한 트레이더가 피싱 공격으로 인해 약 100만 달러를 잃었습니다. 이 공격은 유니스왑(Uniswap)의 편의성 기능 자체를 역이용한 것이었습니다. 어떤 프로토콜도 해킹되지 않았고, 전통적인 의미의 취약점도 악용되지 않았습니다. 트레이더는 단지 서명해서는 안 될 메시지에 서명했을 뿐이고 — 그것만으로 충분했습니다.
Summary
핵심 요약
- 한 트레이더는 악성 유니스왑 Permit2 메시지에 서명하도록 속아 공격자에게 지갑 전체 접근 권한을 부여하면서 약 100만 달러를 잃었습니다.
- 별도의 피해자는 $VIRTUAL 토큰과 관련된 유사한 공격으로 19만 6,000달러를 잃었습니다.
- 승인(Approval) 피싱은 2021년 이후 보고된 손실만 10억 달러 이상을 기록했으며, 감소 조짐이 보이지 않습니다.
- 체이널리시스(Chainalysis)는 2025년 온체인 사기 손실이 총 140억 달러로, 2024년의 120억 달러에서 증가했다고 보고했습니다. 서틱(CertiK)은 2026년 1월 한 달 동안 피싱만으로 3억 7,000만 달러의 손실이 발생했다고 집계했습니다.
- Revoke.cash와 같은 도구를 사용하면 Permit2 권한을 포함한 토큰 승인 내역을 점검하고 취소할 수 있으며, 이는 현재 사용 가능한 가장 효과적인 방어 수단 중 하나입니다.
거대한 100만 달러 손실이 드러낸 유니스왑 Permit2 피싱 리스크
한 트레이더의 포트폴리오를 전부 날려버린 유니스왑 Permit2 피싱 공격은 디파이(DeFi)에서 단 한 번의 실수가 얼마나 빠르게 치명적인 결과로 이어질 수 있는지를 상기시킵니다. Permit2는 유니스왑이 디파이를 더 매끄럽게 만들기 위해 도입한 토큰 승인 컨트랙트입니다. 각 토큰과 각 프로토콜마다 별도의 온체인 트랜잭션이 필요한 대신, Permit2는 단 한 번의 오프체인 서명으로 여러 토큰 상호작용을 한꺼번에 승인할 수 있게 해줍니다. 설계상 매우 편리하지만 — 같은 논리로 악용될 수도 있습니다.
Permit2가 토큰 승인을 단순화하면서도 보안 리스크를 키우는 방식
기존 ERC-20 승인 방식은 자연스러운 체크포인트를 만듭니다. 각 토큰, 각 프로토콜 상호작용마다 별도의 온체인 트랜잭션이 필요하기 때문에, 사용자는 여러 번 다시 생각해 볼 기회를 갖게 됩니다. Permit2는 이러한 체크포인트를 완전히 제거하고, 이를 단 하나의 서명된 메시지로 대체합니다. 효율성 향상은 분명하지만 — 그만큼 노출 범위도 커집니다.
한 번의 서명이 탈취되면 악성 컨트랙트가 사용자의 전체 포트폴리오에 접근할 수 있습니다. 두 번째 확인 창도, 추가 확인 화면도, 경고도 없습니다. 한 번 서명되면 자금은 조용히, 그리고 되돌릴 수 없이 이동합니다.
피싱 사이트들은 이제 합법적인 디파이 인터페이스 — 에어드롭 수령 페이지, NFT 민팅 포털, 익숙해 보이는 스왑 화면 — 를 일상적으로 위장하며, 정확히 적절한 순간에 그럴듯한 Permit2 서명 요청을 띄우도록 설계됩니다.
실제 사례: 100만 달러와 19만 6,000달러 피싱 손실
100만 달러 손실은 눈에 띄지만, 고립된 사건이 아닙니다. $VIRTUAL 토큰을 보유하던 또 다른 피해자는 정확히 같은 메커니즘으로 약 19만 6,000달러를 잃었습니다. 지갑은 다르고, 토큰도 다르지만, 결과는 같습니다. 단 한 번의 잘못된 서명으로 전액 손실입니다.
