해커들이 코인마켓캡과 코인텔레그래프에 악성 광고를 삽입해, 지갑 연결을 가장한 가짜 팝업창을 통해 암호화폐를 탈취했다.
작성자 Jiwoo Jeong
작성일
3 mins 소요
암호화폐 사기 수법이 진화하고 있다. 과거에는 암호화폐 거래소나 트레이딩 플랫폼이 주요 공격 대상이었지만, 최근에는 코인마켓캡(CoinMarketCap)과 코인텔레그래프(Cointelegraph)와 같은 정보 제공 웹사이트를 직접 노리는 사례가 등장하고 있다. 이들 사이트가 매일 수많은 방문자가 드나드는 인기 사이트인 만큼, 해커들이 이를 새로운 공격 경로로 삼고 있는 것이다.
바이낸스 창립자인 창펑 자오(Changpeng Zhao, CZ) 또한 이러한 변화를 지적하며, 사용자들에게 지갑 연결 요청을 승인할 때 각별히 경계하고 신중을 기할 것을 촉구했다. 해커들이 사용자 지갑을 탈취하는 방식이 점점 교묘해지고 있어, 단순한 클릭 한 번이 치명적인 피해로 이어질 수 있기 때문이다.
이번 보안 침해 사건은 지난주 이란 암호화폐 거래소 노비텍스(Nobitex)에서 발생한 8,200만 달러 규모의 해킹 사건 직후에 발생하여 더욱 우려를 낳고 있다.
2 days ago CMC, now CT. Hackers are targeting information web sites now. Be careful when authorizing wallet connect.
For CMC, based on initial on-chain analysis, there are 39 victims with a combined loss of $18,570. @CoinMarketCap will cover all losses. https://t.co/egkekyjAYQ
— CZ 🔶 BNB (@cz_binance) June 23, 2025
6월 20일, 암호화폐 데이터 제공 플랫폼인 코인마켓캡이 대규모 보안 침해를 당했다. 이번 사건은 사이트의 프론트엔드(front-end, 사용자에게 보이는 웹 인터페이스) 영역에서 발생한 공격으로, 이용자들이 사이트에 접속했을 때 가짜 지갑 연결 요청 창이 메인 화면에 표시되는 문제가 발생했다.
문제의 원인은 홈페이지에 삽입된 두들 이미지(doodle image)에 숨겨진 자바스크립트 코드였다. 이 이미지에 포함된 비정상적인 API 호출이 악성 코드를 실행시켜, 일부 이용자에게 예상치 못한 팝업이 발생하도록 유도한 것이다. 코인마켓캡 측은 문제를 즉시 인지하고 빠르게 대응에 나섰다. 공식 입장문에서는 다음과 같이 밝혔다.
“당사 보안팀은 홈페이지에 표시된 두들 이미지와 관련된 취약점을 발견했습니다. 이 두들 이미지는 API 호출을 통해 악성 코드를 실행하는 링크를 포함되어 있었고, 이로 인해 일부 사용자가 홈페이지 방문 시 예상치 못한 팝업이 나타났습니다.”
On June 20, 2025, our security team identified a vulnerability related to a doodle image displayed on our homepage. This doodle image contained a link that triggered malicious code through an API call, resulting in an unexpected pop-up for some users when visited our homepage.…
— CoinMarketCap (@CoinMarketCap) June 21, 2025
이와 유사한 보안 침해 사건이 6월 22일 일요일에도 발생했다. 유명 암호화폐 뉴스 매체인 코인텔레그래프 역시 프론트엔드 보안 침해를 당했다. 해당 사고로 인해 사용자들은 암호화폐 지갑 연결을 요청하는 악성 팝업에 노출되었다.
🚨 ALERT: We are aware of a fraudulent pop-up falsely claiming to offer “CoinTelegraph ICO Airdrops” or “CTG tokens” that are appearing on our site.
DO NOT:
– Click on these pop-ups
– Connect your wallets
– Enter any personal informationWe are actively working on a fix.
— Cointelegraph (@Cointelegraph) June 23, 2025
이날 사기범들은 가짜 코인텔레그래프 토큰(CTG)과 위조된 초기 코인 공개(Initial Coin Offering, ICO)를 홍보하는 사기성 캠페인을 시작했다. ICO는 새로운 암호화폐 프로젝트가 자금을 모으기 위해 토큰을 판매하는 행위를 의미한다. 이 과정에서 사용자들은 마치 코인텔레그래프에서 공식적으로 진행하는 것처럼 보이는 메시지를 통해 자신의 암호화폐 지갑을 연결하도록 유도당했다.
이번 보안 위협은 블록체인 보안 전문 플랫폼 스캠 스니퍼(Scam Sniffer)에 의해 처음으로 포착되었다. 스캠 스니퍼는 공격자들이 사용자들을 속여 지갑 접근 권한을 부여하도록 유도했음을 밝혀냈다. 일단 지갑이 연결되면, 공격자들이 지갑 내 자산을 즉시 탈취할 수 있는 구조였다.
🚨 CoinTelegraph's frontend has been compromised. Please be cautious. pic.twitter.com/sH025Zek8p
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) June 23, 2025
스캠 스니퍼는 이 공격이 해당 사이트의 광고 시스템을 통해 삽입된 악성 자바스크립트 페이로드(payload)에서 비롯된 것임을 확인했다. 페이로드는 악성 코드의 실제 기능을 수행하는 부분을 의미한다.
해커들은 애드버틀러(AdButler)라는 합법적인 광고 플랫폼을 휸내 낸 유사 도메인을 새로 등록하고, 이를 통해 광고 배너에 악성 스크립트를 숨겨 넣었다. 광고가 보이는 페이지만 방문해도, 악성 팝업이 뜨는 구조였다.
각 사이트에 노출된 메시지나 방식은 약간씩 달랐지만, 공통적으로 정교한 팝업창을 통해 사용자를 속이고 지갑 연결을 유도하는 방식이었다. 팝업이 정상적인 지갑 연동 요청처럼 보이도록 만들어졌기 때문에, 보안에 익숙하지 않은 사용자는 쉽게 속을 수 있는 상황이었다.
전문가들은 이번 사건이 단발성 해킹이 아니라, 대형 암호화폐 웹사이트를 겨냥한 광고 기반 자바스크립트 공격이 조직적으로 실행되고 있는 정황이라고 보고 있다. 특히 광고를 통한 감염 방식은 일반 사용자 입장에서 확인하거나 차단하기 어려워, 보안 위협의 강도가 더욱 크다.
본 작가는 Caltech에서 블록체인 기술과 분산 시스템을 주제로 석사 과정을 마쳤습니다. 지난 6년간 글로벌 핀테크 스타트업 및 Web3 프로젝트에서 스마트 컨트랙트 개발, 체인 간 호환성, 그리고 L2 확장성 솔루션 분야에 몸담아 왔습니다. 현재는 암호화폐와 탈중앙화 기술의 실제 활용 가능성과 산업적 영향에 대한 분석 콘텐츠를 전문적으로 작성하고 있으며, 기술적 깊이와 시장 흐름을 함께 다룰 수 있는 드문 전문 필진으로 활동 중입니다. 기술 문서뿐만 아니라 정책 변화, 온체인 데이터 분석, 토크노믹스 설계 관련 글을 통해 독자들이 실질적인 투자 판단과 기술 이해에 도움을 받을 수 있도록 균형 잡힌 정보를 제공합니다.