Cryptocurrency Scam process

※ 해당 글은 박현재 연구원이 작성한 글입니다.

1. 스캠의 시작

암호화폐 서비스 프로그램 아티팩트 연구 중, 프로그램 기능 사용에 어려움이 있어 텔레그램 공식 커뮤니티에서 조언을 구하고자 그룹 채팅방에 들어갔다. 그룹 채팅방에 들어가고 나서 몇 초 뒤, 해당 프로그램의 공식 계정인 것처럼 위장한 사람으로부터 1:1 대화를 받았다. (대상 프로그램은 Specter였는데, 프로필 사진으로 Specter의 공식 로고를 사용했으며 계정명은 Specter | Live Chat 을 사용했다.)

스캐머가 대화방을 나가는 바람에 대화내역 캡처를 못 했는데, 주고받은 내용을 요약하면 아래와 같다.

Hello
Hi
무슨 어려움을 겪고 있습니까?
나는 Specter 프로그램과 Keystone Hardware 지갑을 연동해서 사용하고자 한다.
그런데, 트랜잭션 전송 과정에서 문제가 발생했다.
그 문제는 트랜잭션 유도 경로를 만들면 해결될 수 있습니다. 다음 사이트에 접속해서 아래 과정을 따라하고 RPC 세팅을 설정하십시오.
1. https://mainnetdapp.web.app/#wallets_list
2. Click RPC Settings
3. Click Specter
4. Connect Manualy
5. Connect server with keystone
6. Do Transaction

2. 스캠 사이트 동작 과정

스캐머가 제시한 과정은 아래와 같이 진행된다.

2-1) 스캠 사이트 접속 유도

[그림 1] 스캠 사이트 접속 시 메인화면

스캠 사이트는 조잡하게 구성되어 있으며, 제대로 동작하지 않거나 같은 페이지로 연결되는 기능이 대부분이다.

2-2) 서비스 선택

[그림 2] 암호화폐 서비스 목록

메인화면에서 RPC Settings 외에도 기타 버튼들을 누르면 동일하게 위 페이지로 연결된다. 위 페이지에서 다수의 암호화폐 서비스들을 확인할 수 있다.

2-3) 가짜 종단 간 암호화 수행

[그림 3] 종단 간 암호화를 수행하는 척 하는 화면

스캐머는 페이지에서 고를 수 있는 다수의 서비스들 중에서 내가 어려움을 겪고 있는 서비스를 선택하라고 한다. 해당 서비스를 선택하면 위 그림과 같이 종단 간 암호화를 수행하는 척!하는 과정을 보여준다.

2-4) 니모닉 시드 제출 유도

[그림 4] 종단 간 암호화에 실패했다는 알림
[그림 5] 사용자의 니모닉 시드 요구

종단 간 암호화가 수행되는 척 하다가 암호화에 오류가 발생했다는 메시지가 뜨고, Connect Manually를 수행하도록 유도한다. Connect Manually를 선택하면 사용자가 니모닉 시드를 입력하도록 한다.

[그림 6] Connect Manually 값 제출 후 출력되는 팝업 창
[그림 7] 출력되는 QR 코드 이미지

Connect Manually에서 아무 문자나 제출을 완료하면 위와 같은 팝업 창이 출력되고나서 authentication code라는 코드 이미지를 제공해준다. 해당 QR 코드를 해독한 결과 TVTY81ksLMFUVs6x4uY5aUNvK5Etr5YvMz 라는 문자열을 획득할 수 있었다.

대화 내용 중략...

당신의 말대로 위 과정들을 모두 수행했고, authentication code를 획득했다. 다음 과정을 알려달라.
authentication code를 획득했으면 몇 시간 후 트랜잭션 기능이 동작할 것이다.
authentication code는 어디에 사용되는 것인가?
(답장 없음)
Hey, 이 사이트를 이용해서 얼마를 벌었어?
(대화방 나감)

순수한 호기심에서 이런 방식을 이용해서 얼마나 벌었냐고 묻자, 스캐머가 대화방을 나가버렸다. 스캐머가 암호화폐를 가져가게 한 뒤, 해당 자금을 추적하는 것도 재미있었을 것 같다는 생각이 뒤늦게 들었다.

2-5) Metamask의 보안 기능

[그림 8] Metamask 프로그램 이용 시 경고문 출력

PC에 Metamask 확장 프로그램이 설치되어 있으면 해당 사이트와 같은 피싱 사이트에 접근했을 때 경고문을 출력해주기도 한다. 사이트 확인 초기에는 이러한 창이 출력되지 않았으나 최근에 해당 창이 출력되는 것으로 볼 때, 메타마스크 측에서 피싱 사이트 정보를 수집하고나서 하나씩 반영하는 것 같다.

3. 결론

  • 서비스 이용에 도움이 필요한 사람의 심리를 이용해서 암호화폐 커뮤니티에서 1:1 대화를 유도해 스캠을 시도하는 경우가 있다.
  • 스캠 사이트에서는 부가적인 기능들이 동작하는 것처럼 눈속임을 하지만, 결과적으로 사용자의 니모닉 시드 제출을 유도하는 것이 가장 큰 목적이다.
  • 니모닉 시드는 어떤 곳에서도, 누구에게도 제공해서는 안된다.
  • 스캠을 당했다면 스캐머가 암호화폐를 빼돌리기 전에 다른 니모닉 시드의 지갑 주소로 모든 암호화폐를 재빨리 전송하자. (수수료를 높게 설정하는 것이 유리할 것이다.)
  • 만약 스캐머가 암호화폐를 빼돌리고 난 뒤 스캠 사실을 알았다면, 수사기관에 신고하고 암호화폐 추적이 잘 되기를 기대하자.