저희 암호화폐 거래소에서 사용자는 합법적인 토큰과 동일한 이름을 가진 토큰을 보내는 경우가 있지만 실제로는 진짜가 아닙니다. 예를 들어 USDT를 USDC로 스왑하려는 사람이 "USDT"라고 표시된 토큰을 보낼 수 있습니다. 지갑과 블록 탐색기에서 USDT처럼 보이지만 Tether에서 발행하지 않았습니다. 가짜입니다.
전문가로서 저희는 위조 토큰을 즉시 식별할 수 있습니다. 사실, 주의 깊은 사용자라면 누구나 할 수 있습니다. 예를 들어, 위의 스크린샷에서 가짜 USDT 토큰의 총 공급량이 10억 개이고[1] 모두 5개의 주소에만 저장되어 있으며[2] 35건의 거래만 이루어졌다는 것을 알 수 있습니다[3]. 이것은 명백한 위험 신호입니다.
하지만 문제는 블록 탐색기에서 토큰을 실제로 찾아보지 않으면 이러한 세부 정보를 알 수 없다는 것입니다. 대부분의 지갑은 그러한 정보를 표시하지 않고 토큰 이름(예: USDT)과 잔액만 표시합니다. 따라서 사용자는 자신이 가짜를 다루고 있다는 것을 모르는 경우가 많습니다. 그들은 누군가로부터 그것을 받아 진짜라고 가정하고 사업을 계속했습니다.
지원팀에서 토큰이 쓸모없다는 소식을 전하는 것은 항상 고통스럽습니다. 특히 관련된 금액이 큰 경우에는 더욱 그렇습니다. 일부 사용자는 처음에는 믿기를 거부합니다. 그들에게 그 50,000개의 "USDT" 토큰은 50,000달러와 동일했습니다. 저희가 달리 말하기 전까지는요.
이 기사에서는 이러한 일이 발생하는 이유와 이에 대해 할 수 있는 일이 있는지 살펴보겠습니다.
가짜 토큰은 왜 만들어지는가?
대부분의 블록체인은 완전히 개방된 시스템입니다. 누구나 원하는 이름으로 토큰을 만드는 것을 포함하여 그 안에 무엇이든 쓸 수 있습니다. 누군가가 "USDT" 또는 "Bitcoin"이라고 불리는 토큰을 등록하는 것을 막을 중앙 기관은 없습니다. 한편으로, 이것은 강점입니다. 네트워크는 검열에 저항합니다. 그러나 다른 한편으로는 동일한 이름을 가진 수십 개의 토큰이 동일한 생태계에 공존할 수 있음을 의미합니다.
이 문제는 이더리움에서 ICO와 DeFi 붐이 일어나는 동안 특히 두드러졌습니다. 유니스왑(Uniswap)과 같은 플랫폼에서는 누구나 토큰을 나열할 수 있었고 사기꾼들은 이를 빠르게 이용했습니다. 가장 유명한 예 중 하나는 2020년 9월에 있었던 폴카스타터(POLS)의 토큰 판매였습니다. 토큰 가격은 출시 직후 급등했고 사기꾼들은 가짜 POLS 토큰을 발행하여 유니스왑에 나열하기 위해 달려갔습니다.
진짜 토큰은 유니스왑에 뚜렷한 로고가 있었지만 일부 사용자가 가짜를 구매하는 것을 막지는 못했습니다. 그 중 하나는 $30,000 이상에 구매되었습니다.
많은 지갑 인터페이스에서 상황은 훨씬 더 나빴습니다. 가짜 토큰이 진짜 토큰과 똑같이 보였습니다. 일부 지갑은 로고를 전혀 표시하지 않았습니다. 다른 지갑은 외부 소스에서 가져왔고 사기꾼들은 단순히 폴카스타터 로고를 업로드하여 가짜 토큰이 진짜처럼 보이게 만들었습니다.
어떤 경우에는 혼란을 일으키는 데 동일한 이름이 필요하지 않고, 단순히 티커만 공유하면 됩니다. 예를 들어, 유니스왑이 토큰 UNI를 출시했을 때 일부 트레이더는 이를 유니콘이라는 프로젝트에서 UNI라고도 하는 다른 토큰과 혼동했습니다. 사람들은 잘못된 토큰을 사기 위해 달려들어 가격을 $0.001에서 $5로 끌어올려 5,000배나 올랐습니다. 실수가 알려지자 가격은 순식간에 폭락했습니다. 어떤 사람들은 우연히 돈을 벌었고, 어떤 사람들은 너무 쉽게 돈을 잃었습니다.
