Back to Blog

서비스형 드레이너: 이더리움 1억 3,500만 달러 피싱 경제의 내부

Phalcon Compliance
October 21, 2025
4 min read
Key Insights

새로운 학술 논문 "Unmasking the Shadow Economy: A Deep Dive into Drainer-as-a-Service Phishing on Ethereum"이 Web3 공간을 위협하는 정교한 범죄 조직에 대한 최초의 체계적인 분석을 제공했습니다. **저장대학교(Zhejiang University)**와 무함마드 빈 자이드 인공지능대학교(MBZUAI)의 공동 연구로 진행된 이 논문은 76,582명의 피해자로부터 💲1억 3,500만 달러 이상을 탈취한 번성하는 지하 경제, "서비스형 드레이너(Drainer-as-a-Service, DaaS)"의 작동 방식을 밝혀냈습니다.

저희 BlockSec은 이 중요한 연구의 제1저자인 허보웬(Bowen He)이 저희 팀에서 인턴십을 수행하는 동안 연구의 일부를 진행했다는 사실을 특히 자랑스럽게 생각합니다.

DaaS 비즈니스 모델: 사이버 범죄의 산업화

전통적인 비정형 피싱과 달리, DaaS는 구조화된 B2B 소프트웨어 기업처럼 운영됩니다. 논문은 명확한 운영 파이프라인을 상세히 설명합니다:

  1. 운영자(개발자): 정교한 "지갑 드레이너" 툴킷을 개발하고 유지하는 핵심 기획자들입니다. 이 툴킷에는 피싱 웹사이트 템플릿과, 핵심적으로 자동화된 수익 배분 스마트 컨트랙트가 포함됩니다.
  2. 제휴사(배포자): 이 툴킷을 "임대"하거나 취득합니다. 이들의 역할은 피싱 사이트를 배포하고 트래픽을 유도하여, 소셜 미디어, 가짜 에어드롭, 탈취된 계정을 통해 피해자를 유인하는 것입니다. 피해자가 악성 트랜잭션에 서명하도록 속으면, 탈취된 자금은 스마트 컨트랙트에 의해 자동으로 분배됩니다. 논문에 따르면 가장 일반적인 분배 비율은 **운영자 20%, 제휴사 80%**입니다. 이 높은 수수료는 제휴사들이 도달 범위를 극대화하고 공격을 확장하도록 강력하게 동기를 부여하여, 전체 생태계를 부추깁니다.

1억 3,500만 달러 강탈의 지도 작성: "스노볼 샘플링" 접근법

이 지하 경제를 정량화하기 위해 연구진은 혁신적인 "스노볼 샘플링" 접근법을 개발했습니다. 알려진 피싱 주소의 시드 세트에서 시작하여, 온체인 수익 배분 트랜잭션을 추적함으로써 새로운 운영자, 제휴사, 컨트랙트를 재귀적으로 발견했습니다.

2023년 3월부터 2025년 4월까지의 연구 결과는 충격적입니다:

  • 총 탈취액: 💲1억 3,500만 달러 (운영자 2,310만 달러, 제휴사 1억 1,190만 달러)

  • 범죄 인프라: 1,910개의 수익 배분 컨트랙트와 87,077건의 수익 배분 트랜잭션.

  • 범죄 네트워크: 56개의 핵심 운영자 계정과 6,087개의 제휴사 계정.

공격은 기술적으로 정교합니다. 논문은 드레이너가 자산 유형에 따라 다른 방법을 사용한다고 밝힙니다:

  • ETH의 경우: 피해자는 payable 함수(예: "claim" 또는 "mint"라는 이름)를 호출하도록 속습니다.

  • ERC-20 및 NFT의 경우: 피싱 사이트는 피해자에게 드레이너 컨트랙트에 자산 승인을 유도합니다. 그런 다음 운영자는 TransferFrom 함수를 사용하여 단일 트랜잭션에서 여러 전송 호출을 실행하여 다양한 자산을 한 번에 탈취합니다.

