ZachXBT, Polyarb를 활성 지갑 탈취 기능이 있는 가짜 예측 시장으로 지목

• ZachXBT는 2026년 5월 4일, Polyarb가 암호화폐 사용자를 노리는 활성 지갑 탈취 코드를 호스팅하고 있다고 경고했습니다.
• 폴리아브 게시물에 답글을 남기는 유명 계정들은 자신도 모르게 이 사기를 새로운 대상층에게 확산시키고 있습니다.
• 이번 경고는 ZachXBT가 최근 라자루스(Lazarus)와 연관된 동결 자금 7,100만 달러를 회수하려는 미국 로펌을 폭로한 데 이어 나온 것이다.

폴리아브의 활동 방식

지갑 탈취 도구는 악성 스마트 계약 승인을 일상적인 거래로 위장하여 작동합니다. 사용자가 지갑을 연결하고 입금, 청구 또는 시장 진입으로 보이는 행동에 서명하면, 탈취 도구는 숨겨진 별도의 승인을 트리거하여 공격자가 지갑 자금에 대한 완전한 접근 권한을 얻게 합니다.

ZachXBT는 특히 '확산 위험'을 지적했습니다. 즉, 유명 암호화폐 계정이 Polyarb 게시물에 답글을 달면서, 해당 플랫폼이 원래는 얻을 수 없었을 유기적 노출을 얻게 된 것입니다. 사기 플랫폼의 콘텐츠에 답글을 달면, 비록 회의적인 태도라 할지라도, 그 플랫폼은 답글을 단 사용자의 전체 팔로워(수백만 명에 달할 수 있음)에게 노출되며, 해당 출처가 악성이라는 어떠한 표시도 없이 확산됩니다.

더 광범위한 현상의 일부

2026년 들어 가짜 탈중앙화 금융(DeFi) 및 예측 시장 플랫폼은 점점 더 흔한 공격 수단이 되었습니다. 사기 운영자들은 상품선물거래위원회(CFTC)와의 규제 관계를 공개한 폴리마켓(Polymarket) 및 칼시(Kalshi)와 같은 합법적 플랫폼의 높아진 인지도를 악용하여, 유사한 브랜딩을 사용하되 감사받은 계약서가 없는 모방 사이트를 생성합니다.

ZachXBT는 막대한 손실이 발생하기 전에 이러한 위협과 기타 관련 위협을 지속적으로 폭로해 온 실적을 보유하고 있습니다. 이달 초, 이 조사관은 한 미국 로펌(Gerstein Harrow)이 2026년 4월 라자루스 그룹(Lazarus Group)과 연계된 켈프DAO(KelpDAO) 해킹 사건 이후 동결된 7,100만 달러 상당의 이더리움을 압류하기 위한 청구를 제기했다고 밝혔습니다. 이 로펌은 북한에 대한 2015년 법원 판결을 이용해 실제 해킹 피해자들보다 우선적으로 자금을 회수하려는 의도를 보였습니다.

안전을 지키는 방법

지갑을 예측 시장이나 디파이(DeFi) 플랫폼에 연결하기 전에, 사용자는 플랫폼의 공식 문서를 통해 계약 주소를 확인하고, 신뢰할 수 있는 보안 업체의 공개 스마트 계약 감사 보고서가 존재하는지 확인해야 합니다. 주의해야 할 신호로는 규제 기관과의 관계가 공개되지 않은 경우, 계약 감사가 이루어지지 않은 경우, 그리고 주장하는 활동 수준에 비해 최근에 등장한 소셜 미디어 프로필 등이 있습니다.

Revoke.cash와 같은 도구를 사용하여 의심스러운 상호작용이 발생한 후 토큰 승인 권한을 취소하면, 이미 드레이너(drainer)가 작동한 경우에도 지속적인 피해를 제한할 수 있습니다. 익숙하지 않은 플랫폼에 연결할 때는 상당한 자금을 보관하는 브라우저 기반 핫 월렛 대신 하드웨어 월렛을 사용하면, 모든 거래에 물리적 확인이 필요하기 때문에 추가적인 보호 장치를 마련할 수 있습니다.