Blockstream은 Jade 하드웨어 지갑 사용자들에게 암호화폐 및 민감한 정보를 훔치려는 활발한 이메일 피싱 캠페인에 대해 경고하며, 정교한 사기에 대한 경계심을 높일 것을 촉구했습니다.

요약

유명한 비트코인 인프라 기업이자 Jade 하드웨어 지갑 공급업체인 Blockstream은 현재 진행 중인 이메일 피싱 캠페인에 대해 중요한 경고를 발표했습니다. 이 공격은 Jade 사용자를 대상으로 사기성 펌웨어 업데이트를 통해 민감한 정보와 암호화폐 자산을 탈취하려 합니다. Blockstream은 펌웨어를 이메일로 배포하지 않으며, 발표 시점까지 사용자 데이터가 침해된 사례는 없다고 명확히 밝혔습니다.

상세 내용

공격자들은 Blockstream의 보안 팀을 사칭하는 가짜 이메일을 유포하여 Jade 하드웨어 지갑 사용자들에게 악성 펌웨어 업데이트를 다운로드하도록 유도하고 있습니다. 이러한 이메일에는 기만적인 링크가 포함되어 있으며, 클릭할 경우 암호화폐 또는 개인 정보 도난으로 이어질 수 있습니다. Blockstream은 공식 펌웨어 업데이트는 오직 GitHub 저장소와 검증된 웹사이트를 통해서만 배포되며, 이메일을 통해서는 절대 배포되지 않는다고 명시했습니다. 회사는 URL 확인, 공식 사이트 즐겨찾기, 이메일 기반 링크 피하기의 중요성을 강조했습니다. 피싱 시도의 정교함에도 불구하고, Blockstream은 이러한 공격으로 인해 Jade 기기가 침해된 사례는 없다고 확인하며, 기기 자체의 보안성을 재확인하는 동시에 사회 공학을 통한 인간 신뢰의 취약성을 강조했습니다.

시장에 미치는 영향

Blockstream의 피싱 경고는 Web3 생태계 내에서 암호화폐 사기의 광범위하고 심화되는 추세를 강조합니다. 이러한 캠페인은 종종 합법적인 통신을 모방하여 사용자를 악용하기 위해 사회 공학 전술을 활용합니다. Scam Sniffer에 따르면, 2025년 8월에만 피싱 사기로 15,000명 이상의 암호화폐 투자자로부터 1,200만 달러가 유출되었으며, 이는 7월 대비 67% 증가한 수치입니다. 또한, Hacken은 2025년 상반기 사기 및 해킹으로 인한 총 암호화폐 손실을 31억 달러로 추정했으며, 이는 CertiK이 18억 달러로 보고한 2024년 전체 손실을 이미 초과한 수치입니다. 4월의 3억 5백만 달러 Orbit 브릿지 해킹과 6월의 Kraken 스테이킹 시스템에서 발생한 1억 1천만 달러 도난과 같은 주요 사건들은 상당한 재정적 영향과 공격의 정교함이 증가하고 있음을 보여줍니다. 이러한 사건들은 Jade와 같은 하드웨어 지갑이 오프라인에서 개인 키를 보호하는 것을 목표로 하지만, "가장 약한 고리"는 종종 잘 만들어진 피싱 시도에 대한 사용자 취약성으로 남아 있음을 보여줍니다.

광범위한 맥락 및 사용자 경계

이 피싱 캠페인은 고립된 사건이 아닙니다. LedgerTrezor를 포함한 다른 주요 하드웨어 지갑 제조업체들도 올해 고객을 대상으로 하는 가짜 지원 이메일과 유사한 문제에 직면했습니다. 공격자들은 도메인에 미묘한 변경을 가한 유사 웹사이트를 만들거나 문자열 유사성 알고리즘(예: Levenshtein 거리)을 사용하여 거의 동일한 사기성 지갑 주소를 만들어 사용자가 악성 거래를 승인하도록 속이는 등 고급 기술을 자주 사용합니다. 널리 사용되는 npm 패키지를 포함한 공급망 침해와 같은 일부 공격의 조직적인 특성은 암호화폐 지갑에서 민감한 정보를 빼내기 위해 설계되었으며, 이는 광범위한 위협 환경을 더욱 강조합니다. Blockstream은 사용자들에게 경계를 늦추지 말고, 어떠한 예기치 않은 업데이트나 지원 메시지도 잠재적인 공격 벡터로 간주하며, 디지털 자산을 보호하기 위해 공식적이고 독립적으로 확인된 채널을 통해 모든 정보를 검증할 것을 권고합니다.