작성자: Lisa
배경
파트너 imToken의 피드백에 따라 작성되었습니다. 최근 새로운 유형의 암호화폐 사기가 등장했습니다. 이 사기는 일반적으로 오프라인 실물 거래에 초점을 맞추고, USDT를 결제 수단으로 사용하며, 원격 프로시저 호출(RPC)을 사용하여 이더 노드를 수정하여 사기 행위를 수행합니다.
악의 흐름
슬로우 포그의 보안팀이 이러한 사기 유형을 분석한 결과, 사기꾼들의 구체적인 악의 흐름은 다음과 같습니다.
먼저, 사기꾼은 사용자의 신뢰를 얻기 위해 1 USDT와 소량의 ETH를 미끼로 사용하여 대상 사용자가 정품 imToken 지갑을 다운로드하도록 유도합니다. 그런 다음, 사기꾼은 사용자가 ETH의 RPC URL을 사기꾼의 자체 노드(https://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748)로 리디렉션하도록 유도합니다.
이 노드는 실제로 사기꾼이 텐더리의 포크 기능을 사용하여 수정한 것으로, 사기꾼이 사용자의 지갑에 이미 입금한 것처럼 보이도록 사용자의 USDT 잔액이 위조되어 있습니다. 따라서 사용자는 잔액을 보고 입금된 것으로 착각하게 됩니다. 그러나 사용자가 채굴자 수수료를 이체하여 자신의 계정에서 USDT를 현금화하려고 하면 사기 당했다는 사실을 알게 됩니다. 그때쯤이면 사기꾼은 이미 사라진 후입니다.

사실, 잔액 표시가 변경될 수 있다는 사실 외에도. 실제로 Tenderly의 포크 기능은 잔액 표시 외에도 계약 정보까지 변경할 수 있어 사용자에게 더 큰 위협이 될 수 있습니다.

(https://docs. tenderly.co/forks)
여기서 의문이 생기는데, RPC란 무엇인가요? 블록체인과 상호작용하기 위해서는 적절한 일반 옵션을 통해 웹 서버에 접근할 수 있는 방법이 필요하며, RPC는 웹 서버에 연결하고 상호작용하여 잔액 확인, 트랜잭션 생성 또는 스마트 컨트랙트와의 상호작용과 같은 작업을 수행할 수 있게 해주는 방법입니다. RPC 기능을 내장함으로써 사용자는 요청을 실행하고 블록체인과 상호작용할 수 있습니다. 예를 들어, 사용자가 지갑(예: imToken)에 연결하여 탈중앙화 거래소를 사용하는 경우, 실제로는 RPC를 통해 블록체인 서버와 통신하는 것입니다. 일반적으로 모든 유형의 지갑은 기본적으로 보안 노드에 연결되며 사용자는 별도의 조정을 할 필요가 없습니다. 그러나 타인을 쉽게 신뢰하여 신뢰할 수 없는 노드에 지갑을 연결하면 지갑에 표시되는 잔액과 거래 정보가 악의적으로 변경되어 재산 손실로 이어질 수 있습니다.
MistTrack 분석
온체인 추적 도구 MistTrack을 사용하여 알려진 피해자의 지갑 주소 중 하나를 분석했습니다( 0x9a7...Ce4)를 분석한 결과, 이 피해자 주소(0x4df...54b)에서 소량의 1 USDT와 0.002 ETH가 전송된 것을 확인할 수 있었습니다.
![]()
주소(0x4df...54b)의 자금을 확인한 결과, 이 주소에서 3개의 개별 주소로 1 USDT가 이체된 것을 확인했습니다. 이 주소는 지금까지 세 번이나 사기를 당한 것으로 보입니다.

추적해 보면 이 주소는 여러 거래 플랫폼과 연관되어 있으며, MistTrack에서 다음과 같이 확인된 주소와도 연관되어 있습니다.
한 걸음 더 나아가, 이 주소는 여러 거래 플랫폼과 연결되어 있으며 MistTrack에서 "돼지 도살 사기꾼"으로 플래그가 지정된 주소와도 상호 작용합니다.

요약
이러한 유형의 사기의 까다로운 점은 사용자의 심리적 약점을 악용한다는 것입니다. 사용자는 지갑에 돈이 들어오는 것에만 집중하고 그 뒤에 있을 수 있는 위험은 무시하는 경향이 있습니다. 사기꾼은 이러한 신뢰와 태만을 이용하여 소액의 돈을 이체하는 등 사용자가 진품이라고 믿게 만드는 일련의 작업을 통해 사용자를 속입니다. 따라서 슬로우포그 보안팀은 대다수의 사용자들이 자신의 재산에 피해를 입지 않기 위해 타인을 믿지 말고 거래를 할 때 경계를 늦추지 말고 자기 보호에 대한 인식을 높여야 한다고 제안합니다.