지갑의 거래 내역을 확인할 때, 자신이 시작하지 않은 0 USDT 전송 기록이 보이고, 발신자 주소의 앞뒤 몇 자리가 자주 사용하는 주소와 거의 동일하다면 — 이것이 전형적인 "제로 값 전송 공격"입니다. 2023년부터 대규모로 나타나기 시작했으며 현재까지 피해가 계속되고 있습니다.
제로 금액 전송 공격의 원리는?
ERC-20 토큰 컨트랙트의 특성을 이용합니다: transferFrom 함수는 승인 금액이 0이어도 실행 성공하며, 0개 토큰을 전송합니다. 공격자의 단계:
- 대상 주소 모니터링: 자동화 스크립트로 대액 거래의 활성 주소 파악
- 유사 주소 생성: 앞뒤 몇 자리가 일치하는 주소를 대량 생성
- 제로 금액 전송 실행: 유사 주소에서 0 USDT를 전송하여 거래 내역에 기록
- 피해자가 걸려들기를 대기: 다음 전송 시 내역에서 주소를 복사하면 공격자의 주소를 복사할 수 있음
왜 이 공격이 성공하나요?
사용자의 조작 습관에 의존:
- 거래 내역에서 완전히 확인하지 않고 주소 복사
- 앞뒤 몇 자리만 확인 (위조 주소와 일치)
- 이상한 수신 기록 무시
실제 피해 사례
2023년 5월, 한 사용자가 제로 값 전송 공격으로 2,000만 달러의 USDT를 잃었습니다. 거래 내역에서 "익숙해 보이는" 주소를 복사했으나 공격자의 주소였습니다.
제로 값 전송 공격 방어 방법
- 주소록 기능 사용: 자주 사용하는 주소를 저장하고 내역이 아닌 주소록에서 선택
- 전체 주소 확인: 최소 앞 10자리와 뒤 10자리 대조
- 먼저 소액 테스트 전송: 대액 전송 전 소액으로 확인
- 알 수 없는 수신 기록 무시: 모르는 수신 기록에서 주소를 복사하지 않기
- 주소 라벨링 도구 사용
보안 주의사항
- 거래 내역에서 직접 주소를 복사하지 마세요
- 대액 전송 전 소액 테스트
- 전체 주소 확인 — 최소 20자 대조
- 알 수 없는 수신 내역에 주의
- 최신 버전 지갑 사용: 일부 지갑은 제로 값 전송을 숨기거나 표시
- 거래 알림 활성화
거래소에서의 전송은 주소 화이트리스트 등 추가 보호가 있습니다. 바이낸스에서 더 안전한 전송 흐름을 경험하세요. 바이낸스 앱을 다운로드하여(Apple 사용자는 iOS 설치 가이드 참조) 언제든 관리할 수 있습니다.
제로 금액 전송이 지갑에 피해를 주나요?
아닙니다. 제로 금액 전송 자체는 자산 손실을 일으키지 않으며 거래 내역에 기록만 남깁니다. 공격자의 주소를 잘못 복사하여 직접 전송할 때만 손실이 발생합니다.
제로 금액 전송을 차단할 수 있나요?
불가능합니다. 블록체인의 개방적 특성상 누구든 어떤 주소로든 전송할 수 있습니다. 좋은 조작 습관으로 자신을 보호하세요.
USDT만 제로 값 공격의 대상인가요?
아닙니다. 모든 ERC-20 토큰이 대상이 될 수 있습니다. USDT가 가장 많이 사용되는 스테이블코인이므로 주요 타겟입니다.
거래소에서 출금할 때도 이 공격에 당할 수 있나요?
거래소 출금은 수동 입력 또는 주소록 선택이 필요하며, 온체인 제로 값 전송 기록이 표시되지 않습니다. 위험은 비교적 낮지만 항상 주소를 확인하세요.