두 사건 모두 공통점은 유니스왑 측에서 어떤 기술적 침해도 발생하지 않았다는 점입니다. 프로토콜은 설계된 대로 정확히 작동했습니다. 공격 표면은 버그가 아니라 — 기만을 통해 조작된 사용자 행동이었습니다.
이 구분은 매우 중요합니다. 이는 프로토콜 감사와 스마트 컨트랙트 보안 검토가 이 유형의 위협에 대해서는 거의 보호 효과를 제공하지 못한다는 뜻입니다. 취약점은 화면과 서명 사이, 즉 사용자 행동에 존재합니다.
확산되는 온체인 사기 유행과 지속되는 승인 피싱
이 두 사건은 예외적인 사례가 아니라, 훨씬 더 큰 패턴 속의 데이터 포인트입니다. 승인 피싱은 조용히 파괴적인 실적을 쌓아 왔고, 더 넓은 수치들은 이 문제가 계속 확대되고 있음을 보여줍니다.
암호화폐 범죄 보고서가 보여주는 피싱·사기로 인한 수십억 달러 손실
체이널리시스의 2026 암호화폐 범죄 보고서에 따르면, 온체인 사기는 2025년에만 최소 140억 달러의 손실을 발생시켰으며, 이는 2024년의 120억 달러에서 증가한 수치입니다. 이는 연간 20억 달러 증가에 해당하며, 방화벽으로는 막을 수 없는 사회공학적 기법의 지속적인 사용이 부분적으로 원인이 되었습니다.
서틱의 데이터는 이 그림을 더욱 선명하게 보여줍니다. 2026년 1월 한 달 동안만 피싱과 사회공학 공격으로 인한 암호화폐 손실은 3억 7,000만 달러에 달했습니다. 단 한 달치 수치로는 이례적인 규모입니다. 이 기간 중 한 사건이 전체의 2억 8,400만 달러를 차지했습니다.
2021년 이후로, 승인 피싱은 보고된 손실만 10억 달러 이상을 초래했습니다. 누적 피해는 대부분의 관심이 더 극적인 익스플로잇에 쏠려 있는 사이, 조용히 꾸준히 쌓여 왔습니다.
대조적인 추세: 감소하는 월렛 드레이너 손실 vs 지속되는 승인 피싱
주목할 만한 분기점이 있습니다. 월렛 드레이너 관련 손실은 2025년에 83% 감소하여 약 8,400만 달러 수준으로 떨어졌습니다. 이는 특정 공격 벡터에 대해 인프라 타깃 제거와 업계 공조가 실제로 효과를 내고 있다는 긍정적인 신호입니다.
하지만 승인 피싱은 완전히 다른 인프라를 이용합니다. 드레이너 스크립트는 보안 업체와 거래소가 식별·표시·블랙리스트에 올릴 수 있는 배포형 악성 컨트랙트에 의존합니다. 반면 승인 피싱은 합법적인 프로토콜 메커니즘과 사용자 신뢰를 악용합니다. 하나의 피싱 사이트를 차단해도, 그 기법 자체는 무력화되지 않습니다.
이 분기점은 진전 상황을 잘못 읽을 위험을 만듭니다. 드레이너 손실 감소는 분명한 성과이지만, 기술적 수단만으로 대응하기 훨씬 어려운 위협이 계속 성장하고 있다는 사실을 가릴 수 있습니다.
Operation Atlantic 집행 조치로 1,200만 달러 피싱 자금 동결
2026년 4월에 진행된 Operation Atlantic은 승인 피싱 스킴과 연관된 약 1,200만 달러의 자금을 동결하는 결과를 가져왔습니다. 이 정도 규모의 법 집행은 의미가 있지만, 연간 140억 달러에 달하는 온체인 사기 손실과 비교하면, 규제 당국이 현재 회수할 수 있는 금액과 손실이 누적되는 속도 사이의 격차를 잘 보여줍니다.
Permit2 승인 피싱 공격에 대비하는 방법
이 위협의 특성상 효과적인 방어는 사용자 수준에서 이뤄져야 합니다. 프로토콜 레벨의 수정은 공격 표면을 줄일 수는 있지만, 실제 사이트와 똑같이 보이는 페이지에서 사용자가 악성 메시지에 서명하는 것을 막을 수는 없습니다.
