암호화폐 업계는 모든 종류의 사기에 익숙합니다. 현재 사이버 범죄자들이 암호화폐를 탈취하기 위해 사용하는 방법에는 ‘허니팟’으로 알려진 방법을 포함해 여러 가지가 있습니다. 그렇다면 암호화폐 허니팟 사기는 정확히 무엇이며, 위험할까요?
허니팟 사기란 무엇인가요?
허니팟 사기(“허니트랩”과 혼동하지 마세요)는 여러 형태로 나타날 수 있습니다. 하지만 어떤 경우든 큰 수익을 보장한다는 거짓 약속으로 피해자를 유인합니다. 이름에서 알 수 있듯이 허니팟 사기는 큰 꿀이 든 냄비, 즉 현금이 든 냄비처럼 보이지만 실제로는 이와는 거리가 멀죠.
하지만 허니팟에는 다른 많은 암호화폐 기반 사기와 구분되는 매우 흥미로운 점이 있습니다. 대부분의 사기는 악의가 없는 무고한 사람들을 노골적으로 표적으로 삼지만, 허니팟은 표적이 된 사용자가 최소한 악의적인 의도를 가지고 있다는 점에 의존합니다.
사기범은 종종 거래에 대한 도움을 구하는 순진한 암호화폐 초보자로 위장하기 때문입니다. 이 경우 실제 피해자는 자신이 우위에 있다고 믿게 됩니다. 그렇다면 어떻게 작동할까요?
허니팟 예시
이미지 출처: Ivan Radic/ Flickr
간단한 예시를 통해 이를 분석해 보겠습니다. 사람 A(공격자)가 사람 B(잠재적 피해자)에게 지갑 사용에 도움이 필요한 암호화폐 초보자라고 주장하며 메시지를 보냈다고 가정해 보겠습니다. 자금을 받는 방법을 모르거나 기존 자금을 다른 지갑, 은행 계좌, 암호화폐 거래소 등으로 옮기려고 하는 것일 수 있습니다.
순진한 사람인 것처럼 위장하여 A는 지갑의 시드 문구를 보내며, 이 정보가 B가 자산을 옮기는 데 도움이 될 것이라고 생각합니다. 시드 문구는 기본적으로 지갑에 대한 액세스 권한을 부여하므로 다른 사람, 특히 모르는 사람과 공유하는 것은 좋지 않은 생각입니다. 이 경우 사이버 범죄자는 잠재적 피해자가 이러한 보안 침해 가능성을 인지하기를 바라고 있습니다.
사람 B는 아무것도 모르는 것처럼 보이는 암호화폐 거래자의 메시지를 보고 “저 시드 문구만 있으면 지갑과 자금에 접근할 수 있겠지”라고 생각할 수 있습니다. 상식적인 사용자라면 이 메시지를 무시하거나 시드 문구를 공유하는 것은 위험하다고 발신자에게 조언할 수도 있습니다. 하지만 수신자가 좀 더 악의적인 사람이라면 대박을 터뜨릴 수 있다고 믿고 미끼를 받아들일 수 있습니다.
하지만 실제로는 A라는 사람이 여전히 운전석에 앉아 있습니다.
사람 B가 지갑에 액세스하면, 지갑에 토큰이 보관되어 있는 것을 볼 수 있습니다. 해당 토큰이 이더리움 기반(ERC-20 표준 사용)이라고 가정해 봅시다. 그러나 이 토큰은 이더리움 코인(ETH)이 아니라 이더리움 블록체인 위에 구축된 토큰입니다. 이 시점에서 B는 거래를 진행하기 위해 약간의 가스비가 필요하다는 것을 알게 됩니다.
“가스”는 많은 블록체인 네트워크에서 사용하는 컴퓨팅 파워입니다.
이러한 네트워크를 사용할 때 사용자는 가스비를 지불해야 하며, 따라서 전체 체인을 지원하기 위해 막대한 양의 에너지가 사용됩니다. 이더리움 블록체인에서는 네이티브 토큰인 이더리움이 가스비를 지불하는 데 사용됩니다.
지갑에 있는 ERC-20 토큰은 이더리움이 아니므로, B는 자금을 인출(즉, 트랜잭션을 수행)하려면 가스비를 지불하기 위해 지갑에 약간의 이더리움이 필요하다는 것을 곧 알게 될 것입니다. 문제 없죠? 가스 수수료는 미미할 수 있으므로 소량의 이더를 전송하는 것만으로도 아무런 문제가 없습니다.
