해커 자금세탁 시도 중 피싱 당해…2,930 ETH 또 날아갔다

- zkLend 피싱으로 2,930 ETH 도난 - TornadoCash 모방 사이트로 인한 보안 위협 증가 [Unblock Media] zkLend에서 도난당한 2,930 ETH가 TornadoCash를 모방한 피싱 웹사이트로 유출된 사실이 드러나면서, 블록체인 보안에 대한 우려가 커지고 있다. 이번 사건은 단순한 기술적 해킹이 아닌, 사용자의 심리를 교묘히 노린 피싱 수법이라는 점에서 더욱 충격을 주고 있다. zkLend에서 유출된 총 2,930 ETH(한화 약 수백억 원 상당)가 피싱 웹사이트로 입금되었으며, 해당 사이트는 유명 익명 송금 플랫폼인 TornadoCash를 모방한 가짜 사이트였던 것으로 확인됐다. 이 웹사이트의 운영자들은 입금 직후 ETH를 탈취해 흔적을 감췄다. 해당 피싱 웹사이트는 TornadoCash의 사용자 인터페이스(UI)를 정밀하게 복제해 사용자가 공식 사이트로 착각하도록 유도했다. 도메인은 철자 하나만 다른 유사 주소를 사용했고, 구글 검색 광고를 통해 상단에 노출되어 사용자가 자연스럽게 클릭하게끔 설계됐다. 사이트에 접속한 사용자가 지갑을 연결하면, 정상적인 트랜잭션처럼 위장된 악성 스마트 컨트랙트에 서명을 유도했다. 이 과정을 통해 ETH는 곧바로 탈취되었으며, 사용자는 실제 전송 요청이 아닌 '권한 위임'이나 '토큰 이동 허용'과 같은 공격성 서명에 속은 것이다. 한 피해자는 “토네이도캐시를 검색해서 평소처럼 사용하려 했을 뿐인데, 클릭 한 번에 모든 ETH를 잃었다”고 토로했다. TornadoCash는 이더리움 트랜잭션을 혼합하여 거래 추적을 어렵게 만드는 익명성 도구다. 그러나 이번 사건에서 공격자는 이 ‘추적 불가능성’이라는 특징을 오히려 사기 수단으로 이용했다. 사용자들은 기존에 익숙한 UI와 서비스 방식으로 인해 의심 없이 트랜잭션을 진행했고, 자산을 탈취당했다. 이번 사건은 블록체인 생태계 전반의 신뢰도에 심각한 타격을 주고 있다. 중앙화된 감시 체계가 없는 Web3 환경에서 사용자 보호는 더욱 어려워지며, 개인의 책임에만 의존하는 현재의 보안 구조에 한계가 드러나고 있다. 피해 예방의 열쇠는 결국 사용자의 주의력과 시스템적 보완 간의 균형에 있다. 실질적인 방지책이 구축되지 않는다면, 블록체인 생태계 전반의 신뢰 붕괴로 이어질 수 있다. 안전한 Web3 환경을 위해, 보안은 선택이 아닌 필수임을 이번 사건은 다시 한 번 증명하고 있다.