승인 피싱 리스크를 줄이기 위한 도구와 모범 사례
가장 실질적인 조치는 지갑 승인 취소 도구를 정기적으로 사용하는 것입니다. Revoke.cash를 사용하면 사용자가 남아 있는 토큰 승인 내역을 점검하고 취소할 수 있으며, 여기에는 Permit2 권한도 포함됩니다. 새로운 또는 낯선 프로토콜과 상호작용한 후에는 반드시 승인 취소 점검을 실행하는 것이 좋습니다. 잘못된 승인이 하나라도 통과되었다면, 이를 조기에 발견해 취소함으로써 노출 시간을 크게 줄일 수 있습니다.
무엇이든 서명하기 전에 컨트랙트 주소를 검증하는 것은 선택이 아니라 필수입니다. 피싱 사이트는 합법적인 플랫폼과 시각적으로 구분이 안 되도록 만들어집니다. 승인 요청에 포함된 컨트랙트 주소가 진실을 말해주며, 이를 확인하는 데 추가로 10초를 쓰는 가치는 충분합니다.
가장 중요한 방어 습관에 대한 짧은 체크리스트:
- 모든 서명 요청에서 컨트랙트 주소를 확인하고, 알려진 합법 주소와 대조한 뒤에만 승인합니다.
- Revoke.cash 또는 동등한 도구로 정기적인 점검을 수행해 불필요하거나 낯선 승인을 취소합니다.
- 특히 에어드롭·민팅 페이지에서 예상치 못한 Permit2 서명 요청이 뜨면, 검증이 끝날 때까지 경고 신호로 간주합니다.
피싱 손실 방지에서 하드웨어 월렛의 한계와 장점
하드웨어 월렛은 소프트웨어 월렛에는 없는 물리적 확인 단계를 추가하며, 이 계층은 실제로 가치가 있습니다. 그러나 하드웨어 월렛이 승인 피싱에 대한 완전한 해결책은 아닙니다. 사용자가 하드웨어 월렛을 악성 사이트에 연결한 뒤 Permit2 서명 요청을 직접 확인·승인한다면, 물리적 기기는 방어 수단이 아니라 공격의 일부가 됩니다.
핵심 통찰은 승인 피싱이 보안 아키텍처가 아니라 의사결정 과정을 공격한다는 점입니다. 트랜잭션 승인을 사용자에게 요구하는 모든 도구는, 사용자가 그 트랜잭션이 합법적이라고 믿도록 설득될 수 있는 한, 무기화될 수 있습니다. 이는 스마트 컨트랙트를 패치하는 것보다 훨씬 어려운 문제이며, 지금 시점에서 교육과 경계심이 가장 지속 가능한 방어 수단으로 남아 있는 이유입니다.
FAQ
유니스왑의 Permit2란 무엇이며, 왜 피싱 리스크가 있나요?
Permit2는 사용자가 단 한 번의 오프체인 메시지 서명으로 여러 토큰 상호작용을 동시에 승인할 수 있게 해주는 기능입니다. 이는 디파이 사용을 간소화하지만, 동시에 단 한 번의 악성 서명만으로 공격자가 추가 확인 단계 없이 사용자의 전체 지갑에 광범위하고 즉각적인 접근 권한을 얻을 수 있다는 뜻이기도 합니다.
최근 사건에서 피싱 공격자는 어떻게 Permit2를 악용했나요?
공격자들은 합법적인 디파이 플랫폼을 사칭하는 사이트를 만들고, 사용자에게 Permit2 메시지에 서명하라고 유도했습니다. Permit2는 온체인 경고나 추가 확인 화면을 생성하지 않기 때문에, 피해자들은 자신이 악성 컨트랙트를 승인하고 있다는 사실을 전혀 인지하지 못했습니다. 그 결과, 즉각적인 무단 자금 이체가 발생했으며 — 여기에는 약 100만 달러 손실과, $VIRTUAL 토큰과 관련된 약 19만 6,000달러 손실이 포함됩니다.
