본문으로 건너뛰기

출처를 알 수 없는 소액 입금(더스팅 공격) 주의 안내

정보

이 문서는 내 지갑으로 출처를 알 수 없는 주소에서 극소량의 코인이 전송된 경우, 더스팅(Dusting)이 무엇인지와 주의해야 할 점, 피해를 예방하는 방법을 안내합니다.

 

[더스팅(Dusting)이란?]

더스팅은 사용자의 지갑 주소로 아주 적은 수량의 코인이나 토큰을 무작위로 보내는 행위를 말합니다.

이러한 소액 전송은 블록체인 상에서 사용자의 주소 활동을 추적하거나, 이후 피싱 링크, 사칭 메시지, 악성 DApp 연결 등 추가 공격으로 이어질 수 있습니다.

Dusting-ko.png

 

[내 지갑이 해킹된 건가요?]

출처를 알 수 없는 소액 코인이나 토큰이 들어왔다고 해서, 그것만으로 지갑이 해킹되었다고 볼 수는 없습니다.

블록체인 주소는 공개 정보이기 때문에 누구나 해당 주소로 자산을 전송할 수 있습니다. 따라서 알 수 없는 주소에서 소액 자산이 전송되는 경우가 발생할 수 있습니다.

 

다만, 아래와 같은 행위는 매우 주의해야 합니다.

  • 트랜잭션 내역에 포함된 특정 링크를 클릭하는 행위 (주로 코인 보상이나 에어드랍 안내로 위장되어 있습니다.)

  • 해당 자산과 관련된 외부 사이트에 접속하는 행위

  • 지갑 복구, 보안 점검, 자산 확인 등을 이유로 복구 단어(니모닉 코드), 개인 키, PIN 번호, 비밀번호 입력을 요구하는 행위

  • 수상한 DApp 연결 또는 서명(Approve)을 요청하는 행위

 

[더스팅 공격으로 인한 피해를 예방하려면]

다음 보안 수칙을 지켜 주세요.

  • 출처를 알 수 없는 소액 금액의 거래 내역은 임의로 클릭하거나 상호작용하지 말고 그대로 두세요.

  • 거래 내역 또는 토큰명에 포함된 링크, 웹사이트 주소, 안내 문구를 신뢰하지 마세요.

  • 복구 단어(니모닉 코드), 개인 키, PIN 번호, 앱 비밀번호는 누구에게도 공유하지 마세요.

  • 수상한 DApp에 지갑을 연결했거나 승인한 경우에는 즉시 연결 권한 및 토큰 승인 내역을 점검해 주세요.

  • 최근 트랜잭션 내역에 표시된 주소를 그대로 선택하거나 복사해 사용하지 마세요. 더스팅과 함께 어드레스 포이즈닝(Address Poisoning) 방식이 사용될 수 있으며, 실제 주소와 유사한 가짜 주소로 오송금을 유도할 수 있습니다. 따라서 코인을 보낼 때 입력한 주소는 반드시 전체 주소를 확인해 주세요. 어드레스 포이즈닝(Address Poisoning) 관련 내용은 아래 문서를 참고해 주세요.

지갑 주소 유사(앞·뒤 동일, 가운데 변경) 피싱 주의 안내

 

[더스팅 공격이 의심될 때 이렇게 확인하세요]

아래 상황에 해당하면 더스팅 또는 피싱 시도로 의심할 수 있습니다.

  • 모르는 주소에서 소량의 코인 또는 토큰이 반복적으로 들어오는 경우

  • 입금된 자산 이름이나 메모에 외부 링크가 포함된 경우

  • “지갑 복구”, “에어드랍 수령”, “보안 점검”, “자산 확인” 등을 이유로 외부 사이트 접속을 유도하는 경우

  • 고객센터, 개발자, 공식 담당자를 사칭하며 복구 단어 또는 서명을 요구하는 경우

이 경우에는 링크 클릭이나 추가 동작을 하지 말고, 해당 자산을 무시해 주세요.

 

[피해가 의심된다면 지금 바로 조치하세요]

다음과 같은 상황이라면 즉시 보안 조치가 필요합니다.

  • 복구 단어(니모닉 코드) 또는 개인 키를 입력한 경우

  • 수상한 사이트에서 지갑을 연결하거나 서명을 승인한 경우

  • 승인하지 않은 트랜잭션이 발생한 경우

  • 자산이 임의로 이동된 경우

이 경우에는 아래 순서대로 조치해 주세요.

  • 가능한 경우 자산을 안전한 새 지갑 주소로 즉시 이동

  • 연결한 DApp 및 승인 내역 점검

  • 디센트 공식 고객센터에 1:1 문의 접수

  • 필요 시 사이버범죄 신고 또는 수사기관 신고 진행

[참고 사항]

  • 출처를 알 수 없는 소액 입금만으로 지갑이 해킹된 것은 아닙니다.

  • 하지만 이를 계기로 피싱, 사칭, 악성 링크, DApp 승인 유도 등 추가 공격이 이어질 수 있으므로 주의가 필요합니다.

  • 또한 의심되는 거래 내역은 클릭하지 말고, 코인을 전송할 때 입력한 주소는 반드시 전체 주소를 다시 확인한 후 보내주세요.

  • 가장 중요한 원칙은 복구 단어(니모닉 코드), 개인 키, PIN 번호, 비밀번호를 절대 입력하거나 공유하지 않는 것입니다.