 할까요
12. 용어집: 블라인드 서명, Permit2, 드레이너, 스냅샷, TGE, 더스팅, 버너지갑
에어드랍 링크 받았다고 무조건 겁먹을 필요는 없습니다. 근데 그 링크를 미끼로 지갑 서명 하나만 노리는 가짜 사이트가 진짜 많고, 해마다 수만 명이 여기 걸려서 지갑을 통째로 날립니다. 저도 카톡방에서 이런 링크를 몇 번 받아봤는데, 그때마다 제일 헷갈렸던 게 ‘연결’이랑 ‘서명’이 대체 뭐가 다르냐는 거였어요. 2025년 11월엔 업비트에서 54분 만에 445억 원이 빠져나간 사고도 있었어요. 개인이 가짜 에어드랍에 낚인 사고는 아니고 거래소 인프라 자체가 뚫린 사건이긴 한데, 결국 승인 버튼 누르기 전에 화면에 뭐라고 적혀 있는지 안 읽으면 누구든 똑같이 털려요. 저도 그렇고 여러분도 마찬가지고요. 벌써 서명 버튼까지 누르셨다면 지금 바로 아래로 내려가서 대응 글부터 챙기세요.

1. 카톡방에서 ‘3시간 안에 받아야 한다’는 에어드랍 링크를 받았다면
카카오톡 오픈채팅에 초대받아 보신 적 있으실 겁니다. 방 이름부터가 그럴듯해요. “○○코인 공식
에어드랍방”, 프로필엔 유명 거래소 로고나 어디서 본 듯한 인플루언서 얼굴이 걸려 있고요. 몇 분 지나면
그 얼굴로 된 영상이 하나 올라옵니다. 목소리도 자연스럽고 입 모양도 딱딱 맞아요. “지금 지갑 연결하고
서명만 하면 바로 지급됩니다. 3시간 뒤 마감이에요.” 그 밑으로는 “저 방금 받았어요”, “인증 완료” 댓글이
쉴 새 없이 올라오고요.
저거 딥페이크입니다. 댓글도 거의 다 봇 계정이고요. 근데 이게 진짜 무서운 게, 2023~2024년만 해도
합성 티가 어딘가 났거든요. 눈 깜빡임이 부자연스럽다든지, 입술이 살짝 밀린다든지. 근데 2025년 넘어가면서
실시간 얼굴 합성 기술이 확 좋아져서 이제는 화면만 보고 진짜 라이브 방송이랑 구분이 거의 안 됩니다. 그리고
이 각본, 사실 카톡방에서만 도는 게 아니에요. 검색 광고에 뜨는 가짜 에어드랍 사이트들도 문구가 똑같습니다.
“마감 임박”, “선착순 지급”, “지금 지갑을 연결하세요.”
혹시 벌써 서명 버튼까지 누르셨다면 이 글을 처음부터 다 읽을 필요 없습니다. 아래쪽 “이미 서명해버렸다면”
항목부터 바로 확인하세요. 아직 안 누르셨다면 방에 있는 사람이 얼마나 유명한지, 댓글이 몇 개 달렸는지는
사실 하나도 안 중요해요. 그보다 딱 두 가지만 확인하면 됩니다. 이런 사기가 요즘 얼마나 자주, 얼마나 큰돈이
걸려서 터지는지 감을 잡는 것, 그리고 화면에 뜬 버튼이 ‘지갑 연결’인지 ‘서명’인지 구별하는 것.
2. 숫자로 먼저 보는 피해 규모 (Scam Sniffer·Chainalysis·CertiK)
2024년엔 드레이너 사기로만 4억 9,400만 달러가 빠져나갔는데, 2025년엔 8,385만 달러로 뚝 떨어졌습니다.
얼핏 보면 좋은 소식 같죠. 근데 이 숫자, 자세히 뜯어보면 안심할 근거가 별로 없어요. 일단 손실액이
시장 분위기를 그대로 따라갑니다. 이더리움이 세게 오르던 3분기엔 그 석 달 합쳐서 3,100만 달러가
빠져나갔고, 그중에서도 8월 한 달만 1,217만 달러로 연중 최고치였어요. 반대로 시장이 잠잠했던 12월엔
204만 달러까지 내려갔고요. 그러니까 지금 손실액이 작은 건 시장이 조용한 구간을 지나고 있어서일 뿐,
시장이 다시 달아오르면 그만큼 손실도 같이 튈 여지가 커요. 게다가 뒤에서 다룰 텐데 공격자들도 아무
지갑이나 걸리길 기다리던 방식에서 벗어나 자산 큰 지갑만 골라 터는 쪽으로 갈아탔고, 드레이너 임대
사업도 여전히 굴러가고 있습니다. 일단 표부터 보여드릴게요.
