autorenew

meme-insider.com LOGO Meme Insider

주의: 오픈소스 개발자 대상 가짜 Gitcoin 보조금 피싱 사기

주의: 오픈소스 개발자 대상 가짜 Gitcoin 보조금 피싱 사기

오픈소스 개발자라면, 특히 블록체인 분야에 있다면 GitHub에서 온 이슈나 알림 이메일을 받아본 적이 있을 겁니다. 그런데 최근에 GitHub과 Gitcoin의 정식 보조금으로 가장한 교묘한 피싱 사기가 유통되고 있습니다. 보안 연구원 @m4rio_eth의 화제가 된 스레드를 바탕으로 무슨 일이 벌어지고 있는지, 그리고 어떻게 스스로를 보호할 수 있는지 정리해봅시다.

사기 전말

모든 것은 공식 GitHub 알림처럼 보이는 메시지에서 시작됩니다. "gitcoin-foundationdao"인 척하는 봇 계정이 당신의 리포지토리에 이슈를 생성하며 "GitHub x Gitcoin Developer Fund 2025" 지원 자격을 알립니다. 메시지는 quadratic funding(쿼드러틱 펀딩), 15,000,000 USD의 매칭 풀 등을 언급하며 Gitcoin Passport로 지갑을 검증하라고 초대합니다. 그럴 듯해 보이죠? Gitcoin이 실제로 웹3의 오픈소스 프로젝트에 자금을 지원하는 플랫폼이기 때문에 더더욱 믿기 쉽습니다.

그러나 위험 신호가 있습니다: 제공된 링크(grants.github.com/Apply-form 같은 형태로 보이는)는 실제로는 "github-fundation.com"이라는 가짜 사이트로 리디렉션됩니다(철자를 잘못 쓴 "fundation"에 주목하세요). 그곳에서는 암호화폐 지갑 연결을 요구하는데, 이는 자금이나 프라이빗 키를 탈취하려는 전형적인 피싱 수법입니다.

Cantina의 수석 보안 연구원이자 Soldeer(이더리움 스마트 컨트랙트를 위한 최초의 Solidity 패키지 매니저) 창시자인 @m4rio_eth는 자신의 Soldeer 작업 때문에 표적이 되어 이 사기를 발견했습니다. 그는 커뮤니티에 경고하기 위해 가짜 이메일, 허위 GitHub 계정, 피싱 사이트의 스크린샷을 공유했습니다.

Gitcoin 보조금 가짜 GitHub 이슈 알림 스크린샷

스레드에서 그는 사기꾼들이 여러 리포에 걸쳐 500개가 넘는 가짜 이슈를 만든 점을 지적합니다. 이 때문에 이메일이 GitHub 시스템에서 직접 온 것처럼 보여 진짜처럼 보입니다. 가짜 봇 계정이 새로 만들어진 상태였던 것도 또 다른 사기 징후였습니다.

공격 방식

  • 가짜 이슈 생성: 사기꾼들이 GitHub 계정을 만들어 보조금 알림 이슈를 스팸으로 남깁니다.
  • 진짜처럼 보이는 이메일: 실제 GitHub 상호작용이기 때문에 [email protected]에서 온 이메일로 스팸 필터를 통과합니다.
  • 피싱 리디렉션: 포함된 링크가 공식 GitHub 또는 Gitcoin 페이지를 모방한 위조 사이트로 연결됩니다.
  • 지갑 연결 유도: 피해자에게 "검증"을 명목으로 지갑 연결을 요구해 자금이 탈취될 수 있습니다.

이건 단순한 무작위 공격이 아니라, 오픈소스에 활발히 기여하는 사람들—특히 meme token이나 DeFi 도구를 만드는 Solidity 개발자들처럼 블록체인 관련 활동을 하는 이들을 겨냥한 표적형 공격입니다. Ethereum이나 Solana 위에서 개발 중이라면 리스크에 노출되어 있습니다.

가짜 GitHub 봇 계정 스크린샷

커뮤니티 반응 및 업데이트

@m4rio_eth는 경고에 그치지 않고 대처에 나섰습니다—그는 가짜 이슈들에 대량으로 댓글을 달아 다른 사람들에게 알리며 GitHub 정지 위험을 감수했습니다. 그는 500개의 이슈에 "사기입니다!" 같은 내용으로 댓글을 남겨 추가 피해를 막으려 했습니다. 다행히도 스레드에 달린 다른 사람들의 답글로 그의 경고 덕분에 클릭을 피한 사례들이 확인됩니다.

한 사용자는 이메일을 받았지만 무시했다고 밝혔고, 다른 사람은 Lido를 사칭한 유사한 피싱 사례를 지적하기도 했습니다. 이는 web3 사기들이 신뢰받는 이름들(예: Gitcoin)을 악용해 빠르게 진화한다는 사실을 상기시켜 줍니다. Gitcoin은 실제로 쿼드러틱 모델을 통해 공공재 펀딩을 지원하는 플랫폼입니다.

지갑 연결을 요청하는 피싱 웹사이트 예시

안전 수칙

블록체인과 오픈소스의 세계에서는 경계심이 필수입니다. 다음을 실천하세요:

  • 링크는 직접 확인: 클릭하지 말고 URL을 직접 입력해 접속하세요. "fundation"과 "foundation" 같은 철자 오류를 잘 확인하세요.
  • 공식 채널 이용: 진짜 Gitcoin 보조금은 gitcoin.co나 공식 GitHub 페이지에서 공지됩니다. 100% 확신이 없으면 지갑을 절대 연결하지 마세요.
  • 2FA와 하드웨어 월렛 사용: meme tokens이나 기타 암호 자산을 다룰 때는 추가 보안을 위해 이들을 활성화하세요.
  • 의심스러운 활동 신고: X에서 @github를 태그하거나 플랫폼에서 직접 이슈를 신고하세요.
  • 팀 교육: 개발자 커뮤니티의 일원이라면 이 스레드를 공유해 경각심을 확산하세요.

이번 사기는 오픈소스와 web3의 취약점이 만나는 지점을 보여줍니다. Soldeer 같은 도구는 meme token 개발을 쉽게 만들어주지만, 동시에 악의적 행위자의 표적이 되기도 합니다. 정보를 공유하고 방심하지 않음으로써 생태계를 안전하게 지킬 수 있습니다.

비슷한 사기를 겪었거나 팁이 있다면 아래 댓글로 남겨 주세요. 블록체인 보안과 meme token 인사이트에 대해 더 알고 싶다면 Meme Insider에 계속 방문하세요.

사기 세부 정보 및 경고 추가 스크린샷
태그:
#blockchain security #crypto wallet safety #gitcoin grants #github security #open source phishing #phishing scam #soldeer #web3 scams

추천 기사