저자 Liz & Lisa

배경

배경

암호 자산 분야에서 소셜 소셜 엔지니어링 공격은 사용자 자금의 보안에 큰 위협이 되고 있습니다. 2025년 이후 코인베이스 사용자를 노린 소셜 엔지니어링 사기가 다수 발견되어 커뮤니티의 광범위한 우려를 불러일으키고 있습니다. 커뮤니티의 토론을 통해 이러한 사건이 단발적인 사건이 아니라 지속적이고 조직적인 사기 유형이라는 것이 분명해졌습니다.

5월 15일, 코인베이스는 코인베이스에 '첩자'가 있다는 이전 보고를 확인하는 발표를 발표했습니다. 코인베이스, 코인베이스에 "두더지"가 있다는 이전 추측을 확인했습니다. 미국 법무부(DOJ)가 데이터 유출에 대한 조사에 착수한 것으로 알려졌습니다.

이 문서에서는 여러 보안 연구자와 피해자가 제공한 정보를 취합합니다< span text="">사기꾼들의 주요 수법을 공개하고 플랫폼과 사용자의 관점에서 이러한 사기에 효과적으로 대처하는 방법에 대해 논의합니다.

(https://x.com/coinbase/status/1922967576209998133)

역사적 분석

< strong>"지난 주에만 소셜 엔지니어링 사기로 인해 코인베이스 사용자들로부터 4,500만 달러 이상이 도난당했습니다."라고 체인 슬루스 잭은 5월 7일 텔레그램 업데이트에서 썼습니다.

지난 1년 동안 Zach는 자신의 텔레그램 채널과 X 플랫폼에서 코인베이스 사용자의 도난 사례를 여러 건 공개했습니다. 2025년 2월, Zach는 2024년 12월과 2025년 1월 사이에만 유사한 사기로 6,500만 달러 이상이 도난당했다는 자세한 조사 결과를 발표하며 코인베이스가 심각한 '사회복지사 사기' 위기에 직면해 있으며 이러한 공격이 사회복지사들에 의해 자행되고 있음을 밝혔습니다. 그리고 이러한 공격으로 인해 연평균 3억 달러에 달하는 사용자 자산의 보안이 지속적으로 손상되는 등 코인베이스가 심각한 '사회복지사 사기' 위기에 직면해 있다고 밝혔습니다. 그는 또한 다음과 같이 지적했습니다.

• 이러한 사기를 주도하는 조직은 크게 두 가지 범주로 나뉜다: 컴 커뮤니티의 저급 공격자(스키드)와 인도에 기반을 둔 사이버 범죄 조직;

• < strong>표준화된 수법과 성숙한 프로세스로 미국 사용자를 노리는 사기 조직;

• 실제 손실액은 체인에 표시된 통계보다 훨씬 더 많을 수 있습니다. 사용할 수 없는 코인베이스 고객 서비스 작업 지시서 및 경찰 보고서와 같은 미공개 정보는 포함되지 않았습니다.

(https://x.com/zachxbt/status/1886411891213230114)

사기 기법

이 사건에서 코인베이스의 기술 시스템은 침해되지 않았으며, 사기범들은 내부 직원의 액세스 권한을 이용해 일부 사용자의 민감한 정보에 접근했습니다. 이 정보에는 이름, 주소, 연락처 정보, 계정 데이터, 사진이 부착된 신분증 등이 포함되었습니다. 사기범들의 궁극적인 목표는 사용자가 돈을 이체하도록 유도하는 사회공학적 전술을 통해 수익을 창출하는 것입니다.

(https://www.coinbase.com/blog/ 보호-우리-고객-강탈주의자-대처)

이러한 유형의 공격은 기존의 '그물을 던지는' 피싱 방식에서 벗어나 '정밀 타격'으로 변화합니다. 일반적인 경로는 다음과 같습니다:

1. "공식 고객 서비스"로 연락합니다. "공식 고객 서비스"로 사용자에게 연락

사기꾼은 가짜 전화 시스템(PBX)을 사용하여 코인베이스 고객 서비스를 사칭하고 사용자에게 전화를 걸어 "계정이 불법적으로 로그인했다"거나 "인출 이상 징후가 감지되었다"고 말하며 긴박감을 조성합니다. 그런 다음 가짜 작업 주문 번호가 포함된 피싱 이메일이나 SMS 메시지를 보내거나 '복구 프로세스'로 연결되는 링크를 통해 사용자에게 조치를 취하도록 유도합니다. 이러한 링크는 복제된 코인베이스 인터페이스로 연결될 수 있으며, 심지어 공식 도메인에서 보낸 것처럼 보이는 이메일을 보낼 수도 있으며, 일부는 리디렉션 기술을 사용하여 보안을 우회합니다.