원래 사기꾼인 A가 노리는 것은 바로 이 소량의 이더리움입니다. 순진한 사용자의 지갑에서 암호화폐를 몰래 빼낼 수 있다고 믿는 B는 지갑 주소로 약간의 이더리움을 전송하고, 전체 보유량을 인출할 때 가스비를 지불할 준비를 합니다.
그러나 B가 소량의 이더를 보내자마자 A가 즉시 인출하여 다른 곳으로 보냅니다. 이 시점에서 B는 이더리움에서 사기를 당했으므로 피해자가 됩니다.
다른 종류의 허니팟 사기란 무엇인가요?
허니팟 사기는 일반적으로 악성 지갑과의 상호작용을 포함하지만, 스마트 컨트랙트 사용도 포함될 수 있습니다.
스마트 컨트랙트는 수많은 블록체인 네트워크에서 거래를 자동으로 진행하기 위해 사용하는 프로그램으로, 중개자나 제3자를 배제합니다. 스마트 컨트랙트는 미리 정해진 매개변수 집합이 충족될 때만 실행되며, 블록체인의 효율성을 전반적으로 높일 수 있습니다.
그러나 이 기술은 금전적 이득을 위해 악의적으로 활용될 수도 있습니다.
이 시나리오에서 사이버 범죄자는 쉽게 악용할 수 있는 스마트 컨트랙트를 사용할 것입니다. 코드에 버그가 있거나 계약의 암호화폐 보유에 대한 일종의 백도어가 있을 수 있습니다. 다시 말하지만, 불법적인 개인은 이를 보고 사기를 당할 수 있다는 사실을 깨닫지 못한 채 기회를 엿볼 것입니다.
예를 들어, 사람 A(공격자)는 스마트 콘트랙트 허니팟을 사용하여 사람 B(피해자)를 속여 자금을 빼돌릴 수 있다고 생각할 수 있습니다. B가 이 스마트 컨트랙트를 악용할 수 있다고 생각하면 이미 공격자의 손에 넘어간 것입니다.
이 스마트 컨트랙트와 상호 작용하고 사용하려면 먼저 B가 자신의 돈을 추가해야 합니다. 일반적으로 이 금액은 그리 큰 금액이 아니기 때문에 B는 대수롭지 않게 생각할 수 있습니다. 하지만 여기에 사용된 첫 번째 허니팟 예시에서와 마찬가지로 공격자인 사람 A는 이 소액 송금을 노리고 있습니다.
B가 이 작은 보유량을 전송하면 계약 내에서 자동으로 잠기게 될 가능성이 높습니다. 이 시점에서는 스마트 콘트랙트를 만든 사람 A만이 자금을 이동할 수 있습니다. 이제 사람 B는 사기를 당한 셈이며, 허니팟의 희생양이 된 것입니다.
암호화폐 허니팟 사기를 피하는 방법
이미지 출처: 바이비트/ 플리커
암호화폐 허니팟 사기로부터 자신과 자금을 보호하는 가장 좋은 방법은 암호화폐 트레이더와 투자자로서 윤리적으로 행동하는 것입니다. 허니팟이 없는 것으로 판명되면 다른 선량한 트레이더의 돈을 가로채는 것이므로 보안이 취약한 암호화폐를 확보하고 싶은 유혹이 있을 수 있지만, 이는 절도 행위입니다.
스마트 컨트랙트 허니팟의 경우, 단순히 다른 사람의 실수를 이용해 합법적으로 수익을 창출한다고 생각할 수 있습니다. 하지만 다른 모든 분야와 마찬가지로 암호화폐 업계에서도 너무 좋아 보이는 것이 사실일 가능성이 높다는 점에 유의할 필요가 있습니다.
암호화폐 탐욕을 이용한 암호화폐 허니팟
오늘날 많은 금융 사기가 피해자의 돈에 대한 욕망에 의존하고 있으며, 암호화폐 허니팟도 마찬가지입니다. 이러한 사기는 이익을 얻기 위해 기꺼이 규칙을 어기거나 완전히 위반하는 사용자를 대상으로 합니다. 따라서, 사이버 범죄자가 여러분의 실수를 노리고 있을 수 있으므로 암호화폐 거래 시에는 항상 신중하게 행동하세요.