또한 토큰이 다른 토큰이 아닌 토큰이 없는 암호화폐 서비스의 이름을 모방하는 경우도 있습니다. “프로젝트의 실제 토큰인데 아직 공식적으로 발표하지 않았기 때문에 가격이 저렴한 거예요!”라는 소문이 퍼집니다. 예를 들어 2025년 1월에 스타트업 SoSoValue는 누군가가 자신들의 브랜드를 사용하여 BSC에서 가짜 SOSO 토큰을 발행했다고 경고했습니다. 그들은 암호화폐를 출시한 적이 없었음에도 말이죠. 사용자들은 가짜를 피하고 정보 출처를 신중하게 확인하라는 촉구를 받았습니다.
가짜 토큰을 구매하면 다른 사람을 속여서 진짜라고 믿게 하지 않는 한 판매할 수 없을 가능성이 높습니다. 그럼에도 불구하고 이상하게도 가짜 토큰은 때때로 수요를 끌어들입니다. 예를 들어:
- 2025년 2월 13일, 창펑 자오는 X에 그의 강아지 브로콜리 사진을 게시하고 자신의 이름으로 토큰을 발행하지 않겠다고 명시적으로 밝혔습니다. 그럼에도 불구하고 여러 개의 "브로콜리" 토큰이 BNB 체인에 나타났고 그 중 일부는 여전히 거래되고 있으며 rabbit.io에서 스왑됩니다.
- 2025년 3월 12일, 가짜 PAWS 토큰이 Raydium DEX에서 Bybit의 실제 PAWS 토큰 가격의 90배에 거래되었습니다.
진실은 관심이 가치를 창출한다는 것입니다. 심지어 모조품도 마찬가지입니다. 그리고 일부 위조업자들은 자신의 창작물에 관심을 끄는 데 매우 능숙합니다.
그렇다고 해서 이것에 의존해서는 안 됩니다. 가짜 토큰을 받았다면 어디에 버릴 수 있을지 알아보려고 하지 않는 것이 좋습니다.
2021년에 트론 블록체인의 사기꾼들은 수천 개의 주소로 실제 암호화폐를 모방한 화려한 이름의 무료 토큰을 보냈습니다. 아무것도 모르는 사용자가 지갑에서 "선물"을 발견하고 판매하려고 하면 덫에 걸리게 됩니다. 토큰을 거래할 수 있는 유일한 플랫폼에서는 의심스러운 스마트 계약을 승인하라는 메시지가 표시되어 지갑이 손상될 수 있습니다.
그 특정 계획은 이제 대부분 잊혀졌습니다. 하지만 사기꾼들이 수천 개의 지갑에 토큰을 저렴하고 쉽게 배포할 수 있는 다른 블록체인에서 이를 반복하려는 유혹을 받을까 봐 걱정됩니다.
가짜 토큰 문제는 해결될 수 있을까요?
사실 기술적인 해결책이 있습니다.
최초의 토큰화 프로토콜인 Colored Coins, Omni Layer 및 Counterparty는 2012년과 2014년 사이에 도입되었으며 비트코인 블록체인을 기반으로 구축되었습니다. Colored Coins와 Omni Layer는 동일한 토큰 이름을 여러 번 사용하는 데 제한을 두지 않았습니다. 대조적으로 Counterparty는 토큰 이름이 고유해야 하는 시스템을 도입했습니다. 즉, 누군가가 2014년에 LTBCOIN이라는 자산을 만들었고 오늘 2025년에 해당 이름의 토큰을 보게 된다면 그것이 동일한 토큰이라는 것을 확신할 수 있습니다. 이 프로토콜은 선택한 이름이 이미 등록되었는지 확인합니다. 그렇다면 토큰 생성 트랜잭션은 거부됩니다.
그러나 이 접근 방식은 널리 확산되지 않았습니다. 동일한 원칙에 따라 작동하는 도메인 이름의 역사는 그 이유를 보여줍니다. 매력적인 이름은 빠르게 빼앗기고 실제 프로젝트 이름은 실제 프로젝트와 아무 관련이 없는 사이버 스쿼터에 의해 예약되는 경우가 많습니다. 따라서 합법적인 프로젝트 제작자가 모든 토큰 플랫폼에서 자신의 이름을 주장하기 위해 서두르지 않는 한 가짜 토큰으로 끝날 수도 있습니다. 아마도 이것이 Counterparty의 솔루션이 이더리움, 솔라나, BNB 체인 또는 기타 어떤 주요 토큰화 생태계에서도 채택되지 않은 이유일 것입니다.
