중국의 틱톡 '도우인'에서 산 콜드월렛, 95억 원 상당 디지털자산 도난

중국판 틱톡 '도우인'에서 구입한 콜드월렛을 통해 대규모 디지털자산이 유출됐다. 보안 전문가는 '몇십만 원 아끼려다 전 재산을 잃을 수 있다'고 경고했다.

블록체인 보안업체 슬로우미스트는 6월 15일 한 사용자가 도우인에서 구매한 할인 콜드월렛을 사용하다 약 94억 원 규모의 디지털자산을 도난당했다고 밝혔다. 해당 지갑은 생성 단계부터 개인키가 노출돼 있었으며, 사용 후 수 시간 안에 자산이 유출된 것으로 파악됐다.

도우인은 자체 쇼핑 기능을 통해 제3자 판매자가 다양한 전자기기 등을 판매할 수 있다. 슬로우미스트는 '공장 밀봉' 또는 '할인 상품'으로 판매되는 콜드월렛 대부분이 해킹된 경우가 많다고 설명했다.

헬라는 피해자의 지인으로, 과거 비트메인 공동 창업자 우지한 산하 팀에서 일한 인물이다. 헬라는 '한밤중 전화 한 통이 등골을 오싹하게 했다'며 피해자가 급하게 연락해왔다고 말했다.

그는 해당 지갑을 '정교하게 설계된 덫'이라 표현하며, 도난된 디지털자산은 몇 시간 만에 '후이왕'을 통해 세탁됐다고 주장했다. 헬라는 '대부분 온라인에서 판매되는 콜드월렛은 가짜'라며 '신뢰할 수 있는 유통망을 통해 구매해야 한다'고 조언했다.

슬로우미스트는 탈취된 자산의 흐름을 추적했지만, 회수는 사실상 어렵다고 봤다. 슬로우미스트 최고정보보안책임자(CISO) 23pds는 '몇백 달러 아끼자고 전 재산을 도박하면 안 된다'며 '절약이 아니라 인생을 던지는 행위'라고 경고했다.

유사 사례도 잇따르고 있다. 지난 5월 19일에는 중국 프린터 제조사가 공식 드라이버에 디지털자산 탈취 악성코드를 함께 배포했다는 의혹이 제기됐다. 이 사건으로 약 95만3천 달러 상당의 비트코인이 유출됐다.

사이버보안업체 카스퍼스키는 지난 4월 1일 '온라인에서 판매되는 수천 대의 가짜 안드로이드 스마트폰에 디지털자산과 개인정보를 탈취하는 악성코드가 사전 설치돼 있다'고 밝혔다.