콘텐츠로 건너뛰기
Reddit X (Twitter) Telegram 태그 공지사항
로그인 회원가입
← Reddit으로 돌아가기
Reddit

암호화폐 해킹이 아니라면 도대체 어떤 방식으로 털리나요? 🤔

r/CryptoMarkets 조회 16
원문 보기 →
💡

요즘 흔히 말하는 '크립토 드레이닝'은 해킹이 아니라 지갑 소유자가 직접 승인한 거래를 악용하는 방식입니다. 블록체인 특유의 되돌릴 수 없는 구조와 복잡한 사용자 경험이 범죄에 취약한 환경을 만듭니다. 투자자들은 거래 승인 시점에서 사기 여부를 철저히 따지고, 신뢰할 수 있는 앱과 사이트만 사용해야 합니다.

요새 암호화폐를 도난당했다는 얘기를 자주 보게 되는데요, 도대체 어떤 식으로 이런 일이 벌어지는 걸까요? 누가 이런 걸 저지르는지, 어떻게 내 지갑 자산이 그냥 사라질 수 있는 건지 궁금해서 글 올려봅니다.

'크립토 드레이닝'이라는 말을 많이 봤는데, 이게 단순 해킹은 아니라는 말도 있고... 정확히 뭘 의미하는 건지 모르겠습니다. 실제로 당해보신 분들도 계신가요?

🧐 배경 설명 및 요약

이 글은 암호화폐 관련 범죄 중 '크립토 드레이닝(crypto draining)'이라는 개념에 대해 처음 들은 투자자가 작성했습니다. 글쓴이는 요즘 커뮤니티에서 자주 보이는 '코인 도난' 사례들의 실제 진행 방식—즉 기술적 해킹 vs 사용자 승인 유도 사기—에 대해 혼란을 느끼고 있습니다.

'크립토 드레이닝'은 해킹이라기보다, 사용자가 악성 사이트에서 무심코 클릭한 '지갑 연결 승인'이나 '토큰 전송 승인'을 악용하는 사기 수법입니다. 사용자가 자산 이전을 허용하면, 범죄자는 나중에 그 승인을 활용해 지갑에서 코인을 합법적으로(블록체인 상에서는) 빼가는 구조입니다. 특히 피싱 사이트, 가짜 NFT 민팅앱, 사칭된 DeFi 앱 등에서 지갑 연결 후 나타나는 팝업에 무심코 승인을 누르면 쉽게 당할 수 있습니다.

보안이 취약한 브라우저 확장 프로그램, 악성코드, 공공 Wi-Fi 사용 또한 위험요소입니다. 의외로 많은 '드레이너(drainer)' 도구는 매뉴얼과 함께 온라인에 판매되고 있고, 접근 장벽이 낮아 초보자나 일반인도 범죄를 저지를 수 있게 된 것이 현실입니다. 피해자 입장에선 거래가 되돌릴 수 없어 심각한 피해로 이어집니다.

원문 보기 →
#보안 #지갑 #피싱 #크립토 드레이닝 #사기수법 #암호화폐 #CryptoMarkets

💬 원문 댓글 (2)

u/No_Oil_8880 ▲ 1
일단 '크립토 드레이닝'은 말 그대로 해킹이 아닙니다. 누구나 할 수 있고, 사실상 사기에 가깝습니다. 요새 사기꾼들이 돈 버는 가장 흔하고 효과적인 방법이죠.

원리는 간단해요. 누군가가 지갑에서 코인을 가져갈 수 있도록, 본인이 직접 승인하도록 유도하는 방식이에요. 블록체인을 뚫는 게 아니라, 지갑 주인이 몰라서 문을 열어주는 겁니다. 마치 금고를 부수는 게 아니라 금고 열쇠를 건네받는 식이죠.

가짜 민팅 페이지나 에어드랍 사이트에 연결하면 지갑 연결 후 정체불명의 '승인 요청'이 뜨는데, 별생각 없이 누르면 토큰을 무제한으로 넘겨주는 게 될 수 있어요. 나중에 범인이 지갑에 저장된 승인 정보를 이용해 자산을 빼가는 구조입니다.

지갑 팝업 창이 복잡하다 보니, 대부분 사용자들이 무심코 클릭하죠. 실제로는 자산 이전, 지갑 권한 변경, 다른 계정에 전체 권한 위임 등을 승인하는 건데, 사용자는 그걸 잘 모르고 동의하게 됐던 거예요.

피싱 방식도 매우 흔한데, 유니스왑이나 블러 같은 사이트를 거의 똑같이 복제해서 운용하는 방식이죠. 주소만 살짝 다르고요. 여기에 지갑을 연결하면 그냥 끝입니다.