| 기간 | 지표 | 수치 | 출처 |
|---|---|---|---|
| 2024년 | 드레이너 전체 손실 | 4억 9,400만 달러 | Scam Sniffer |
| 2025년 | 서명 피싱·드레이너 손실 | 8,385만 달러 (피해자 10만 6,106명) | Scam Sniffer |
| 2025년 | 스캠·사기 전체 손실 | 170억 달러 (평균 피해 2,764달러) | Chainalysis 2026 |
| 2025년 (연간) | 피싱 전체 손실 | 7억 2,300만 달러 (248건, 건당 평균 292만 달러) | CertiK 연례보고서 |
| 2025년 | 개인 지갑 침해 사건 | 15만 8,000건 (고유 피해자 8만 명) | Chainalysis |
| 2025년 | 브라우저 확장·지갑 침해 손실 | 7억 1,300만 달러 (전체 도난 34억 달러의 20%) | Chainalysis |
| 2025년 | 사칭(impersonation) 스캠 증가율 | 전년 대비 +1,400% | Chainalysis |
| 2026년 1월 | 서명 피싱 손실 | 627만 달러 (피해자 4,741명, 전월 대비 +207%) | Scam Sniffer |
| 2026년 상반기(H1) | 웹3 보안사고 전체 손실 | 13억 1천만 달러 (344건, 동결·회수분 제외 순손실 약 12억 달러) | CertiK Hack3D H1 2026 |
| 2026년 상반기(H1) | 피싱 손실 | 3억 6,600만 달러 (63건, 전년 동기 대비 건수 -52.3%·손실액 -10.8%) | CertiK Hack3D H1 2026 |
| 2026년 4월 | 웹3 보안사고 손실 (상반기 중 최대 손실월) | 6억 5,100만 달러 (61건) | CertiK Hack3D H1 2026 |
표 보시면 같은 2025년을 두고 8,385만 달러짜리 숫자도 있고 7억 2,300만 달러짜리 숫자도 있어서 어느 게
맞나 싶으실 거예요. 둘 다 맞습니다. 재는 범위가 다를 뿐이에요. Scam Sniffer 쪽 8,385만 달러는 딱 ‘서명
피싱’만 좁게 잡은 겁니다. 지갑에서 Permit이나 eth_sign 같은 악성 서명 한 번으로 자산이 빠져나간 케이스만
셌다는 뜻이에요. 반면 CertiK 쪽 7억 2,300만 달러는 피싱이라는 이름이 붙는 사기 전체를 다 넣습니다. 가짜
거래소 로그인 페이지에 비밀번호 털리는 것도, 문자로 오는 스미싱도, 고객센터 직원인 척하며 접근하는
사칭도 여기 다 들어가요. 그러니까 이 글에서 계속 얘기하는 ‘지갑 서명 노리는 사기’만 놓고 보면 8,385만
달러 쪽이 더 정확한 숫자고, 크립토 관련 피싱 사기 전체 판이 얼마나 큰지 감을 잡고 싶으면 7억 2,300만
달러 쪽을 참고하시면 됩니다.
표에 적어둔 ‘건당 평균 292만 달러’도 짚고 넘어갈게요. 이 숫자, 7억 2,300만 달러를 248건으로 그냥 나눈
값입니다. 근데 인터넷 돌아다니는 자료 보면 같은 CertiK 보고서를 인용하면서 ‘건당 평균 532만 달러’라고
써놓은 곳이 꽤 있어요. 이거 틀린 게 아니라 다른 걸 재는 숫자예요. 532만 달러는 CertiK가 2025년에 집계한
웹3 보안사고 전체 630건(피싱뿐 아니라 코드 취약점, 러그풀, 탈취까지 다 합쳐서 총 33억 5천만 달러, 전년
대비 37% 증가)을 630으로 나눈 평균값이거든요. 피싱 248건만 따로 떼서 나눈 평균이 아니라는 뜻입니다. 두
숫자 성격이 다르니 섞어 쓰면 안 됩니다.
일단 큰 그림. 2025년 서명 피싱·드레이너 손실이 8,385만 달러로 2024년(4억 9,400만 달러)보다 83% 줄었고
피해자 수도 68% 줄었습니다. 그렇다고 “이제 안전하다”고 읽으면 곤란합니다. 100만 달러 넘는 대형 사건만
따로 세면 2025년 11건, 2024년 30건이라 이것도 줄긴 했는데, 그 11건 중 38%가 Permit류 무제한 승인
남용에서 터졌거든요. 2025년 최대 단일 피싱 피해액은 9월에 발생한 650만 달러였고, 이것도 Permit형
서명 악용이었습니다.
