암호화폐 자금을 빼돌린 자의 실체: 6개월 만에 19억 3천만 달러가 사라진 사연
드레이너는 시드 문구를 훔치지 않습니다. 대신 여러분의 서명. 단 한 번의 클릭 — 잘못된 “청구”, “확인” 또는 “지갑 연결” 버튼을 한 번만 클릭해도 — 미리 구축된 일련의 스마트 계약이 트랙패드에서 손가락을 떼기도 전에 보유 자산을 모두 훅 빼앗아 갑니다.
‘드레이너’가 실제로 무엇인지
A 암호화폐 탈취자 는 Web3 전용으로 개발된 피싱 도구입니다. 이 도구는 사용자의 비밀번호를 탈취하거나 개인 키를 빼내려고 하지 않습니다. 대신 사용자로 하여금 거래에 서명하다 — 보통은 approve(), setApprovalForAll(), 또는 오프체인 Permit 메시지 — 이는 공격자에게 귀하의 자산을 마음대로 이동할 수 있는 권한을 부여하는 것입니다. 지갑은 여전히 “귀하의 것”이지만, 자금은 그렇지 않습니다.
이 모델은 다음을 남용하기 때문에 놀라울 정도로 효율적입니다. 정당한 블록체인 기본 요소. 사용자의 개인 키는 절대 유출되지 않습니다. 사용자의 기기에는 악성코드가 없습니다. 단 하나의 거래에 단 하나의 서명만이 존재하며, 이는 온체인 분석가들이 확인할 수 있고, 그 효과는 그 어떤 기관도 되돌릴 수 없습니다.
에 따르면 체인애널리시스, ‘드레이너(drainer)’는 합법적인 dApp인 척 하는 “웹3 생태계를 위해 설계된 피싱 도구”입니다. Group-IB, 체크포인트 리서치, 그리고 ScamSniffer 바로 이 메커니즘을 바탕으로 만들어진 수천 건의 캠페인을 분류해 두었습니다.
6단계 킬 체인
‘인페르노’, ‘핑크’, ‘엔젤’, ‘MS’, ‘CLINKSINK’, ‘러깅’을 비롯해 수십 가지의 이름 없는 포크에 이르기까지, 모든 드레이너 공격은 동일한 6단계 과정을 따릅니다. 여기서 진정한 기술은 이 모든 과정을 지갑 연결부터 거래 확인까지의 단 몇 초 안에 압축해내는 데 있습니다.
1. 미끼
가짜 에어드랍, 구글/X의 유료 광고, 해킹당한 인증 계정 (이 SEC 및 Mandiant 계정 (둘 다 ‘드레이너 메가폰’으로 악용된 바 있음), 디스코드 인증 봇, 가짜 NFT 발행, “독점” 베타 초대장, IP 라이선싱 사기 등이 있습니다. 어떤 형태로 위장하든, 목표는 사용자를 공격자가 통제하는 도메인으로 유인하는 것입니다.
2. 연결
“지갑 연결”을 클릭했습니다. [REDACTED], Rabby, WalletConnect, [REDACTED] — 모두 문제없고, 예상했던 대로입니다. 이제 드레이너 자바스크립트는 다음을 통해 지갑 객체에 대한 읽기 권한을 갖게 되었습니다. window.ethereum (또는 이에 상응하는 것)을 장착하고 사격을 시작한다 eth_call 백그라운드에서 처리되는 요청.
3. 정찰
이 드레이너는 사용자의 보유 자산(기본 잔고, ERC-20 토큰, NFT 컬렉션, 여러 체인에 걸친 DeFi 포지션)을 일일이 나열합니다. 또한 CoinGecko 스타일의 가격 오라클을 활용해 모든 자산을 USD 기준으로 순위를 매깁니다. 다음과 같은 프리미엄 키트도 제공됩니다. 인페르노 드레이너 설정을 저장하다 온체인 (BNB Chain) 따라서 JS 페이로드를 다시 배포하지 않고도 업데이트할 수 있습니다.
4. 서명
dApp은 사용자에게 “소유권 확인”, “에어드롭 수령”, “수집 승인” 또는 “서명 후 입장”을 요청합니다. 지갑 UI에는 무해해 보이는 메시지가 표시됩니다. 하지만 실제로는 피해를 극대화하기 위해 calldata가 신중하게 선택된 것입니다. 자세한 내용은 다음 섹션을 참조하십시오.
5. 물 빼기
서명이 완료되는 순간, 공격자가 전화를 걸어옵니다 transferFrom() 별도의 지갑에서 (운영상 분리 — 승인을 받은 “주소”는 전리품을 보유하는 “수취인”과 절대 동일하지 않음). 프리미엄 키트는 네이티브 ETH, ERC-20, ERC-721/1155 NFT 및 Permit2 전송을 단일 multicall. 서명부터 자금 이체까지의 순 지연 시간: 초.