2. 사용자가 코인베이스 지갑을 다운로드하도록 유도

<span leaf=""  para",{"tagName":"section","attributes":{},"namespaceURI":"http://www.w3.org/1999/xhtml"},"" node",{"tagName":"b","attributes":{"data-pm-slice":"0 0 []"},"namespaceURI":"http://www.w3.org/1999/xhtml"},"node",{"tagName":"b","" attributes":{"data-pm-slice":"0 0 []"},"namespaceURI":"http://www.w3.org/1999/xhtml"},"para",{"tagName":"p","attributes":{"dir":"ltr ","style":"여백-하단: 0px;글자간격: 0.578px;텍스트 정렬: 왼쪽;"},"namespaceURI":"http://www.w3.org/1999/xhtml"}]'>사기범들은 '자산 보호'를 핑계로 사용자가 '보안 지갑'으로 자금을 이체하도록 유도하고, 사용자가 코인베이스 지갑을 설치하여 원래 코인베이스에 호스팅되어 있던 자산을 새로 만든 지갑으로 이체하도록 유도합니다. 또한 사용자가 코인베이스 지갑을 설치하도록 지원하고 원래 코인베이스에서 호스팅하던 자산을 새로 생성한 지갑으로 이전하도록 안내했습니다. span text="">스미머 제공 니모닉

전통과 달리 기존의 "토큰 스푸핑"과 달리, 사기꾼은 단순히 자체적으로 생성한 토큰 세트를 제공하고 이를 "공식 새 지갑"으로 사용하도록 사용자를 속입니다.

4. 

피해자는 다음과 같은 상태에 있습니다. 긴장하고 불안해하며 '고객 서비스'를 신뢰하는 피해자는 '공식적으로 제공된' 새 지갑이 '유출된 것으로 의심되는' 새 지갑보다 당연히 더 낫다는 함정에 쉽게 빠질 수 있습니다. 유출된 것으로 의심되는" 지갑보다 당연히 낫습니다. 결과적으로 이 새 지갑으로 자금이 이체되면 사기꾼은 즉시 자금을 이체할 수 있습니다. 키가 아니라 코인이 아니라 말이죠. 아이디어가 다시 한 번 검증되었습니다.

또한 "집단 소송 판결로 인해 코인베이스가 자체 호스팅 지갑으로 이전할 것"이라고 주장하며 사용자의 돈을 요구하는 피싱 이메일도 있습니다. 지갑으로 이전할 것"이라며 4월 1일까지 자산 이전을 완료해달라고 요청했습니다. 사용자들은 시간에 대한 압박과 '공식적인 지시'라는 심리적 압박을 받으면 협조할 가능성이 높습니다.

(https://x.com/SteveKBark/status/ 1900605757025882440)

< span text="">나노바이터에 따르면, 이러한 공격은 조직적으로 계획되고 실행되는 경우가 많습니다.

• 사기 툴체인이 잘 구축되어 있습니다: 사기꾼은 PBX 시스템(예: FreePBX, Bitrix24)을 사용하여 수신 전화를 스푸핑하고 공식 고객 서비스 전화를 가장합니다. 피싱 이메일을 보낼 때는 텔레그램의 @spoofmailer_bot을 사용하여 "계정 복구 가이드"가 포함된 공식 코인베이스 이메일 주소로 사칭하여 송금을 유도합니다.

• 정확한 타겟팅정확한 타겟팅< span text="">:스캐머들은 텔레그램 채널과 다크웹에서 구매한 도난 사용자 데이터(예: "5k COINBASE US2", "100K_USA-gemini_sample" 등), 미국 기반 코인베이스 사용자를 주요 타겟으로 삼고 있으며, 전화번호를 분할 및 재구성하고, 대량으로 TXT 파일을 생성하고, 블라스팅 소프트웨어를 통해 SMS 사기를 발송하는 ChatGPT의 도움으로 훔친 데이터를 처리하고 있습니다.

