Google에서 Uniswap을 검색하는 크립토 사용자들이 다시 한 번 익숙한 함정에 빠지고 있다. 최근 Uniswap 피싱 Google 광고 사례에서, 가짜 스폰서 링크가 사용자를 실제처럼 보이는 클론 사이트로 유도해, 사기꾼들이 최소 40만 달러를 훔치는 데 도움을 준 것으로 전해진다.
이번 사례를 두드러지게 만드는 점은 설정이 얼마나 평범해 보이는가 하는 것이다. 사용자가 주요 DeFi 브랜드를 검색하고, 공식 링크 위에 표시된 유료 결과를 보고 클릭한 뒤, 지갑을 연결하고 트랜잭션을 승인한다. 잠시 후 자산은 사라진다.
이 패턴은 크립토 전반에서 놀라울 정도로 흔해졌다. 한편 보안 연구자들은 이번 Uniswap 테마 캠페인이 검색 결과 전반에 퍼지고 있는 더 광범위한 가짜 크립토 광고 및 Google 검색 피싱 사이트 물결의 일부라고 말한다.
Summary
Google의 가짜 Uniswap 광고로 최소 40만 달러가 유출된 것으로 전해져
보안 관찰자들이 인용한 온체인 리포팅에 따르면, 가짜 Uniswap 캠페인과 연관된 보고된 손실은 최소 40만 달러에 이른다.
온체인 분석가 b-block은 이 작전을 146 ETH를 보유한 두 개의 지갑 주소와 연결했다. 기사에 따르면, Etherscan 데이터 기준으로 이 지갑들은 당시 합쳐서 약 30만 6천 달러를 보유하고 있었다.
Green Dots의 설립자 Stacy Muur는 피싱 광고가 Google 검색에서 공식 Uniswap 링크 위에 배치되었다고 말했다. 그녀는 또한 가짜 스폰서 결과를 보여주는 스크린샷을 공유했는데, 이는 이런 유형의 Google 검색 피싱 설정에서 핵심 문제를 강조한다: 악성 링크가 실제 링크보다 먼저 나타날 수 있다는 점이다.
이는 검색 결과 위치가 사용자 행동을 빠르게 바꾸기 때문에 중요하다. 사용자가 지갑을 연결하고 토큰을 스왑하거나 시장 움직임을 쫓기 위해 빠르게 행동하는 크립토 환경에서는, 한 번의 잘못된 클릭이 일상적인 방문을 지갑 전체가 탈취되는 상황으로 바꿀 수 있다.
피싱 캠페인은 어떻게 작동했나
메커니즘은 단순하지만 효과적이었다. 보안 리포팅에 따르면, 이 캠페인은 공식 Uniswap 목록을 모방한 스폰서 Google 검색 광고와 연결되어 있었다. 사용자가 광고를 클릭하면, Uniswap 인터페이스를 거의 그대로 복사한 피싱 페이지로 이동했다.
그 다음부터는 함정이 온체인으로 이어졌다.
공격자들은 악성 스마트 컨트랙트를 사용해 피해자들이 무제한 자산 전송을 승인하도록 속였다. 일단 그 승인이 이뤄지면, 사기꾼들은 자금을 이동하기 위해 개인 키가 필요 없었다. 승인 자체가 문을 열어준 셈이다.
실질적으로, 이 지갑 탈취(드레이닝) 사기는 익숙한 순서를 따랐다:
- 가짜 스폰서 광고가 공식 Uniswap 결과 위에 표시된다
- 피해자가 클론 인터페이스에서 지갑을 연결하고 승인을 서명한다
- 악성 컨트랙트가 전송 권한을 획득하고 자산을 탈취한다
이것이 Uniswap 피싱 Google 광고 위협이 그렇게 효과적인 이유 중 하나다. 이는 전통적인 의미에서 지갑을 해킹하는 데 의존하지 않는다. 대신, 사용자 신뢰와 탈중앙화 앱에 내장된 정상적인 승인 흐름을 악용한다.
보안 단체들이 위협이 커지고 있다고 말하는 이유
보안 단체들은 수개월 동안 가짜 크립토 광고가 고립된 사건이 아니라고 경고해 왔다. 이들은 반복적으로 사용되는 공격 채널이다.
SEAL은 이전에 Google 검색 광고와 연계된 피싱이 3월 13일부터 3월 30일 사이에만 127만 달러 이상을 훔쳤다고 밝혔다. 이 단체는 또한 지난 1년 동안 356개 이상의 악성 광고 링크를 차단했다고 말했다.