6. 세탁
자금은 SushiSwap/Uniswap을 경유한 뒤(대부분의 보안 도구에서는 합법적인 DEX를 의도적으로 허용 목록에 포함시킵니다), 브리지를 통해 다른 체인으로 이동한 다음, Tornado Cash 포크를 거쳐 모네로로 흘러갑니다. 이 $284M [REDACTED] incident 몇 시간 만에 XMR로 들어갔다.
귀하의 지갑 (서명 전)
공격자 계약서 (서명 1회 후)
서명된 것 하나 Permit2 이 메시지로 전체 일괄 처리를 승인할 수 있습니다. 두 번째 확인 절차는 없으며, 복구도 불가능합니다.
네 가지 치명적인 페이로드
야생에 있는 모든 배수 장치는 이 네 가지 기본 요소의 조합을 사용합니다. 각각은 정당한 ERC 표준 또는 RPC 방식. “패치” 같은 것은 없으며, 오직 인식만이 있을 뿐입니다.
1. approve(spender, type(uint256).max) — ERC-20 무제한 사용
가장 일반적인 방법입니다. 토큰 계약을 가능한 최대 금액으로 승인하고 (2^256 − 1)를 본인이 통제하지 않는 지출자 주소로 전송합니다. 그러면 지출자, 즉 공격자는 transferFrom(you, attacker, balance) 원하는 때에. 이 승인은 다음을 통해 명시적으로 철회하지 않는 한 영구적으로 유지됩니다. Revoke.cash 또는 토큰 계약서를 직접 참조하십시오.
2. setApprovalForAll(operator, true) — 전체 NFT 컬렉션
ERC-20 승인보다 더 나쁜데, 그 이유는 바로 컬렉션별 ‘전부 아니면 전무’ 방식. 서명 한 번만으로도 해당 계약에 포함된 모든 NFT를 공격자가 자유롭게 이동시킬 수 있게 됩니다. 2022년에 세스 그린이 ‘Bored Ape’ 4개를 잃게 된 것도, 2022년 12월 가짜 ‘Forte Pictures’ 라이선스 사기 사건으로 한 피해자가 BAYC 14개를 잃게 된 것도 바로 이런 방식 때문이었습니다.
3. EIP-2612 / Permit2 오프체인 서명
이것은 2024–2026년 선호 무기. 온체인 방식 대신 approve() (이는 가스 비용이 들며 지갑 잔고에 명확히 반영됩니다), 공격자는 다음을 통해 오프체인 EIP-712 서명을 수집합니다. eth_signTypedData_v4. 거래는 없습니다. 사용자 측에서 가스비를 지불할 필요도 없습니다. 단지 “이 메시지에 서명하세요”라고 적힌 팝업만 표시될 뿐입니다. 입력형 데이터 서명을 위한 지갑 UI는 읽기 어렵기로 악명이 높으며, 유니스왑의 허가2 하나의 서명을 다음 항목에 대한 승인서로 전환합니다. 한 번에 여러 개의 토큰.
참조 Blockaid의 Permit2 사례 연구 전문 겉보기에는 평범한 스왑처럼 보이지만, 실제로는 ETH 유출을 숨기는 SushiSwap 라우팅 기법을 포함한 실제 공격 실행 방법을 알아보세요.
4. 시드 문구를 직접 노린 사회공학 공격
엄밀한 정의에 따르면 엄밀히 말해 “드레이너”는 아니지만, 2026년에는 수익률이 가장 높은 변종입니다. 이 2026년 1월 트레저 사건 어떤 암호화도 우회하지 않았습니다. 한 “지원 담당자”가 피해자에게 전화를 걸어 가짜 “인증” 절차를 안내한 뒤, 복구 시드를 말하도록 유도했습니다. 결과: 1,459 BTC + 205만 LTC = 2억 8,400만 달러, 해당 월 전체 암호화폐 도난 피해액의 71%에 해당하는 금액이, 관련 뉴스가 보도되기 전에 모네로로 환전되었다.
하드웨어 지갑은 원격 키 추출을 방지합니다. 하지만 피싱 사이트에 시드를 직접 입력하는 것을 막아주지는 않습니다. 다음을 사용하세요. BIP-39 비밀번호.
‘서비스형 배수(Drainer-as-a-Service)’ 경제
실제로 여러분의 돈을 훔치는 배우들 중 누구도 코드를 작성하지 않습니다. 그들은 임대료 DaaS(Drainer-as-a-Service)는 브랜딩, 가격대, 지원 채널, 버전 출시 등이 갖춰진 완전히 상품화된 B2B 시장이며, 운영사 수수료에 대한 명백한 하락 압력이 작용하고 있습니다.