줄어든 자리는 다른 조직이 채웁니다. 폐쇄를 선언했던 인페르노 드레이너(Inferno Drainer)가 2025년 5월
기준 최근 6개월 사이 3만 명 넘는 피해자, 900만 달러 이상 피해를 다시 냈고, 자체 집계로는 누적 2억
5천만 달러 넘게 훔쳤다고 밝혔습니다. 핑크 드레이너(Pink Drainer)는 폐쇄 전까지 누적 8,500만 달러,
피해자 2만 1,000명을 기록했고요. 그리고 요즘은 해커 한 명이 코드를 직접 짜는 구조가 아니라, 개발조직이
스크립트를 만들어놓고 수수료 떼는 조건으로 아무 사기꾼에게나 빌려주는 ‘드레이너 대여 서비스
(Drainer-as-a-Service)’로 넘어갔어요. 그래서 겉으로 정교해 보이는 가짜 사이트도 사실은 몇십만 원짜리
임대 키트 하나 돌려서 찍어낸 걸 수 있습니다.
2026년 1월 수치가 특히 눈에 띕니다. Scam Sniffer 집계로 그달 서명 피싱 손실이 627만 달러, 전월 대비
207% 뛰었는데 피해자 수는 4,741명으로 오히려 11% 줄었어요. 그중 딱 두 명이 그달 전체 손실의 65%를
가져갔습니다. 연구진은 이걸 ‘고래 사냥(whale hunting)’이라고 부르는데, 아무나 걸리길 기다리며 링크를
뿌리던 방식에서 자산 큰 지갑을 특정해 노리는 쪽으로 공격자들이 갈아탔다는 뜻입니다. 2025년 이더리움
펙트라(Pectra) 업그레이드로 생긴 EIP-7702도 새 변수예요. 서명 한 번으로 여러 악성 트랜잭션을 연달아
실행할 수 있는 구조라, 이 틈을 노린 변종 드레이너가 앞으로 더 늘 걸로 보입니다.
그리고 이 예측, 반년쯤 지나서 나온 자료를 보면 그대로 맞아떨어졌습니다. 2026년 7월 초 CertiK가 발표한
상반기(H1) 결산 자료를 보면, 웹3 전체 보안사고 손실이 13억 1천만 달러·344건으로 집계됐고 동결·회수분을
뺀 순손실도 약 12억 달러예요. 이 중 피싱만 따로 떼면 3억 6,600만 달러·63건인데, 전년 같은 기간과
비교하면 사건 건수는 52.3%나 줄었는데 손실액은 10.8%밖에 안 줄었습니다. 건수는 확 빠졌는데 돈은 별로
안 빠졌다는 건, 결국 몇 건 안 되는 사건이 훨씬 큰돈을 쓸어갔다는 뜻이죠. 실제로 4월 한 달에만 드리프트
프로토콜(Drift Protocol, 4월 1일·2억 8,500만 달러)과 켈프 다오(Kelp DAO) RPC 침해(4월 18일·2억 9,100만
달러), 이 두 건만 합쳐도 상반기 전체 손실의 44%를 차지했어요. 둘 다 지갑 침해(wallet compromise)
범주로 분류되는데, 이 범주 전체가 33건·4억 4,500만 달러라 건당 평균이 1,300만 달러를 넘깁니다. 그래서
4월이 상반기 중 손실이 가장 컸던 달(6억 5,100만 달러·61건)로 남았고요. 정리하면 사건 수 자체는 계속
줄어드는데 공격 한 건이 노리는 판돈은 계속 커지고 있습니다. 방심할 타이밍이 아니에요.
3. 업비트·빗썸 유저라면 먼저 알아야 할 원화마켓의 특수사정
업비트나 빗썸 같은 원화마켓만 쓰신다면 얘기가 좀 달라집니다. 가짜 에어드랍이 노리는 경로 자체가
다르거든요.
원화거래소는 구조상 에어드랍을 원화로 바로 받을 방법이 없습니다. 클레임은 항상 이더리움이나 다른
체인의 지갑 주소로 이뤄지거든요. 그래서 업비트·빗썸만 쓰던 분도 에어드랍을 받으려면 결국 메타마스크
같은 별도 지갑을 하나 새로 만들어야 합니다. 그리고 그 지갑을 처음 만드는 그 순간이 바로 가짜 에어드랍
사이트가 노리는 타이밍이에요. “지갑 처음 만드셨죠? 그럼 이 사이트에서 에어드랍 자격부터 확인해보세요”
식으로 초보자를 정확히 겨냥한 광고와 카톡 초대가 몰립니다.
그러니까 순서를 이렇게 잡는 게 좋습니다. 새로 지갑을 만드셨다면, 그 지갑을 처음부터 평소 자산을
담아두는 메인 지갑으로 쓰지 마세요. 검증 안 된 클레임 사이트에 접속할 때는 소액만 넣어둔 별도의
‘버너지갑’을 따로 두고, 거기서만 실험하는 게 맞습니다. 잘못돼도 손실이 그 지갑 안에서 끝나거든요.
반대로 업비트·빗썸에 있는 원화 자산이나 메인 지갑은 애초에 그런 클레임 페이지 근처에 갈 일이 없어야
합니다. 이 구분 하나만 지켜도 암호화폐 사기 전반에서 흔히 벌어지는 최악의
시나리오, 즉 메인 지갑이 통째로 비는 사고는 대부분 막을 수 있습니다.