Permit2 승인 피싱으로부터 보호하기 위한 실질적인 방법은 무엇인가요?
사용자는 서명 요청마다 컨트랙트 주소를 확인한 뒤에만 승인해야 하며, Revoke.cash와 같은 도구를 사용해 토큰 승인 내역을 정기적으로 점검·취소해야 합니다. 또한 예상치 못한 Permit2 요청은 항상 의심의 눈으로 보고 검증해야 합니다. 하드웨어 월렛은 추가 확인 단계를 제공하지만, 손상된 사이트에서 악성 메시지에 서명하는 행위 자체를 막아주지는 못합니다.
암호화폐에서 승인 피싱 공격의 재정적 영향은 어느 정도인가요?
승인 피싱은 2021년 이후 보고된 손실만 10억 달러 이상을 초래했습니다. 이는 체이널리시스가 2025년 온체인 사기 손실 총액 140억 달러를 기록하는 데 기여했으며, 서틱 데이터에 따르면 2026년 1월 한 달 동안 피싱과 사회공학 공격만으로 3억 7,000만 달러의 손실이 발생했습니다. 월렛 드레이너 손실이 크게 감소했음에도, 승인 피싱은 전혀 다른, 해체하기 더 어려운 인프라에 의존하기 때문에 계속 증가하고 있습니다.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”유니스왑의 Permit2란 무엇이며, 왜 피싱 리스크가 있나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Permit2는 사용자가 단 한 번의 오프체인 메시지 서명으로 여러 토큰 상호작용을 동시에 승인할 수 있게 해주는 기능입니다. 이는 디파이 사용을 간소화하지만, 동시에 단 한 번의 악성 서명만으로 공격자가 추가 확인 단계 없이 사용자의 전체 지갑에 광범위하고 즉각적인 접근 권한을 얻을 수 있다는 뜻이기도 합니다.”}},{“@type”:”Question”,”name”:”최근 사건에서 피싱 공격자는 어떻게 Permit2를 악용했나요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”공격자들은 합법적인 디파이 플랫폼을 사칭하는 사이트를 만들고, 사용자에게 Permit2 메시지에 서명하라고 유도했습니다. Permit2는 온체인 경고나 추가 확인 화면을 생성하지 않기 때문에, 피해자들은 자신이 악성 컨트랙트를 승인하고 있다는 사실을 전혀 인지하지 못했습니다. 그 결과, 즉각적인 무단 자금 이체가 발생했으며 — 여기에는 약 100만 달러 손실과, $VIRTUAL 토큰과 관련된 약 19만 6,000달러 손실이 포함됩니다.”}},{“@type”:”Question”,”name”:”Permit2 승인 피싱으로부터 보호하기 위한 실질적인 방법은 무엇인가요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”사용자는 서명 요청마다 컨트랙트 주소를 확인한 뒤에만 승인해야 하며, Revoke.cash와 같은 도구를 사용해 토큰 승인 내역을 정기적으로 점검·취소해야 합니다. 또한 예상치 못한 Permit2 요청은 항상 의심의 눈으로 보고 검증해야 합니다. 하드웨어 월렛은 추가 확인 단계를 제공하지만, 손상된 사이트에서 악성 메시지에 서명하는 행위 자체를 막아주지는 못합니다.”}},{“@type”:”Question”,”name”:”암호화폐에서 승인 피싱 공격의 재정적 영향은 어느 정도인가요?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”승인 피싱은 2021년 이후 보고된 손실만 10억 달러 이상을 초래했습니다. 이는 체이널리시스가 2025년 온체인 사기 손실 총액 140억 달러를 기록하는 데 기여했으며, 서틱 데이터에 따르면 2026년 1월 한 달 동안 피싱과 사회공학 공격만으로 3억 7,000만 달러의 손실이 발생했습니다. 월렛 드레이너 손실이 크게 감소했음에도, 승인 피싱은 전혀 다른, 해체하기 더 어려운 인프라에 의존하기 때문에 계속 증가하고 있습니다.”}}]}
이 기사는 인공지능의 도움을 받아 제작되었으며, 편집팀의 검수를 거쳤습니다.