지배적인 범죄 패밀리

DaaS 시장은 분산된 시장이 아닙니다. 연구는 9개의 주요 "패밀리"를 식별했으며, 세 그룹이 네트워크를 지배하며 **전체 불법 수익의 93.9%**를 차지합니다:

  1. Angel Drainer (5,310만 달러)
  2. Inferno Drainer (5,900만 달러)
  3. Pink Drainer (1,470만 달러) 이것들은 단순한 브랜드명이 아니라, 고유한 운영 전략을 가진 독립적인 조직입니다. 논문은 이들이 제휴사 네트워크를 관리하는 방식을 강조합니다:
  • 고급 관리: Angel과 Inferno Drainer 같은 상위 패밀리는 제휴사에게 수익을 실시간으로 추적할 수 있는 전용 관리자 패널을 제공합니다.

  • 게임화된 인센티브: 레벨링 시스템을 활용합니다. 예를 들어, Inferno Drainer는 수익($10k, $100k, $1M)에 따라 제휴사를 등급으로 분류하고, 최상위 회원에게는 더 나은 지원과 보상을 제공합니다.

  • 보너스 보상: 성과를 독려하기 위해, Angel Drainer는 고수익 제휴사에게 무작위로 NFT를 지급하고, Inferno Drainer는 상위 성과자에게 ETH와 심지어 BTC로 주기적인 보상을 지급합니다.

거대한 보안 사각지대

연구진은 툴킷 파일 지문을 활용하고 의심스러운 도메인 이름에 대한 인증서 투명성 로그를 모니터링하여 DaaS 웹사이트를 적극적으로 추적했습니다. 그 결과 32,819개의 피싱 사이트를 성공적으로 식별하고 신고했습니다.

그러나 가장 충격적인 발견은 현재 업계 방어 체계의 부적절함이었습니다. 연구에 따르면 데이터셋의 DaaS 관련 주소 중 단 10.8%만이 Etherscan과 같은 공개 추적기에 이미 신고되어 있었습니다. 이는 광범위한 사각지대를 드러내며, 이러한 범죄 네트워크가 사실상 처벌 없이 운영될 수 있도록 허용하고 있습니다.

이 연구가 중요한 경종을 울리는 이유

DaaS 현상은 Web3 피싱이 단순한 사기에서 산업화된 서비스 기반 범죄 경제로 진화했음을 증명합니다. 이는 DeFi의 무허가적이고 조합 가능한 특성을 악의적인 목적으로 교묘하게 악용합니다.

Phalcon Compliance 시작하기

지갑 스크리닝 및 KYT를 위한 크립토 컴플라이언스 허브

지금 무료로 시작하기

이 연구는 다층적 보안의 긴급한 필요성을 강조합니다:

  • 선제적 위협 탐지: 단순한 블랙리스트를 넘어 범죄 인프라가 구축되는 시점에 이를 식별합니다.

  • 고급 지갑 보안: 사용자가 자산에 서명하기 전에 강력한 트랜잭션 시뮬레이션과 명확하고 사람이 읽을 수 있는 경고를 구현합니다.

  • 생태계 전반의 협력: 위협 인텔리전스를 공유하고 악성 주소를 레이블링하기 위한 더 빠르고 포괄적인 채널을 구축합니다.

이 연구는 전환점을 표시합니다. 이더리움에서의 피싱은 더 이상 부업이 아닙니다—이는 공개적으로 운영되는 산업화된 수익 공유 경제입니다. BlockSec은 진화하고 전문화된 위협에 효과적으로 대응할 수 있는 차세대 보안 도구를 구축하기 위해 최첨단 연구를 지속적으로 활용할 것입니다.

논문 보기: https://assets.blocksec.com/pdf/1761189308551-2.pdf

Start Real-Time AML with Phalcon Compliance

Turn Phalcon Network alerts into actions with Phalcon Compliance. Use verified blockchain intelligence to screen wallets, monitor transactions and investigate risks. This helps you respond quickly and stay compliant in the digital assets ecosystem.

Phalcon Compliance