4. 에어드랍 자격은 이미 지나간 스냅샷 시점에 정해져 있습니다
에어드랍은 “신청하면 주는 것”이라고 생각하기 쉬운데, 사실 대부분은 정반대로 돌아갑니다. 그래서 가짜
사이트가 “지금 신청하세요”, “지갑 연결해서 자격을 인증받으세요”라고 하면 그럴듯하게 들리는 거고요.
실제로는 이런 인증 절차 자체가 없습니다.
프로젝트팀은 특정 시점(예: “2025년 11월 30일 자정 기준 블록 높이”)을 하나 정해두고, 그 순간까지의
온체인 기록을 통째로 캡처합니다. 이걸 스냅샷이라고 부르는데, 그 안에서 “이 지갑은 테스트넷을 몇 번
이상 썼다”, “이 지갑은 특정 프로토콜에 유동성을 예치한 적 있다” 같은 조건을 충족한 주소 목록을 미리
뽑아둡니다.
여기서 핵심은 이 명단이 클레임 사이트가 열리기 전에 이미 확정돼 있다는 점입니다. 그 시점에 조건을
충족했으면 자격이 있는 거고, 안 했으면 지금 와서 뭘 해도 자격이 새로 생기지 않습니다. 그러니까 “지갑을
연결해서 검증하면 자격이 생긴다”거나 “활동 점수를 올리려면 지금 스왑을 하나 해야 한다” 같은 말은
애초에 에어드랍이 돌아가는 방식과 맞지 않습니다.
정상적인 클레임은 이렇게 진행됩니다. 프로젝트가 공식 도메인(X 고정 게시물이나 공식 문서에 걸린 그
주소)에 클레임 페이지를 엽니다. 내 지갑으로 접속하면 “이 주소는 1,200개 자격이 있습니다” 같은 화면이
뜨고, 클레임 버튼을 누르면 지갑에서 트랜잭션 서명 창이 뜹니다. 승인하면 내 지갑 잔고에서 가스비가
나가고 토큰이 들어옵니다. 이 과정 어디에도 자금을 먼저 보내라는 요청, 시드문구나 개인키 입력 요청,
“검증” 명목으로 제3의 사이트에 지갑을 연결해 포괄적 권한을 승인하라는 요청은 없습니다. 이 셋 중
하나라도 나오면 그 순간 진짜 에어드랍이 아닙니다.
5. 가짜 에어드랍, 2025~2026년엔 이 6가지 수법으로 털렸습니다
원리를 알았으니 이제 실전입니다. 2025~2026년에 실제로 확인된 사건 기준으로, 지갑이 어떻게 털리는지
여섯 갈래로 정리했습니다.
1. TGE(토큰 생성 이벤트) 사칭 광고·피싱 링크
TGE는 프로젝트가 처음으로 토큰을 발행하고 유통을 시작하는 시점을 말합니다. 새 토큰이 나올 때마다
검색·SNS 광고에 카피캣 사이트가 몰립니다. 2026년 3월 23일 백팩(Backpack) TGE 때, 커뮤니티 물량 25%를
분배하는 클레임이 열리자 불과 몇 시간 안에 진짜와 거의 똑같이 생긴 피싱 사이트가 다수 등장했습니다.
진짜 클레임 오픈 소식이 뜨는 순간이 가장 위험한 타이밍입니다.
2. 공식 채널 자체가 뚫려서 올라오는 가짜 공지
프로젝트의 공식 디스코드·X·텔레그램 계정이 해킹당해 그 계정으로 가짜 클레임 링크가 공지되는 경우입니다.
“공식 채널에서 나온 얘기니까 믿어도 된다”는 전제 자체가 무너지는 패턴이라, 채널 하나만 보고 판단하지
말고 복수 채널을 교차 확인해야 합니다.
3. 더스팅 공격
어느 날 지갑을 열어보니 이름도 처음 들어보는 토큰이 소액 들어와 있는 경우가 있습니다. 신청한 적도
없는데 말이죠. 이게 더스팅입니다. 여기서 대부분이 실수하는 지점이, “이거 뭔지 확인이나 해볼까” 하면서
그 토큰을 눌러 가치를 조회하거나 스왑을 시도하는 순간입니다. 그 클릭 한 번이 악성 컨트랙트와의
상호작용으로 이어지는 함정이거든요.
사실 더스팅 그 자체만으로는 지갑에서 돈이 바로 빠져나가지 않습니다. 공격자 입장에서 더스팅의 진짜
목적은 “이 주소가 실제로 사람이 쓰는 지갑인지” 골라내는 정찰에 가깝습니다. 여러 주소에 동시에 소액을
뿌려놓고, 그중 누가 그 토큰을 만지작거리는지 지켜보다가 반응한 주소만 다음 공격 대상으로 추려내는
방식이죠. 그러니까 처방은 간단합니다. 모르는 토큰이 지갑에 보이면 궁금해도 절대 누르지 말고, 정
확인하고 싶으면 지갑 앱이 아니라 블록 익스플로러 웹사이트에 주소만 검색해서 눈으로만 보고 넘기세요.
