지갑 드레이너 피싱 뜻: 서명 한 번에 자산이 사라지는 수법

지갑 드레이너(Wallet Drainer)는 가짜 사이트에서 트랜잭션 서명이나 토큰 승인(approve)을 유도해 지갑 안의 코인·NFT를 한꺼번에 빼가는 피싱 도구입니다. 비밀번호를 묻지 않고도 자산이 사라지는 이유와, 초보자가 당장 실천할 예방 수칙을 정리했습니다.

지갑 드레이너 피싱이란?

지갑 드레이너 피싱은 정상 서비스처럼 꾸민 가짜 사이트로 사용자를 끌어들인 뒤, 지갑 연결과 서명·승인 요청을 통해 자산을 탈취하는 공격입니다. 핵심은 "해킹으로 비밀번호를 알아낸다"가 아니라, 사용자가 직접 서명 버튼을 누르도록 속인다는 점입니다. 즉 사용자의 손으로 권한을 넘겨주게 만드는 사회공학(social engineering) 사기에 가깝습니다.

주로 무료 에어드롭, 신규 토큰 민팅, 가짜 거래소 이벤트, 고객지원 사칭 DM 등을 미끼로 씁니다. Web3 지갑을 사용하는 사람이라면 누구나 표적이 될 수 있습니다.

어떻게 자산이 빠져나갈까: approve의 위험

이더리움 계열 토큰(ERC-20)을 다룰 때는 approve라는 권한 부여 단계가 있습니다. 원래는 DeFi나 스왑 서비스가 내 토큰을 대신 옮길 수 있도록 허용하는 정상 기능입니다. 문제는 드레이너가 이 권한을 악용한다는 것입니다.

• 무제한 승인: 승인 한도를 무한(unlimited)으로 설정하게 유도해, 이후 공격자가 언제든 토큰을 꺼낼 수 있게 만듭니다.
• permit/permit2 서명: 가스비가 들지 않는 서명만으로 권한이 넘어가, 사용자가 "그냥 로그인 서명"으로 착각하기 쉽습니다.
• setApprovalForAll: NFT 컬렉션 전체를 한 번에 이전할 권한을 빼앗는 방식입니다.

이 모든 동작은 스마트 컨트랙트 호출로 이뤄집니다. 한 번 서명하면 블록체인에 기록되어 되돌리기 어렵고, 자금은 빠르게 분산 이동해 추적·회수가 매우 힘듭니다.

위험 신호와 정상 행동 구분

정상 서비스도 서명을 요청하지만, 어떤 컨트랙트가 무엇을 할 수 있게 되는지가 서명 창에 표시됩니다. 내용이 이해되지 않으면 서명하지 않는 것이 안전합니다.

초보자를 위한 예방 수칙

• 서명 내용을 읽는다: approve·setApprovalForAll·permit 단어가 보이면 한 번 멈추고 확인합니다.
• 승인 한도를 제한: 가능하면 무제한 대신 필요한 금액만 승인합니다.
• 주소를 직접 입력: 링크 대신 공식 도메인을 북마크해 접속하고, 검색광고 링크는 피합니다.
• 지갑 분리: 일상 거래용 지갑과 보관용 지갑을 나누고, 큰 자산은 별도 보관합니다. 지갑 종류를 이해해두면 도움이 됩니다.
• 승인 점검·해지: 토큰 승인 내역(allowance)을 주기적으로 확인하고 불필요한 권한은 취소(revoke)합니다.
• 모르면 서명하지 않는다: 무료·고수익을 강조하는 청구 페이지일수록 의심합니다.

더 많은 일반 사기 회피 원칙은 사기 피하는 법에서 함께 확인할 수 있습니다.

마무리: 솔직한 리스크 안내

지갑 드레이너 피싱은 기술적 해킹이 아니라 사용자의 서명을 유도하는 속임수이기 때문에, 완벽한 자동 차단은 존재하지 않습니다. 보안 확장 프로그램이나 지갑의 경고 기능도 새로운 수법을 모두 막지는 못합니다. 결국 가장 큰 방어선은 서명 전 한 번 더 확인하는 습관입니다. 한 번 빠져나간 자산은 회수가 거의 불가능하다는 점을 전제로, 의심스러우면 멈추는 것이 최선입니다.

이 글은 보안 정보 제공을 위한 것으로, 투자 권유나 수익 보장이 아닙니다. 암호화폐 거래와 자산 보관에는 손실 위험이 따르며, 모든 판단과 책임은 본인에게 있습니다.