• 스캠 프로세스는 일관적입니다. :전화, 문자 메시지, 이메일에 이르기까지 사기의 경로는 일반적으로 "계좌에서 인출 요청을 받았습니다!"와 같은 일반적인 피싱 문구와 함께 원활하게 이루어집니다. "계정에 출금 요청이 들어왔습니다", "비밀번호가 재설정되었습니다", "계정이 비정상적인 로그인으로 보입니다" 등의 일반적인 피싱 문구로 피해자가 지갑이 완성될 때까지 계속해서 '보안 인증'을 수행하도록 유도합니다. 이 과정에서 가장 먼저 해야 할 일은 해당 업무에 적합한 도구를 가지고 있는지 확인하는 것입니다.

(https://x.com/NanoBaiter/status/1923099215112057010)<

미스트트랙 애널리틱스

MistTrack 애널리틱스

온체인 자금세탁방지 및 추적 시스템 미스트트랙(https://misttrack.io/)을 사용하여 잭이 공개한 사기꾼의 주소와 당사 양식에 접수된 사기꾼의 주소를 분석한 결과, 사기꾼들은 다음과 같은 사실을 발견했습니다. 강력한 온체인 역량을 보유하고 있으며, 다음은 몇 가지 주요 정보입니다.

스미커의 공격 대상은 다음과 같습니다. 코인베이스 사용자들은 다양한 자산을 보유하고 있으며, 2024년 12월부터 2025년 5월 사이에 활성화된 주소는 주로 BTC와 ETH를 대상으로 합니다. 현재 사기의 주요 표적은 BTC이며, 여러 주소에서 각각 수백만 달러에 해당하는 최대 수백 BTC의 일회성 수익이 발생하고 있습니다.

자금 획득 후 사기범은 다음과 같은 주요 패턴으로 일련의 세탁 프로세스를 사용하여 자산을 신속하게 전환 및 이체합니다.

< li>

ETH 자산은 종종 유니스왑을 통해 DAI 또는 USDT로 빠르게 변환된 후 여러 개의 새로운 주소로 분산 및 전송되며, 일부 자산은 중앙화된 거래 플랫폼으로 이동합니다.

• BTC는 추적 위험을 피하기 위해 주로 THORChain, 체인플립 또는 디파이웨이 브리지를 통해 이더리움으로 거래된 후 DAI 또는 USDT로 환전됩니다.

다수의 사기성 주소가 DAI 또는 USDT를 받은 후 "비활성" 상태로 남아 있으며 송금되지 않았습니다.

의심스러운 주소와 상호작용하여 자산이 동결되는 위험을 피하기 위해 사용자는 온체인 자금 세탁 방지 및 추적 시스템인 미스트트랙(https://misttrack.io/)을 사용하여 거래 전에 대상 주소의 위험 감지를 수행하여 잠재적인 위협을 효과적으로 피할 것을 권장합니다. 잠재적인 위협을 효과적으로 피할 수 있습니다.

응답

플랫폼

현재 보안의 중심은 '기술 계층'에 더 가깝습니다. 현재 주류 보안 조치는 '기술 계층'에 더 가깝고, 사회복지사 사기는 종종 이러한 메커니즘을 우회하여 사용자의 심리적, 행동적 허점을 직접 공격합니다. 따라서 플랫폼은 사용자 교육, 보안 교육, 사용성 설계를 통합하여 일련의 '사람 중심' 보안 방어 체계를 구축하는 것이 좋습니다.

• 정기적으로 사기 방지 교육 콘텐츠 푸시하기 :앱 팝업, 거래 확인 인터페이스, 이메일 등을 통해 사용자의 피싱 방지 능력 향상

• 리스크 제어 모델 최적화"대화형 이상 행동 인식":대부분의 사회복지사 사기는 사용자가 단시간 내에 일련의 작업(예: 송금, 화이트리스트 변경, 디바이스 바인딩 등)을 완료하도록 유도합니다. 플랫폼은 행동 체인 모델을 기반으로 의심스러운 상호작용 조합(예: "빈번한 상호작용 + 새 주소 + 고액 인출")을 식별하여 쿨링오프 기간 또는 수동 검토 메커니즘을 트리거해야 합니다.

• 고객 서비스 채널 규제하기 : 사기꾼은 종종 고객 서비스를 사칭하여 사용자를 혼란스럽게 하므로 플랫폼은 전화, SMS, 이메일 템플릿을 통합하고 '고객 서비스 검증 포털'을 제공하여 혼란을 피하기 위한 유일한 공식 커뮤니케이션 채널을 명확히 해야 합니다.