4. 가짜 브라우저 확장 프로그램
2025년 9월 말부터 11월 중순까지, “Safery: Ethereum Wallet”이라는 가짜 지갑 확장이 정식 크롬
웹스토어에 버젓이 올라와 있었습니다. 씨드문구를 입력하면 그걸 수이(Sui) 체인의 극소액(0.000001 SUI)
마이크로트랜잭션에 인코딩해서 빼가는 방식이었습니다. 2025년 12월 24일에는 진짜 브랜드인 트러스트월렛
(Trust Wallet)의 크롬 확장 자체가 침해당해, 깃허브 시크릿과 크롬 웹스토어 API 키가 탈취된 뒤 악성
코드가 “정식 업데이트”로 위장 배포되는 사고가 있었습니다. 지갑 2,500개 이상, 700만~850만 달러 규모의
피해가 발생했습니다. 정식 스토어 등록 배지 하나만으로 안심할 수 없다는 걸 보여주는 사례입니다.
5. 가짜 모바일 ‘에어드랍 체커’ 앱
“내 지갑이 에어드랍 대상인지 확인해준다”는 앱스토어 앱들이 있는데, 그중 상당수가 지갑 연결을 유도한
뒤 포괄적 승인을 요청하는 가짜입니다. 진짜 자격 확인은 프로젝트 공식 사이트에서 지갑 주소만 입력해
조회하는 방식이면 충분하고, 별도 앱 설치나 지갑 연결·서명이 필요하지 않습니다.
6. 긴급성·희소성 압박 + 선입금 요구
“○시간 내 마감”, “선착순 500명”처럼 시간을 압박하는 문구, 그리고 클레임 전에 “가스비”나 “언락
수수료”를 먼저 보내라는 요구입니다. 진짜 클레임은 가스비를 항상 내 지갑 잔액에서 자체적으로 지불합니다.
클레임도 하기 전에 다른 사람 주소로 돈을 먼저 보내라는 요청은 예외 없이 사기입니다. 2026년 3월 19일에는
미국 FBI가 TRC-20(트론) 기반 가짜 ‘FBI Token’ 에어드랍 사기에 대해 공식 경보를 낸 적도 있습니다.
6. 업비트가 54분 만에 445억을 잃은 사건이 우리에게 알려주는 것
2025년 11월 27일 새벽 4시 42분, 업비트 지갑 담당 부서가 이상 징후를 처음 포착했습니다. 그때부터
5시 36분까지, 딱 54분 사이에 솔라나 네트워크 계열 자산이 알 수 없는 외부 지갑으로 줄줄이 빠져나갔습니다.
코인 종류로는 24종, 지갑 165개가 영향을 받았고 수량으로는 약 1,040억 개
토큰(개수 기준으로는 밈코인 BONK가 99% 이상)이 이 54분 동안 유출됐습니다. 금액으로 환산하면 초당 약
1,370만 원, 총 445억 원(약 3천만 달러) 규모입니다. 처음 발표는 540억 원이었다가 사고 시점 시세를
반영해 445억 원으로 정정됐고, 이 중 고객 자산 피해분은 약 386억 원이었습니다. 업비트는 5시 27분에
솔라나 계열 자산 입출금을, 8시 55분에는 전체 자산 입출금을 중단했습니다. 그런데 금융당국 신고는
사고 발생 후 6시간 가까이 지난 오전 10시 58분에야 이뤄져 ‘늑장 신고’ 논란도 함께 불거졌습니다. 이후
자체 긴급 점검에서 지갑 소프트웨어에 공개된 온체인 데이터만으로 개인키를 유추할 수 있는 취약점이
발견됐고, 배후로는 2019년 업비트 해킹 때와 마찬가지로 북한 라자루스 그룹이 유력하게 거론됩니다. 두나무는
피해 고객 자산 전액을 회사 자산으로 보전하겠다고 밝혔습니다. (출처: 뉴스1·서울경제·파이낸셜뉴스·
머니투데이·서울신문 2025년 11월 28일 보도)
비슷한 시기 해외 사례를 보면 규모가 더 큽니다. 2025년 2월 21일 바이비트에서는 15억 달러(발표 당시
사상 최대 단일 크립토 탈취 규모) 상당의 ETH·stETH가 빠져나갔습니다. 역시 북한 배후로 알려진 라자루스
그룹(TraderTraitor)이 콜드월렛 관리 툴 Safe{Wallet}의 개발자 PC를 먼저 침해하고, 그 PC에서 뜨는 서명
화면 자체에 악성 코드를 심어 “정상 트랜잭션처럼 보이게” 위장한 방식이었습니다. 서명하는 사람은 평소처럼
승인 버튼을 눌렀을 뿐인데, 실제 자금이 가는 목적지와 화면에 보이는 목적지가 달랐던 겁니다. 도난 자산
중 최소 1억 6천만 달러는 48시간 안에 세탁됐습니다.
