디파이(DeFi·탈중앙화 금융) 프로젝트 '프로젝트 0'가 도메인 하이재킹 공격으로 사용자 자산 손실 피해를 본 가운데, 이더리움 네트워크에서 유사한 '주소 오염' 공격이 급증하고 있어 투자자들의 주의가 요구된다.
13일(현지시간) 가상자산 전문매체 크립토폴리탄에 따르면 '프로젝트 0'의 창립자 맥브레넌 피트는 해커가 시스템에 침투해 웹사이트 방문자를 암호화폐 탈취 사이트로 유도했다고 밝혔다. 이 과정에서 최소 한 명의 사용자가 호기심에 새 사이트를 이용하다가 1000달러(약 144만원)의 손실을 본 것으로 확인됐다.
맥브레넌 피트는 확인된 모든 고객 손실에 대해 전액 환불을 약속했다. 이번 공격은 애플리케이션팀 소속 직원의 깃허브(GitHub) 계정이 탈취되면서 발생했으며, 해커들은 오후 9시45분부터 10시19분까지 약 40분간 웹사이트 트래픽을 피싱 사이트로 유도했다.
'프로젝트 0'는 사용자가 여러 디파이 플랫폼에 예치한 자산을 담보로 대출받을 수 있는 프라임 브로커리지 서비스다. 디파이 정보 사이트 디파이라마에 따르면 이 프로젝트의 총예치자산(TVL)은 현재 약 9000만달러에 달하며, 한때 1억1000만달러를 넘어서기도 했다. 멀티코인, 판테라, 솔라나 벤처스 등으로부터 투자를 유치한 바 있다.
이번 사건은 이더리움 네트워크의 '후사카(Fusaka)' 업그레이드 이후 급증하고 있는 신종 공격 패턴의 연장선에 있다는 분석이 나온다. '주소 오염(Address Poisoning)'으로 불리는 이 공격은 해커가 목표 사용자의 지갑에 소액의 암호화폐를 보내 거래 기록을 남기는 방식이다.
이때 해커는 사용자가 자주 거래하는 지갑 주소와 매우 유사하게 조작된 주소를 사용한다. 사용자가 무심코 자신의 거래 내역에서 해커의 주소를 복사해 거액을 전송하도록 유도하는 것이 공격의 핵심이다.
이더리움 블록체인 탐색기 이더스캔은 보고서를 통해 '후사카' 업그레이드 이후 '주소 오염' 공격이 확산하고 있다고 경고했다. 2025년 12월 업그레이드 이후 90일간 이더리움 네트워크의 거래 활동은 약 30% 증가했으며, 스테이블코인 USDT를 이용한 소액 이체 공격은 612% 급증한 것으로 나타났다.
실제로 지난해 12월 한 투자자는 이 수법으로 5000만달러(약 720억원)를 탈취당했다. 피해자는 정확한 주소로 송금하기 위해 50달러를 먼저 보내는 테스트 거래까지 마쳤지만, 테스트 거래와 본거래 사이의 짧은 시간에 해커가 보낸 '주소 오염' 거래 기록에 속아 거액을 잘못 송금했다.
이더스캔에 따르면 '주소 오염' 공격의 성공률은 1만건 중 1건에 불과하지만, 공격 비용이 시도당 1달러 미만으로 매우 저렴하다. 지금까지 약 130만명의 사용자를 대상으로 1700만건의 공격이 시도됐으며, 확인된 피해액만 7900만달러에 달해 가상자산 투자자들의 각별한 주의가 필요하다.