스크롤 창립자 예 첸의 X 계정이 피싱 공격을 받아 암호화폐 업계 인물들을 대상으로 악용되었습니다. 공격자는 계정을 장악해 신뢰할 수 있는 소통 채널로 활용하며 악성 메시지를 배포했습니다. 이 사건은 플랫폼 내부의 신뢰 메커니즘을 노린 사칭 수법에 초점을 맞추었으며, 활동이 발견되어 공개 경고가 발령되어 침해된 계정에서 발생하는 모든 소통을 무시하라는 주의가 내려졌습니다.
공격자는 X 플랫폼 직원인 척하며 수신자에게 저작권 위반을 주장하는 메시지를 보냈습니다. 이 메시지들은 48시간 내에 제공된 링크를 클릭하지 않으면 계정 제한 조치가 취해질 수 있다고 위협했습니다. 신뢰를 높이기 위해 예 첸의 프로필 소개를 Twitter와 nCino로 수정하고, 인증된 X 계정의 리포스트로 피드가 가득 채워졌습니다. 프로필 변경과 리포스트된 콘텐츠의 조합은 정당성을 가장하는 데 사용되었습니다.
이 준비 작업 이후, 공격자는 X의 권리 관리팀에서 보낸 것처럼 보이는 DM(다이렉트 메시지)을 보냈습니다. 메시지에는 가짜 준수 위협 및 제한된 시간 내에 대응하라는 내용이 포함되어 수신자를 악성 링크로 유도했습니다. 이 피싱 작전은 X 플랫폼의 취약점을 이용하는 대신 오직 이 악성 링크를 통해 목표를 침해하는 방식으로 진행되었습니다. 계정 탈취는 곧 확인되었고, 커뮤니티에는 해당 계정에서 오는 모든 메시지를 무시하라는 권고가 전달되었습니다.
이 사건은 암호화폐 관련 계정을 대상으로 한 광범위한 사회공학 공격의 일환으로 보고되었습니다. 유사한 침해 사례는 BNB 체인, Yi He의 위챗, ZKsync, Matter Labs, Watcher.Guru와 연결된 계정들에 영향을 미쳤습니다. 이들 경우 공격자들은 거짓 주장 전파, 사기 프로그램 홍보, 피싱 링크 배포와 같은 유사한 기법을 사용했습니다. 높은 가시성을 가진 계정들이 반복적으로 표적이 된 것은 암호화폐 생태계 내 신뢰받는 정체성을 악용하는 데 계속 집중되고 있음을 보여줍니다.
보고된 전술에는 위임 계정 접근 권한 남용, 만료된 도메인 등록, 그리고 2단계 인증을 우회할 수 있는 방법들이 포함되어 있습니다. 한 사례에서는 공격자들이 침해된 위챗 계정을 이용해 MUBARA라는 밈 코인을 홍보하며, 침해 직전 지갑을 생성하고 이후 토큰을 대량 매도했습니다. 또 다른 사례에서는 SEC 조사 중이라는 거짓 주장과 가짜 에어드롭이 게시되어 토큰 가격의 단기 하락을 초래했습니다. 별도의 사건에서는 거짓 파트너십 주장을 퍼뜨리기 위해 자동화 봇도 사용되었습니다.
추가 보고에서는 유사한 사회공학 기법이 소셜 미디어 플랫폼 이외의 영역에서도 침해를 일으킨 사례와 연관되어 있음을 밝혔습니다. 예로는 신뢰받는 채널을 통해 악성 소프트웨어 업데이트를 배포하는 데 사용된 해킹된 퍼블리셔 계정들이 있습니다. 이러한 공격은 새로운 인프라가 아니라 기존 계정의 신뢰를 기반으로 이루어졌습니다. 최소 두 건의 확인된 사례에서는 이러한 업데이트 메커니즘을 통해 암호화폐를 탈취하는 악성코드가 사용되었습니다.
더 광범위한 범죄 통계는 이러한 위협의 규모에 대한 배경을 제공합니다. 2025년에는 34억 달러 이상이 도난당한 것으로 보고되었으며, 서비스 침해의 상당 부분은 국가 연계 작전에 기인합니다. 이러한 그룹에 기인한 누적 손실은 수십억 달러에 이릅니다. 개인 지갑 침해도 크게 증가했는데, 이는 주소 변조 및 개인 키 유출에 의해 일부 촉진되었으며, 단일 사건에서는 5천만 달러 손실도 포함됩니다.