이 규모는 문제가 더 이상 한 프로토콜의 브랜드 사칭 문제에 그치지 않는다는 점을 시사한다. 이는 크립토 검색(디스커버리) 인프라 자체의 문제로 변하고 있다. 주요 DeFi 서비스들이 사용자가 처음 검색 엔진에서 찾는 지점에서부터 사칭되고 있다면, 공격 표면은 사용자가 앱에 도달하기도 전에 시작되는 셈이다.
SEAL은 공격자들이 직접 Google 광고를 구매하거나, 합법적인 광고주 계정을 탈취해 주요 프로토콜과 거래소를 사칭하는 가짜 링크를 배포한다고 말했다. 이 단체는 또한 악성 행위자들이 종종 합법적인 기업보다 더 높은 입찰을 걸어, 피싱 페이지가 스폰서 검색 결과 상단에 오르도록 만든다고 덧붙였다.
Google Ads 모델이 사기꾼들에게 유용한 이유
Google Ads 모델은 검색 엔진 자체의 신뢰를 빌려오기 때문에 공격자들에게 유리하게 작동한다. 그 결과, 사용자는 특히 Uniswap처럼 익숙한 이름을 사용하는 경우, 스폰서 결과가 안전하다고 가정할 수 있다.
크립토에서는 이러한 신뢰 격차가 특히 위험하다. 사용자는 종종 빠르게 움직이며, 단 한 번의 승인만으로도 악성 컨트랙트에 자금 탈취 권한을 부여할 수 있다.
Uniswap을 넘어 확장되는 패턴
이번 사건은 더 넓은 추세에 들어맞는다.
Scam Sniffer는 이전에 한 사용자가 가짜 사이트를 통해 Uniswap NFT에서 123만 달러 이상을 잃었다고 보고했다. 그 사례에서도 피싱 페이지는 실제 인터페이스를 복사하고, 승인 이후 자금을 탈취하는 악성 트랜잭션 흐름을 사용한 것으로 전해졌다.
PeckShield Alert 역시 Google 검색 결과에 나타나는 가짜 Aave 광고에 대해 경고한 바 있다. 이는 문제가 특정 토큰, 특정 거래소, 특정 캠페인에 국한되지 않음을 의미한다. 여러 잘 알려진 DeFi 브랜드들이 영향을 받고 있다.
보안 연구자들은 또한 클론 인터페이스와 퓨니코드(Punycode) 도메인을 반복적으로 사용되는 전술로 지목해 왔다. 이러한 가짜 사이트는 특히 유료 광고와 익숙한 브랜드 이름이 함께 사용될 때 실제 사이트와 거의 구분이 안 될 수 있다. 빠르게 움직이는 사용자에게는 차이를 알아차리기 어렵다.
이 문제가 크립토 사용자와 DeFi 플랫폼에 중요한 이유
이 이야기는 단일 피싱 조직에 관한 것 이상이다.
더 큰 문제는 검색 광고가 여전히 지갑 탈취(드레이닝) 사기로 이어지는 직접적인 유입 경로라는 점이다. 크립토 플랫폼 입장에서는, 자체 시스템이 침해되지 않았더라도 브랜드와 신뢰에 문제가 생긴다. 사용자 입장에서는 프로토콜 홈페이지를 검색하는 것 같은 기본적인 행동조차 숨은 위험을 내포할 수 있다는 의미다.
이는 또한 왜 보안 팀들이 비밀번호나 시드 구문만이 아니라 승인(approval)에 계속 초점을 맞추는지 설명해 준다. 많은 공격에서 피해자들은 개인 키를 넘겨주는 것이 아니다. 그들은 합법적으로 보이도록 설계된 인터페이스를 통해 악성 전송을 승인하고 있다.
이 차이는 크립토 도난이 발생하는 방식을 바꾸기 때문에 중요하다. 약한 고리는 종종 지갑 소프트웨어 자체가 아니라, 사용자가 애플리케이션에 도달하기 위해 거치는 경로다.
검색 전쟁이 크립토 보안의 일부가 되고 있다
최근 Uniswap 피싱 Google 광고 캠페인은 크립토 보안이 이제 검색 가시성, 광고 위치, 브랜드 사칭과 얼마나 밀접하게 겹쳐지는지를 보여준다.
b-block이 146 ETH를 보유한 두 지갑과의 연계를 제시함으로써 이번 사례는 온체인 근거를 갖게 되었고, SEAL이 제시한 더 넓은 수치는 이 트렌드가 여전히 업계 전반의 사용자들을 강타하고 있음을 시사한다. 여기에 Aave 관련 경고와 이전 Uniswap 관련 손실까지 더하면, 메시지는 분명해진다: 많은 공격자들에게 피해자 사냥은 지갑이 연결되기 훨씬 이전, 훨씬 앞 단계에서 시작된다.
