원작자: Fairy, ChainCatcher
원래 편집자: TB, ChainCatcher
“안녕하세요, Coinbase 보안팀입니다. 귀하의 계정에 비정상적인 로그인이 감지되었습니다…”
전화 반대편에서 들려오는 목소리는 전문적이고 긴급하며, 귀하의 이름, 등록된 이메일 주소, 최근 거래 내역까지 정확하게 보고해 줍니다. 즉시 전화를 끊으시겠습니까, 아니면 고객 서비스의 지시에 따라 단계별로 소위 안전 지갑으로 자금을 이체하시겠습니까?
최근 들어 많은 코인베이스 사용자가 잇따라 사기를 당하고 있으며, 손실액도 엄청납니다. 3월 한 달 동안만 4,600만 달러 이상이 도난당했고, Coinbase 사용자는 매년 소셜 엔지니어링 사기로 인해 최대 3억 달러의 손실을 보고 있습니다.
하지만 해커들은 어떻게 정확하게 대상을 공격하는가? 그들은 왜 사용자의 개인정보를 얻을 수 있나요? 이러한 안보 위기는 상상보다 더 심각할 수 있다.
사기가 만연하고 피싱 공격이 산업화되고 있습니다.
3월 28일, 온체인 탐정 ZachXBT는 지난 2주 동안 Coinbase 사용자가 사기를 당한 것으로 의심되는 사례가 여러 건 발생했으며, 3월에 도난당한 총 금액이 4,600만 달러를 넘었다고 밝혔습니다.
사실 이런 종류의 사기는 오랫동안 존재해 왔습니다. ZachXBT는 2월 초에 이미 2024년 12월부터 2025년 1월까지 Coinbase 사용자가 비슷한 전략으로 인해 최대 6,500만 달러의 손실을 입었다고 밝혔습니다 . 이 수치로 볼 때 Coinbase는 연간 3억 달러 이상의 사회공학적 사기 위기에 처해 있습니다.
ZachXBT의 분석에 따르면 사기적 방법은 성숙한 산업 사슬을 형성했습니다.
Coinbase 임원을 사칭하는 사기꾼
사기꾼은 가짜 전화번호를 사용해 피해자에게 전화를 걸고, 사용자의 개인 정보를 사용해 신뢰를 얻습니다. 그들은 사용자 계정에 대한 무단 로그인 시도가 있으며, 피해자가 보안 확인에 협조하도록 속인다는 주장을 합니다.
피싱 이메일 보내기
사기꾼은 가짜 사건 ID가 포함된 가짜 Coinbase 이메일을 보냅니다.
사용자에게 자금 이체를 안내합니다
사기꾼은 피해자에게 Coinbase Wallet으로 자금을 이체하고 사기 주소를 허용 목록에 추가하라고 요구하면서, 이것이 계정 보안을 확인하는 방법이라고 주장합니다.
Coinbase 웹사이트 복제
사기꾼들은 Coinbase 피싱 웹사이트와 거의 동일한 복제본을 만들어 가짜 이메일과 Telegram 사기 패널을 통해 피해자들에게 다양한 운영 지침을 보냈습니다.
또한, 코인텔레그래프에 따르면 최근 여러 암호화폐 사용자가 코인베이스와 제미니를 사칭한 사기성 이메일을 받았다고 합니다. 이러한 이메일은 일반적으로 규제 요구 사항으로 인해 사용자가 셀프 호스팅 지갑으로 전환해야 하며 긴박감을 조성하기 위해 4월 1일 마감일을 설정합니다.
이메일에는 Coinbase Wallet이나 Gemini Wallet을 다운로드할 수 있는 링크와 사전 생성된 복구 문구가 포함되어 있습니다. 사용자가 이러한 문구를 사용해 새로운 지갑을 만들고 자산을 이체하면, 사기꾼은 즉시 해당 자금을 비웁니다.
