창펑 자오, 5,000만 달러 USDT 탈취 사건 대응 촉구… “지갑 차원에서 주소 포이즈닝 차단해야”

Updated on 12월 26, 2025 at 11:11 오후 UTC by Jiwoo Jeong · 3 분 read

주소 포이즈닝(address poisoning) 수법으로 5,000만 달러(약 722억 5,500만 원) 규모의 USDT 탈취 사건이 발생한 이후, 창펑 자오는 지갑들이 스푸핑된 주소를 자동 차단하고 더스트 스팸을 숨기며, 송금 전 경고를 강화해야 한다고 촉구했다.

바이낸스(Binance) 공동 창업자인 창펑 자오(Changpeng Zhao, CZ)는 암호화폐 지갑이 주소 포이즈닝(address-poisoning) 사기를 자동으로 탐지하고 차단해야 한다고 촉구했다. 그는 지난주 한 투자자가 위조 주소로 5,000만 달러(약 722억 5,500만 원) 상당의 USDT를 잘못 송금한 사건을 계기로, 업계 전반의 블랙리스트 도입과 UI 필터링 강화를 제안했다.

자오는 ‘포이즌 스캠을 근절하자(Let’s Eradicate the Poison Scams)’라는 제목의 게시글에서, 지갑이 이미 알려진 ‘포이즌 주소’를 조회해 사용자에게 경고하거나 차단하고, 거래 내역을 어지럽히는 무(零)금액 스팸 트랜잭션을 숨겨야 한다고 밝혔다. 또한 바이낸스 월렛은 이미 이러한 점검 기능을 수행하고 있다고 덧붙였다.

주소 포이즈닝(Address Poisoning) 사기의 실체

‘포이즌 지갑(poison wallet)’ 또는 주소 포이즈닝 사기는 공격자가 자주 거래하는 상대의 주소와 매우 유사한 가짜 주소에서 극소량의 암호화폐(일명 더스트, dust)를 피해자 지갑으로 전송하는 수법이다. 이후 사용자가 거래 기록을 보고 주소를 복사·붙여넣기 할 때, 실제 주소가 아닌 가짜 주소로 송금하도록 유도하는 것이 목적이다. 이 수법은 사용자의 습관을 악용하며, 가짜 주소가 실제 주소와 한 글자만 다른 경우가 많아 육안으로 구분하기 어렵다는 점을 이용한다.

이번 움직임은 12월 19일 발생한 대규모 피해 사건을 계기로 다시 주목받고 있다. 당시 한 고래 투자자가 거래 내역에서 실제 주소와 유사한 가짜 주소를 복사해 4,999만 9,950 USDT를 공격자에게 송금하는 사고가 발생했다. 온체인 기록에 따르면 자금은 피해자 지갑에서 빠져나가 피싱으로 표시된 주소로 유입됐다. 보안 분석 자료에 따르면 공격자는 해당 USDT를 신속히 다른 자산으로 전환한 뒤 여러 지갑으로 분산했으며, 일부 자금은 토네이도 캐시(Tornado Cash)를 거쳐 이동 경로를 은폐한 것으로 나타났다.

How to lose $50M in under an hour. This is one of the largest on-chain scam losses we’ve seen recently.

A single victim lost $50M in $USDT to an address poisoning scam. The funds had arrived less than 1h earlier.

The user first sent a small test tx to the correct address. Mins… pic.twitter.com/Umsr8oTcXC

— Web3 Antivirus (@web3_antivirus) December 19, 2025

코인텔레그래프(Cointelegraph)의 정리에 따르면, 올해 들어 유사한 사례가 반복적으로 발생하고 있으며, 바이낸스 보안팀은 자체 탐지 알고리즘을 통해 네트워크 전반에서 약 1,500만 개의 주소 포이즈닝(오염) 주소를 식별·목록화한 것으로 전해졌다.

이번 5,000만 달러(약 722억 5,500만 원) 규모 사건은 전반적인 피싱형 피해가 늘어나는 흐름 속에서 발생했다. 보안 업체 스캠스니퍼(ScamSniffer)에 따르면 11월 한 달에만 6,344명의 피해자에게서 777만 달러(약 112억 2,299만 원)의 손실이 집계됐다. 또한 서틱(CertiK)은 2025년 암호화폐 관련 손실액을 33억 달러(약 4조 7,682억 원)로 추산했으며, 이 가운데 피싱과 지갑 탈취가 상당 부분을 차지했다고 밝혔다.

The 2025 Skynet Hack3d Report is here.

$3.35B lost. 700+ incidents. New attack vectors. Key trends.

Get the most detailed breakdown of Web3 security in 2025, from exploits to insights.

Read the full report👇https://t.co/EfWupS604N

— CertiK (@CertiK) December 23, 2025

창펑 자오가 지갑에 요구한 조치

블랙리스트 조회: 송금 전 수신 주소를 업계가 공유하는 실시간 주소 포이즈닝 주소 목록과 대조해, 문제가 있을 경우 경고를 표시하거나 전송을 차단할 것.
스팸·더스트 필터링: 거래 내역을 오염시키는 소액 더스트 전송을 화면에서 숨겨 사용자가 실수로 해당 주소를 복사하지 않도록 할 것.
명확한 경고 표시: 거래 기록에서 주소를 복사할 때, 또는 주소의 앞·뒤 일부 문자가 알려진 스푸핑(spoofing, 신뢰할 수 있는 대상인 것처럼 위장해 속이는 수법) 패턴과 일치할 경우 기본적으로 강력한 보안 경고를 띄울 것.

왜 중요한가

주소 포이즈닝은 기술적 취약점이 아니라 사용자의 습관을 노린 공격인 만큼, 지갑 단에서의 대응은 이러한 인적 요인 취약점을 보완하는 소프트웨어적 해법에 해당한다. 블랙리스트 조회와 UI 개선이 업계 전반에 도입될 경우, 베이스 레이어 프로토콜을 변경하지 않고도 암호화폐 시장에서 가장 흔하면서 피해 규모가 큰 사기 수법 중 하나를 효과적으로 무력화할 수 있다는 평가다.

면책 조항: 코인스피커는 공정하고 투명한 보도를 제공하기 위해 노력합니다. 이 기사는 정확하고 시의적절한 정보를 제공하는 것을 목표로 하며, 재정 또는 투자 조언으로 간주되어서는 안 됩니다. 암호화폐 시장은 매우 빠르게 변동할 수 있으므로, 이 콘텐츠를 기반으로 어떠한 결정을 내리기 전에 반드시 별도의 조사를 수행하시기 바라며, 필요 시 전문가와 상담할 것을 권장합니다.