업비트도 바이비트도 개인이 가짜 에어드랍 링크에 낚여서 생긴 사고는 아니에요. 그런데 여기서 뽑을 수
있는 교훈은 가짜 에어드랍 대응이랑 똑같습니다. 승인 요청이 뜨는 순간 그 내용을 실제로 확인하지 않으면, 아무리 큰
조직도 뚫립니다. 국내 금융당국도 비슷한 심리 전술을 쓰는 사기에 경보를 낸 적이 있어요. 가상자산이용자
보호법이 2024년 7월 시행된 이후, 당국은 “영업을 종료하는 거래소를 사칭”해 “휴면 자산이 곧 소각된다”는
문자를 보내고 가짜 사이트로 유도한 뒤 “수수료”나 “인증비” 명목으로 돈을 뜯어내는 수법에 사기경보를
발령했습니다. 긴급성을 만들고, 공식적인 것처럼 꾸미고, 인증 전에 돈부터 요구하는 것. 가짜 에어드랍이
쓰는 각본과 완전히 같습니다.
7. ‘지갑 연결’과 ‘서명’은 완전히 다른 버튼이다
방금 본 업비트·바이비트 사례를 보면 이런 궁금증이 생기실 거예요. “그럼 나는 뭘 눌렀을 때부터
위험해지는 거지?” 여기서부터가 진짜 실전입니다. “지갑을 연결했다가 털렸다”고들 말하는데, 사실 따져보면
연결 자체가 문제였던 경우는 거의 없습니다. 진짜 문제는 그다음, 서명 버튼을 눌렀을 때 시작됩니다.
연결은 왜 상대적으로 안전한 걸까요
메타마스크 같은 지갑에서 “연결” 버튼을 누르면 사이트는 내 지갑 주소를 알게 됩니다. 사실 이 정보,
이미 온체인에 다 공개돼 있어서 아무나 이더스캔 같은 데서 검색만 해도 볼 수 있는 정보예요. 그러니까
연결 버튼 하나 눌렀다고 그 순간 코인이 빠져나가거나 하지는 않습니다. 실제로 자산이 움직이려면
트랜잭션이든 서명이든 한 단계를 더 거쳐야 하거든요.
진짜 위험은 서명 버튼을 누르는 순간부터 시작됩니다
진짜 위험한 순간은 지갑이 “서명해 주세요” 팝업을 띄울 때입니다. 이 서명 요청도 종류에 따라 위험도가
전혀 다릅니다.
| 서명/액션 유형 | 지갑 화면에 보이는 것 | 위험도 | 비고 |
|---|---|---|---|
| 단순 연결(Connect) | 주소 공개만 | 낮음 | 자금은 이동되지 않고 주소만 노출됨 |
| eth_sign | 임의 32바이트 해시(사람이 못 읽음) | 최고 | 메타마스크가 빨간 경고를 따로 띄움. 사실상 백지수표 |
| personal_sign | 텍스트 메시지 | 중간 | 메시지 안에 실제 승인 내용이 코드처럼 숨겨질 수 있음 |
| EIP-712 (eth_signTypedData_v4) | 필드별로 구조화돼 있어 읽을 수 있는 JSON | 중간(읽으면 낮음) | 필드를 다 확인해야 하고, 중첩 구조 속에 숨겨질 수도 있음 |
| Permit / Permit2 승인 | 무제한 토큰 위임 서명 | 높음 | 2025년 100만 달러 이상 손실 사건의 38%가 여기서 발생 |
가장 위험한 건 eth_sign입니다. 화면에 사람이 읽을 수 없는 뒤죽박죽 문자열만 뜨는데, 이 방식은 사실상
뭐든 서명해줄 수 있는 백지수표나 다름없어서 메타마스크는 이 요청이 뜨면 빨간 경고문을 따로 보여줍니다.
personal_sign은 그나마 읽을 수 있는 텍스트가 뜨지만, 그 텍스트 안에 실제 승인 내용이 숨어 있을 수
있습니다. EIP-712 방식은 항목별로 구조화된 값이 뜨는데, 필드를 하나하나 읽으면 뭘 승인하는지 알 수
있습니다. 문제는 대부분 안 읽는다는 겁니다.