내부 데이터 접근 문제 발생
사회공학 사기의 핵심은 정확한 정보 수집에 있습니다. Coinbase 사용자가 사기를 당한 사례에서 공격자는 전화번호, 이메일 주소, 거래 내역 등을 포함한 피해자의 개인 정보를 얻은 것으로 보입니다. 이로 인해 중요한 의문이 제기됩니다. 이러한 데이터가 어떻게 사기꾼의 손에 들어갔을까요?
어제 The Block의 공동 창립자인 마이크 두다스는 X 플랫폼에서 Coinbase로부터 이메일을 받았다고 말했습니다. 이메일 내용은 충격적이었고 내부 데이터 접근 문제를 직접적으로 지적하고 있었습니다. 이메일 내용은 다음과 같습니다.
우리는 Coinbase 직원이 내부 정책에 어긋나는 방식으로 귀하를 포함한 소수의 Coinbase 고객의 계정 기록에 접근했을 수 있다는 징후를 감지했다는 사실을 알려드리기 위해 글을 쓰고 있습니다.
이메일에는 귀하의 자산은 안전하게 유지되고 Coinbase 계정은 손상되지 않았습니다라고 명시되어 있으며 현재로선 데이터가 외부로 유출되었다는 증거는 없다고 강조했지만, 이메일은 사용자에게 명확한 경고를 보냈습니다. 즉, 내부 데이터에 접근하는 문제가 확인되었으며 고립된 사건이 아니라는 것입니다.
두다스는 이로 인해 Coinbase를 사칭하는 피싱 이메일과 전화가 전송되었다고 설명했습니다.
그러나 데이터 유출의 범위는 의심스럽고 더 광범위한 사용자가 관련될 수 있습니다. 커뮤니티 사용자 @ghaiankur는 저는 Coinbase에 자금이 없고 사용한 적도 없습니다. 하지만 계정이 있기 때문에 여전히 이런 이메일을 받았습니다. 이것은 몇몇 계정만을 타겟으로 하는 것이 아니라 전체 데이터베이스를 타겟으로 할 수도 있습니다.라고 말했습니다.
데이터 유출은 업계의 숨은 위험으로 부상
코인베이스뿐만 아니라 다른 거래소도 비슷한 내부 보안 위험에 직면해 있는 듯합니다.
두다스가 이메일을 공유한 후, 암호화폐 거래자 조던 피쉬(@Cobie)는 암호화폐 거래소 크라켄도 최근에 비슷한 공격을 받았다고 밝혔습니다. 그는 이것이 공격자의 전략일 수 있다. 고객 서비스 팀에 침투해 내부에서 사용자 데이터를 훔치는 것이라고 추측했다.
동시에 3월 27일, 다크웹 뉴스 웹사이트인 다크웹 인포머는 AKM 69라는 코드명의 해커가 암호화폐 거래소 제미니의 많은 사용자들의 개인 정보를 얻었다고 주장했다고 폭로했습니다. 이 데이터베이스에는 미국 사용자의 성명, 이메일, 전화번호, 위치 정보를 포함한 10만 개의 기록이 들어 있었으며, 심지어 싱가포르와 영국의 사용자 데이터도 일부 포함되어 있었습니다.
사용자를 보호하는 법을 배우지 않으면 사용자에게 버림받을 것입니다.
이 사건에 대해 솔라나의 공동 창립자인 톨리는 거래소가 자산이 빠르게 도난당하는 위험을 줄이기 위해 사용자가 제어할 수 있는 전송 시간 잠금을 구현해야 한다고 말했습니다. 그러나 이 사건의 본질은 이보다 훨씬 더 광범위합니다. 이는 거래소 내부 위험 통제의 실패와 사기 활동의 높은 산업화 수준을 폭로합니다.
거래소의 보안은 더 이상 단순히 기술적 보호의 문제가 아니라 관리와 신뢰의 문제이기도 합니다. 점점 복잡해지는 공격 방법에 대응하여, 더욱 완벽한 위험 관리 시스템을 어떻게 구축하느냐에 따라 업계의 미래 보안 기준이 결정될 것입니다.