제휴사 가입 비용: a $5,000–$10,000 deposit, 때로는 이를 위한 턴키 키트도 제공됩니다. 제휴사는 탈취한 자금의 75~95%를 챙기고, JS 페이로드, 스마트 계약, 호스팅, 자금 세탁 Pipeline, 심지어 연중무휴 [REDACTED] 지원에 이르기까지 모든 기술적 문제를 운영자에게 외주화합니다. SentinelOne 그리고 IMC 2025 학술 연구 공급망을 상세히 추적합니다.
바로 이 때문에 일회성 ‘두더지 잡기’식 제거만으로는 충분하지 않은 것이며, 또한 왜 악용을 묵인하는 등록기관 이것이 바로 실제 병목 현상입니다. THE ENABLERS REGISTRY는 이를 기록하고 보고했습니다. 16,000개 이상의 ‘인페르노’ 관련 도메인 혼자.
계약서에 서명하기 전에 주의해야 할 점
서명 대화 상자는 최후의 방어선입니다. 다음 중 하나라도 해당된다면, 취소 — 이를 필요로 하는 정당한 흐름은 존재하지 않습니다:
- 귀하는 스폰서 검색 결과, DM 또는 이메일 링크를 통해 이 페이지에 접속하셨습니다. 모든 주요 검색 엔진에서 암호화폐 관련 스폰서 게시물의 신뢰성이 훼손되었습니다. 항상 즐겨찾기를 통해 접속하세요.
- 이 서명은 “무료” / “가스비 없음” / “오프체인”입니다. 이것은 Permit2 방식의 오프체인 서명입니다. 타입이 지정된 데이터 필드를 읽어보세요. 만약
spender낯설다면, 그냥 떠나세요. - 금액은
uint256.max,0xfff…fff, 또는 “무제한”. 정당한 업무 흐름 중 무제한 승인이 필요한 경우는 거의 없습니다. - 이 함수는
setApprovalForAll알 수 없는 컬렉션에서. 아니면 [REDACTED] / Blur / LooksRare가 아닌 다른 “운영사”의 경우. - 이 사이트는 연결이 완료되자마자 체인을 전환하라고 요청합니다. 다중 체인 추출 루프가 진행 중입니다.
- 해당 대상 계약은 7일도 채 되지 않아 배포되었습니다. 인페르노급 드레이너는 24시간마다 중간 계약을 교체합니다.
- 서두르는 기분이 듭니다. 카운트다운 타이머, “4분 32초 후 마감”, “남은 자리가 12개뿐” — 모든 드레이너 템플릿에는 이런 요소들이 기본으로 포함되어 있습니다.
- "고객 지원팀"에서 먼저 연락을 드렸습니다. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 — 이 중 어느 곳도 여러분에게 DM을 보내지 않습니다. 절대요.
실제로 자신을 방어하는 방법
- 지갑 분리. 콜드 월렛(하드웨어, 순자산의 대부분) → 운영용 핫 월렛(1~2주간의 활동) → 버너 월렛(새로운 거래용, 잔액이 거의 없는 지갑). 절대로 콜드 월렛을 새로 출시된 dApp에 연결하지 마십시오.
- 하드웨어 지갑 + BIP-39 비밀번호. 이 패스프레이즈는 “2억 8,400만 달러 규모의 트레저([REDACTED]) 사건”과 “공격자가 시드를 확보했지만 아무것도 찾지 못한 경우”를 가르는 결정적인 요소입니다. 반드시 외워 두세요. 디지털 방식으로 저장하지 마세요.
- 거래 시뮬레이터.블록에이드, 월렛 가드, 포켓 유니버스, 파이어 — 그중 하나를 설치하세요. 가입하기 전에 실제 잔액 변동폭을 보여줍니다.
- 모든 dApp을 즐겨찾기에 추가하세요. 절대 구글에 “유니스왑”이라고 검색하지 마세요. 소셜 미디어에 올라온 암호화폐 관련 링크는 절대 클릭하지 마세요. 스폰서 검색 결과는 여러분이 생각하는 것보다 훨씬 더 자주 잘못된 정보를 보여줍니다.
- 매주 승인 내역을 점검하십시오.Revoke.cash 모든 체인에 걸쳐 활성화된 모든 허용 한도를 보여줍니다. 실제로 사용하지 않는 항목은 모두 취소하세요.
- 익숙하지 않은 사이트는 먼저 버너를 통해 접속해 보세요. 지갑을 비워두고, 무엇이 필요한지 살펴본 다음, 진짜 지갑을 가질 가치가 있는지 결정하세요.
- 지갑 프로필에서 브라우저 확장 프로그램을 비활성화하세요. Web3 전용의 별도 브라우저 프로필(또는 Brave Tor 창). 확장 프로그램은 문서화된 리소스 소모 요인입니다 — 참조: [REDACTED]의 npm 공급망 분석.