조금 더 복잡한 방식은 프라이빗 키나 시드 구절을 가짜 지갑 앱, 고객센터 사칭, 구글 폼 등으로 탈취하는 겁니다. 이걸 빼앗기면 지갑은 완전히 넘어가죠.

또는 브라우저 확장 프로그램에서 거래정보를 바꾸거나 지갑 주소를 탈취하는 악성 기능이 들어있는 경우도 있습니다.

왜 이렇게 잘 먹히냐면, 블록체인은 한번 거래되면 되돌릴 수 없고, 사용자 인터페이스가 아직도 너무 복잡해요. 승인도 그냥 습관적으로 하게 되는 경우가 많고요.

요즘 이 방식은 많이 자동화됐고 누구나 쉽게 접근할 수 있어서, 예전에 전문 사기꾼들만 하던 게 지금은 거의 '일반인 사기'가 됐습니다. 잠깐 돈 벌고 빠지려는 사람들, 심지어 도박중독자나 빚진 사람들도 이 툴 사서 한다는 얘기죠.

걸릴 확률도 거의 없어요. 매뉴얼대로만 따라 하면 흔적도 잘 안 남습니다. 몇 천만 원급 단위 피해가 아니면 수사조차 안 들어가요. 그래서 이게 계속 반복되는 겁니다.

시장에서는 기본 버전이나 AI 탑재, 자동화된 버전까지 다양한 '드레이너' 툴들이 패키지로 팔리고 있고, 가격은 500달러 수준부터 수천만 원까지 다양합니다.
원문 보기
First of all crypto draining just to be clear is not hacking and can be done by anyone. You don’t get hacked you get scammed! I would say it’s the most efficient and most popular way to make money for scamers/ fraudsters that exist.

It literally means stealing someone else’s cryptocurrency by tricking them into giving permission, definitely not by hacking the blockchain.

Most crypto wallets can sign transactions or grant permissions, to smart contracts. Drainers exploit this by getting user to approve something malicious. Once approved, the bad actor can legally (on chain) move the funds because technically the wallet owner allowed it. So it’s more like convincing the victim to hand you over the key to the safe and less like breaking into the safe.

Basically malicious approval requests… user connects their wallet to fake site any nft, mint, airdrop, defi app, to verify the wallet, site asks for token approval, the approval is unlimited, bad actor later pulls all approved tokens out the wallet.

Wallet pop ups can be confusing, and bad actors rely on that, user is asked to sign somethingb that sound harmless where in reality they acctualy sign over the rights to transfer assets, change wallet premisions or hand over control to another adress etc…

Phishing is one off the most popular ways not requiring any social engineering basically, a perfect copy of a legit site like uniswap, blur etc… only way to notice it is the slightly off url like extra letter or wrong domain etc… user connects their wallet wallet = drained.

More into social engineering side is compromising private keys, or seed phrases fake wallet apps, support chats, google forms etc… once the bad actor own the seed phrase they own the wallet completely.

Malware or browser extensions. Can replace transaction details, hijack clipboard addresses, intercept wallet interactions etc.

It works so well because blockchain transactions are ireversible, wallet ux is still confusing for plenty of users, approvals can feel like routine and are done quickly.

Crypto fraud or crypto draining these days is extremely common I remember years back it was fraudsters game it was hard all manual etc. Now days it’s common people game, people in debt, gamblers or just greedy people, prefer to buy a drainer for a quick financial gain and quit, of course, it’s mostly automated now so it can be done by anyone from anywhere. Some people of course never quits.

Getting caught is basically impossible, if you never improvise and just follow the instructions, ofc the LE after someone gets drained millions in one go will investigate it, but if a dude sitting at his home will drain 1000 different wallets for 50 usd or 500 in a month (do the maths), most people won’t even report it, the ones who will, just be neglected and nothing will be done. That’s why they get away with it

There are few types of drainers usually sold in packs with instructions and already with fresh leads, basic, ai based and fully automated, the prices can be from 500 to few hundred k for best ones on the market.
u/AnonymousSlothana ▲ 1
의심스러운 사이트에서 거래하거나, 보안이 취약한 스마트 계약을 승인할 때 자산이 털릴 수 있어요. 참고로 공공 와이파이는 절대 사용하지 마세요.
원문 보기
Malicious contracts you may approve during trading in shady places or bugs in the contract and an unsecured connection. Never use public wifi FYI

댓글 (0)

로그인하고 댓글을 작성하세요.

아직 댓글이 없습니다.