가짜 에어드랍 사기에서 압도적으로 많이 쓰이는 건 Permit이나 Permit2 서명이에요. “이 토큰에 대해 이
주소가 무제한으로 인출해 갈 수 있다”는 위임장에 도장 찍는 것과 비슷한 구조인데, 여기서 다들 한 번씩
헷갈리는 지점이 있습니다. 이 서명, 사실 온체인에 바로 올라가는 게 아니에요. 지갑 밖에서 서명 데이터만
만들어두는 오프체인 절차라 가스비도 안 나가고, 화면엔 그냥 숫자·주소 몇 개 나열된 게 전부라서 딱히
위험해 보이지도 않거든요. 근데 공격자 입장에서는 이 서명 하나만 손에 넣으면 끝입니다. 그 서명을 들고
있다가 아무 때나 자기가 원하는 시점에 온체인 트랜잭션을 실행해서 제 지갑에서 토큰을 통째로 빼갈 수
있어요. 그러니까 서명하는 순간엔 아무 일도 안 일어난 것처럼 보이지만, 실제로 잔고가 텅 비는 시점은
몇 시간 뒤일 수도, 며칠 뒤일 수도 있습니다. 이 시차 때문에 “그때 그 서명이 문제였구나”를 뒤늦게
깨닫는 피해자가 많고요. Scam Sniffer 집계로 2025년 100만 달러 이상 대형 피해 사건의 38%가 바로 이
Permit류 승인 남용에서 나왔습니다.
화면에 뜬 서명 요청 내용을 그대로 승인하는 도구입니다. 내용을 확인하지 않고 버튼만 누르면 콜드월렛이든
핫월렛이든 결과는 똑같습니다.
8. 진짜 에어드랍 vs 가짜 에어드랍, 한눈에 구분표
말로 풀면 길어지니까, 표로 한 번에 놓고 보시죠.
| 항목 | 진짜 에어드랍 | 가짜 에어드랍 |
|---|---|---|
| 자금 요구 | 없음 (가스비도 내 지갑에서 스스로 지불) | 선입금 가스비·언락비 요구 |
| 정보 요구 | 지갑 주소·과거 온체인 활동만 | 시드문구·개인키, “검증용 지갑연결” 명목의 무제한 승인 |
| 확인 경로 | 프로젝트 공식 도메인 + 공식 문서·깃허브에 명시된 컨트랙트 | 광고·DM·사칭 계정 링크, 미세하게 다른 도메인 |
| 시간 압박 | 수주~수개월의 청구 기간 | “○시간 내 마감” 같은 긴급 문구 |
| 서명 요청 | 구체적인 클레임 함수 호출 내용이 명시됨 | 무제한 Permit/Approve 또는 읽을 수 없는 해시(eth_sign) |
표 왼쪽에 안 맞는 항목이 하나라도 있으면 잠깐 멈추는 게 맞습니다. 시간이 급해 보여도, 진짜 프로젝트라면
며칠 안에 다시 확인해도 자격은 그대로 남아 있습니다.
9. 안전하게 클레임하는 5단계 체크리스트
실제로 클레임할 때는 이 순서를 따라가면 됩니다.
- 공식 도메인 교차검증. 프로젝트의 공식 X 계정, 공식 문서(GitBook 등), 디스코드 공지 세 군데에서
같은 클레임 URL이 걸려 있는지 확인합니다. 카톡방·DM·광고 링크로 들어온 주소는 그 자체로는 검증되지 않은
것으로 취급합니다. - 컨트랙트 주소 대조. 클레임 페이지에 뜨는 컨트랙트 주소를 이더스캔 같은 블록 익스플로러나 프로젝트
깃허브에 공개된 배포 주소와 직접 대조합니다. 한 글자라도 다르면 다른 컨트랙트입니다. - 버너지갑(소액 전용 지갑) 사용. 검증이 끝나지 않은 클레임 사이트는 평소 쓰는 메인 지갑이 아니라
소액만 넣어둔 별도 지갑으로 접속합니다. 잘못돼도 손실이 그 지갑 안에서만 끝납니다. - 서명 요청 내용을 실제로 읽기. “서명” 버튼이 뜨면 무조건 넘기지 말고, 어떤 함수를 호출하는지,
금액과 기간이 무제한인지 확인합니다. 뒤죽박죽 16진수 문자열만 뜨면(eth_sign) 그 자체로 거부 사유입니다. - 클레임 후 승인 즉시 리보크. 토큰을 받았으면 그 컨트랙트에 내준 승인 권한을 바로 회수합니다.
방법은 토큰 승인 회수하는 법에 정리해뒀습니다.
10. 거래소 자체 에어드랍이 오히려 더 안전한 이유
앞서 원화마켓 구조 때문에 어차피 별도 지갑을 만들어야 한다고 말씀드렸는데, 사실 업비트·빗썸 유저에게
더 실용적인 대안이 하나 있습니다. 바로 거래소 자체가 운영하는 에어드랍 프로그램입니다. 바이낸스
HODLer Airdrops, OKX Jumpstart, 바이비트 Launchpool, 게이트(Gate) Startup, MEXC Airdrop+, 쿠코인
(KuCoin) Spotlight 같은 프로그램은 전부 거래소 계좌 잔고 스냅샷을 기준으로 진행됩니다. 지갑 서명도,
컨트랙트 승인도 필요 없습니다. 거래소에 코인을 보유하고 있으면 자동으로 대상 여부가 결정되고, 받은
토큰도 거래소 지갑에 그대로 들어옵니다. 자기 지갑으로 직접 클레임하러 다닐 때 생기는 클릭 하나하나,
서명창 하나하나가 애초에 존재하지 않으니 털릴 구멍 자체가 훨씬 적은 셈이죠.