이 아이디어의 흥미로운 개선 사항은 2024년 4월에 비트코인에서 출시된 룬 프로토콜에서 볼 수 있습니다. 룬을 통해 발행된 모든 토큰은 고유한 이름을 갖지만 USDT 또는 USDC와 같은 이름은 현재 사용할 수 없습니다.
프로토콜이 아직 레이더에 잡히지 않았을 때 사용자는 13자 이상의 이름만 등록할 수 있었습니다. 등록은 비트코인 블록 840,000(2024년 4월 20일에 채굴됨)에서 열렸고 해당 길이 제한은 17,500 블록 동안 적용되었습니다. 블록 857,500(2024년 8월 19일에 채굴됨)부터 12자 이름이 사용 가능해졌습니다. 블록 875,000은 11자 이름의 잠금을 해제했습니다.
USDT 및 USDC와 같은 4자 이름은 2027년 4월경에 사용할 수 있을 것으로 예상됩니다. 프로토콜 개발자들은 그때쯤이면 실제 토큰 발행자가 관심을 갖고 스쿼터가 하기 전에 정당한 이름을 주장할 수 있을 만큼 충분한 견인력을 얻을 수 있기를 희망합니다.
그러나 룬 프로토콜이 출시된 지 1년 후, 실제로 견인력을 얻지 못한 것 같습니다. 대부분의 토큰 제작자는 여전히 더 저렴하고 사용하기 쉬운 다른 플랫폼을 선호합니다. 불행히도 이러한 플랫폼은 가짜 토큰에 대해 프로토콜 수준의 보호를 제공하지 않습니다.
프로토콜 수준의 안전 장치가 드물기 때문에 개발자들은 블록 탐색기, 지갑 및 토큰 목록과 같은 응용 프로그램 수준에서 솔루션을 구현하기 시작했습니다.
Etherscan, BscScan 및 TronScan과 같은 인기 있는 탐색기에서는 확인된 토큰이 확인 표시 또는 기타 시각적 지표로 표시됩니다. 토큰에 그러한 표시가 없으면 사용자는 주의해서 진행하는 것이 좋습니다.
MetaMask, wallet.rabbit.io 등과 같은 지갑은 일반적으로 승인된 토큰 또는 사용자가 이전에 상호 작용한 토큰에 대해서만 잔액을 표시합니다. 지갑에 무작위로 나타나는 가짜 토큰은 기본적으로 표시되지도 않습니다. MetaMask에서 사용자는 수동으로 토큰을 추가할 수 있지만 그러려면 스마트 계약 주소를 입력해야 하므로 토큰 이름보다 더 깊이 살펴보는 것이 좋습니다. 그 단계만으로 사용자가 가짜를 식별하는 데 도움이 될 수 있습니다.
그러나 이러한 소위 "화이트리스트"는 새로운 과제를 제시합니다. 합법적이지만 덜 알려진 토큰이 사용자에게 도달하기가 더 어려워집니다. 인정이나 검증이 없으면 최신 토큰은 완전히 안전하더라도 눈에 띄기 어렵습니다.
대안은 의심스럽거나 오해의 소지가 있는 토큰 목록인 블랙리스트를 사용하는 것입니다. 하지만 이러한 목록에는 자체적인 문제가 있습니다. 예를 들어 2019년에 Waves 네트워크는 의심스러운 토큰을 블랙리스트에 올리기 시작했습니다. 불행한 사례 중 하나는 지역 커뮤니티 토큰인 HBTC(Humboldt Bitcoin)였습니다. 몇 달 동안 활발하게 유통된 후 HBTC의 티커가 BTC와 너무 유사해 보인다는 이유만으로 갑자기 스팸으로 플래그가 지정되었습니다. 그 결과 토큰을 받은 사용자는 토큰이 사기가 아니고 제작자가 잘못한 것이 없었음에도 불구하고 더 이상 지갑에서 볼 수 없었습니다.
일부 개발자는 웹에서 URL이 작동하는 방식에서 영감을 얻어 통합 토큰 로케이터(UTL)에 대한 새로운 형식을 제안하고 있습니다. 이름을 기준으로 토큰을 식별하는 대신 네트워크 + 토큰 ID 조합을 사용하여 모호성을 제거하는 것입니다. 예를 들면 다음과 같습니다.