사용자

• 신원 격리 정책 구현하기: 부수적인 위험을 줄이기 위해 여러 플랫폼에서 동일한 이메일과 휴대폰 번호를 공유하지 말고, 유출 조회 도구를 사용하여 이메일 유출 여부를 정기적으로 확인할 수 있습니다.



(https://haveibeenpwned.com/ )

• < span leaf="">이체 화이트리스트 및 출금 냉각 메커니즘 활성화:긴급 상황에서 자금 손실 위험을 줄이기 위해 신뢰할 수 있는 주소를 미리 설정합니다.

• 보안에 대한 지속적인 집중 :보안 회사, 미디어, 거래 플랫폼 및 기타 채널을 통해 공격 전술의 최신 동향을 파악하고 경계를 늦추지 마세요. 현재 SlowMist, @DeFiHackLabs, @realScamSniffer가 만든 웹3 피싱 리허설 플랫폼이 곧 온라인에 공개될 예정이며, 이 플랫폼은 소셜 워커 중독, 서명 피싱, 악성 계약 상호작용 등 다양한 전형적인 피싱 기법을 시뮬레이션하고 그동안 수집한 실제 사례와 결합하여 시나리오 콘텐츠를 지속적으로 업데이트할 계획입니다. 이를 통해 사용자는 위험 없는 환경에서 식별 및 대응 능력을 향상시킬 수 있습니다.

• 오프라인 위험에 주의하고 개인정보 보호:개인정보 유출은 개인 안전 문제도 일으킬 수 있습니다.



올해까지 암호화폐 종사자/사용자들은 개인 안전에 대한 수많은 위협을 받았기 때문에 근거 없는 두려움은 아닙니다. 유출된 데이터에는 이름, 주소, 연락처 정보, 계정 데이터, 사진 신분증 등이 포함되어 있었기 때문에 관련 사용자들은 오프라인에서도 경각심을 갖고 안전에 유의해야 합니다.



요약하면, 회의적인 태도를 유지하고 계속 확인해야 합니다. 긴급한 업무가 관련된 경우에는 항상 상대방에게 신원 확인을 요청하고 공식 채널을 통해 독립적으로 확인하여 압박감 속에서 돌이킬 수 없는 결정을 내리지 않도록 하세요. 더 많은 보안 조언과 새로운 공격 기법은 블록체인 다크 포레스트 셀프 헬프 핸드북(https://github.com/slowmist/Blockchain-dark-forest-selfguard- handbook/).

요약

이 사건은 점점 더 정교해지는 소셜 워커의 공격 전술에 맞서 업계가 고객 데이터와 자산 보호에 여전히 심각한 결함이 있음을 다시 한 번 드러냈습니다. 플랫폼의 관련 직책이 자금에 대한 권한이 없거나 충분한 보안 인식과 능력이 부족하더라도 의도치 않게 정보를 유출하거나 사기에 휘말려 심각한 결과를 초래할 수 있다는 점을 경계할 필요가 있습니다. 플랫폼 규모가 계속 확장됨에 따라 인사 보안 관리의 복잡성이 증가하여 업계에서 가장 극복하기 어려운 리스크 중 하나가 되었습니다. 따라서 플랫폼은 체인 보안 메커니즘을 강화하는 동시에 내부 인력과 아웃소싱 서비스를 포괄하는 사회 노동자 방어 시스템을 체계적으로 구축하고 인적 위험을 전체 보안 전략에 통합해야 합니다.

또한 공격이 고립된 이벤트가 아니라 조직적이고 확장된 지속적인 위협이라는 것이 발견되면 플랫폼은 1차적으로 대응하여 잠재적인 취약점을 선제적으로 조사해야 합니다, 또한 공격이 고립된 사건이 아니라 조직적이고 지속적인 위협으로 확인되면 플랫폼은 잠재적 취약성을 선제적으로 파악하고 사용자에게 예방 조치를 취하도록 상기시키며 피해 범위를 통제하는 등 1차적으로 대응해야 합니다. 기술적, 조직적 차원의 이중 대응만이 점점 더 복잡해지는 보안 환경에서 신뢰와 수익을 진정으로 보호할 수 있습니다.