- 도메인 평판을 확인하세요. URL을 다음 위치에 붙여넣으세요 THE ENABLERS REGISTRY 도메인 보고서, urlscan, 또는 저희 [REDACTED] 봇. 이미 본 것이라면 표시가 되어 있습니다.
이미 서명하셨다면: 앞으로 60초 이내에 다음 조치를 취해 주세요
- 그만해. “수리”나 “복구”와 같은 안내 메시지를 포함해 그 어떤 서류에도 서명하지 마세요. 이는 여러분의 당황한 심리를 악용하는 2차 사기 수법입니다.
- 아직 물이 빠지지 않은 것은 모두 치워주세요. 완전히 새로운 지갑(가급적 하드웨어 지갑)을 생성하고, 남아 있는 자산을 그 지갑으로 이체하십시오. 가치가 가장 높은 자산부터 우선적으로 처리하십시오. 모든 해킹당한 키에서 파생된 주소는 영구적으로 소각된 것으로 간주됩니다.
- 승인 취소 해킹당한 지갑을 통해 Revoke.cash — 이더리움뿐만 아니라 모든 블록체인에 해당됩니다. 이는 공격자의 자동화 기술과의 경쟁입니다.
- 모든 것을 기록해 두세요. Tx 해시, 공격자 주소, 타임스탬프, 피싱 사이트의 정확한 URL. 탭을 닫기 전의 스크린샷.
- 보고서. 다음과 함께 제출 FBI IC3, 관할 지역 사이버범죄 전담반, 피해가 발생한 프로토콜(Uniswap, [REDACTED] 등 — 때때로 파생 상품을 동결하기도 함)에 연락하고, 피싱 URL을 다음 주소로 제출하십시오. @EnablersRegistry 그래서 우리는 다음 희생자를 위한 인프라를 무력화시킵니다.
- 시드 문구가 유출된 경우: 지갑은 이미 사라졌습니다. 더 이상 지갑을 “안전하게 지키려고” 애쓰지 마세요. 이제 그 일을 뒤로 하고, 새로운 시작을 하며, 이번 일을 교훈 삼으세요.
"드레이너는 암호학을 무력화시키는 것이 아닙니다. 이들은 인간이 지갑이 요구하는 속도로 콜데이터를 읽을 수 있다는 가정을 무너뜨릴 뿐입니다. 서명 하나만 처리 속도가 느려져도, 도난을 일삼는 산업 전체가 무너집니다."
출처 및 추가 참고 자료
- Chainalysis — 암호화폐 유출자: 웹3의 위협
- Group-IB — 인페르노 드레이너 조사
- 체크포인트 리서치 — 인페르노 드레이너 리로디드
- ScamSniffer — 핑크 드레이너 2024 사건들
- Blockaid — 암호화폐 강도 사건의 단계별 분석
- BleepingComputer — CLINKSINK를 통한 Mandiant X 탈취
- 사이버 데일리 — 맨디언트 해킹 사건 = 90만 달러 규모의 캠페인
- SentinelOne — ‘드레이너-어-서비스(Drainer-as-a-Service)’의 부상
- 구루쿨 — 지갑 승인 악용 → 악성코드를 이용한 Web3 공격
- [REDACTED] — Web3 패키지를 겨냥한 npm 공급망 공격
- AInvest — 2026년 1월 트레저([REDACTED]) 2억 8,400만 달러 분석
- IMC 2025 학술 — DaaS 경제 규모 측정 연구
- THE ENABLERS REGISTRY — 전 세계적인 사기 행각을 조장하는 등록기관들
- THE ENABLERS REGISTRY — 피싱 공격 제거 과정 분석
- THE ENABLERS REGISTRY — 실시간 제거 목록 (13만 개 이상의 활성 위협)
THE ENABLERS REGISTRY가 드레이너에 대해 취하는 조치
저희는 비영리 운영자 집단입니다. SEO, 유료 광고, 디스코드, X, [REDACTED], 그리고 등록기관 허니팟 등 다양한 채널을 통해 24시간 내내 드레이너 인프라를 추적한 뒤, 이를 제거합니다.
- 785K+ 2019년부터 추적해 온 피싱 및 사기 도메인.
- 89K+ 등록 기관 및 호스팅 업체에 접수된 악용 신고.
- 50+ 보안 소프트웨어 공급업체와 위협 정보 플랫폼들이 당사의 피드를 활용하고 있습니다.
- <0.5% 10만 건 이상의 검증된 보고서를 대상으로 한 위양성률.
- 무료, 공개, 변경 불가 증거 아카이브 GitHub + HuggingFace.
드레이너를 발견하셨나요? URL을 다음 주소로 보내주세요. @EnablersRegistry. 커피가 식기도 전에 신고를 접수해 드리겠습니다.