물론 이 방식이 만능은 아닙니다. 거래소가 상장하지 않은 프로젝트의 에어드랍은 받을 수 없고, 자산을
거래소에 맡긴다는 점 자체의 위험(거래소 자체 해킹·정책 리스크)은 별개로 존재합니다. 바로 앞서 얘기한
업비트 445억 사건이 그 위험을 그대로 보여줬고요. 다만 “가짜 클레임 사이트에 지갑을 연결하고 서명하는”
위험 하나만 놓고 비교하면, 거래소 자체 프로그램 쪽이 확실히 더 안전합니다. 여러 거래소에 자산을 나눠
두고 싶다면 암호화폐 거래소 비교도 참고하세요.
Binance
OKX
Bybit
Gate.io
MEXC
KuCoin
11. 이미 서명해버렸다면 지금부터 뭘 해야 할까요
여기까지 읽는 동안 “어? 저거 나인데” 싶으셨다면, 지금 상황에 맞는 글부터 먼저 보시는 게 순서입니다.
- 서명은 했는데 시드문구는 안 줬다. 지갑에 자산이 남아 있다면 지금 바로
악성 토큰 승인 취소(revoke)하는 법을 따라가세요. 연결 해제와 승인 취소는
다른 조치라는 점이 특히 중요합니다. - 어딘가에 시드문구나 개인키를 입력한 것 같다. 이 경우는 승인 회수만으로는 부족합니다.
시드문구가 노출됐을 때 대처하는 법을 보고 남은 자산 전부를 새 지갑으로 옮기세요. - 이미 다 털렸다. 안타깝지만 블록체인 트랜잭션은 되돌릴 수 없습니다. 그래도 지금 뭘 할 수 있고
뭘 할 수 없는지, 그리고 “수수료 내면 복구해준다”는 2차 사기를 피하는 법은
사기당한 크립토, 되찾을 수 있을까에 정리해뒀습니다.
12. 용어집: 블라인드 서명, Permit2, 드레이너, 스냅샷, TGE, 더스팅, 버너지갑
이 글에서 쓴 용어를 한 번에 정리했습니다.
| 용어 | 뜻 |
|---|---|
| 블라인드 서명 (blind signing) | 지갑 화면에 뜨는 서명 요청 내용을 읽지 않거나 읽어도 이해하지 못한 채 그대로 승인하는 행위. 드레이너 사기가 성립하는 결정적 순간. |
| Permit / Permit2 | 토큰 인출 권한을 오프체인 서명 하나로 미리 위임해두는 표준. 서명 자체엔 가스비가 안 들지만, 이 서명만 있으면 공격자가 나중에 온체인에서 토큰을 인출할 수 있음. |
| 드레이너 (Drainer) / DaaS | 지갑 자산을 빼내는 악성 스크립트, 또는 그 스크립트를 만들어 수수료 배분 조건으로 다른 사기꾼에게 빌려주는 ‘드레이너 대여 서비스(Drainer-as-a-Service)’ 사업 모델. |
| 스냅샷 (snapshot) | 에어드랍 자격을 정하기 위해 특정 시점의 온체인 상태를 캡처하는 것. 이 시점 이후 행동으로는 자격을 새로 얻을 수 없음. |
| TGE (Token Generation Event) | 프로젝트가 처음으로 토큰을 발행·유통하기 시작하는 시점. 이 타이밍을 노린 카피캣 피싱 사이트가 특히 몰림. |
| 더스팅 공격 (dusting attack) | 요청하지 않은 소액 토큰을 지갑에 보내 “확인·스왑” 상호작용을 유도, 악성 컨트랙트 승인으로 연결하려는 수법. |
| 버너지갑 (burner wallet) | 검증되지 않은 사이트와 상호작용할 때 쓰는, 소액만 넣어둔 별도의 일회성·저위험 지갑. |
| eth_sign / personal_sign / EIP-712 | 지갑 서명 요청의 세 가지 방식. eth_sign은 사람이 읽을 수 없는 해시(최고 위험), personal_sign은 텍스트, EIP-712(eth_signTypedData_v4)는 구조화된 필드 형태로 상대적으로 읽기 쉬움. |
| 지갑 포이즈닝 (address poisoning) | 내 실제 주소와 앞뒤 몇 자리가 똑같은 가짜 주소로 소액을 보내, 나중에 복사-붙여넣기 실수로 그 가짜 주소에 돈을 보내게 유도하는 수법. 더스팅과 비슷하지만 목적이 다름. |