- ethereum:0xa0b86991c6218b36c1d19d4a2e9eb0ce3606eb48
- solana:EPjFWdd5AufqSSqeM2qN1xzybapC8G4wEGGkZwyTDt1v
- stellar:USDC-GA5ZSEJYB37JRC5AVCIA5MOP4RHTM335X2KGX3IHOJAPP5RE34K4KZVN
이것은 잠재력이 큰 간단한 아이디어입니다. 각 웹사이트에 있는 것처럼 말이죠.
- 이름(예: Medium)
- 그리고 URL(예: https://medium.com)
…토큰에는 다음과 같은 것이 있을 수 있습니다.
- 이름(예: USD Coin)
- 그리고 특정 블록체인의 실제 자산을 명확하게 가리키는 하나 이상의 UTL.
이것은 가짜 토큰을 방지하는 데 도움이 될 뿐만 아니라 잘못된 네트워크로 토큰을 보내는 것과 같은 실수를 줄이는 데도 도움이 될 것입니다. Rabbit Swap에서도 가끔 볼 수 있는 것이죠. 예를 들어 사용자는 이더리움의 USDT를 BTC로 교환하려고 하지만 실수로 Base의 USDT를 대신 보낼 수 있습니다. 이러한 경우 스왑 또는 환불은 수동으로 처리해야 하며, 이는 일반적인 자동화된 워크플로보다 시간이 훨씬 더 오래 걸립니다.
즉, UTL은 적어도 현재 형태로 문제를 완전히 해결하지는 못합니다. 콜론 뒤의 부분(토큰 ID)은 실제로 고유합니다. 하지만 그 앞부분은 어떻습니까?
누군가가 새로운 블록체인을 시작하고 "이더리움", "솔라나" 또는 "비트코인"이라고 부르는 것을 막을 수 있는 것이 무엇일까요? 기술적으로는 아무것도 없습니다. 그리고 예, 이미 그런 일이 발생했습니다.
2017년 8월에 비트코인 네트워크는 하드 포크를 거쳐 비트코인 캐시(BCH)를 생성했습니다. 한동안 2017년 말과 2018년 초에 bitcoin.com 웹사이트는 Bitcoin Cash를 "진짜" 비트코인으로 홍보하는 동시에 원래 체인을 "비트코인 코어"(노드 소프트웨어 이후)라고 칭했습니다. 많은 사용자들이 브랜딩에 혼란스러워하며 결국 BCH가 원래 BTC라고 생각하고 구매하게 되었습니다. 광범위한 비판 끝에 사이트는 결국 해당 메시지를 철회했지만 이번 에피소드는 가장 잘 알려진 암호화폐조차도 사칭에 취약하다는 것을 증명합니다.
그리고 이더리움은 어떻습니까? 상황은 나아지지 않았습니다. 오늘날에도 일부 사람들은 여전히 이더리움 클래식이 진짜 이더리움이라고 믿습니다. 그렇다면 그들이 ethereum:0xa0…와 같은 UTL을 제공한다면 어떤 체인을 참조한다고 생각하십니까?
대체로 기술적인 해결책이 풍부함에도 불구하고 가짜 토큰 문제는 조만간 사라지지 않을 것입니다.
그래서 무엇을 할 수 있을까요?
궁극적으로 유일한 진정한 보호는 지갑에 들어오는 모든 토큰을 직접 주시하는 것입니다.
rabbit.io에서 스왑의 일부로 토큰을 받았다면 정품이라고 확신할 수 있습니다.
그러나 토큰이 알 수 없는 소스에서 오는 경우 안전을 유지하는 가장 좋은 방법은 확인된 토큰만 표시하는 지갑 또는 이전에 상호 작용한 토큰을 표시하는 지갑을 사용하는 것입니다. 그리고 새 토큰을 사용하기 전에 다음 중 하나를 확인하십시오.
- 스마트 계약 주소(이더리움, 트론 또는 솔라나와 같은 블록체인의 경우) 또는
- 자산 ID(비트코인, 스텔라 또는 아발란체 X-Chain과 같은 블록체인의 경우)
프로젝트의 공식 채널 또는 커뮤니티를 통해
그런 다음 해당 확인된 주소 또는 식별자를 사용하여 수동으로 토큰을 지갑에 추가합니다.
이러한 방식으로 이름이 아무리 비슷하더라도 모조 토큰이 지갑에 표시되지 않습니다.
