Rick Maeda 의 원문 기사
Odaily Planet Daily Golem( @web3_golem ) 에서 편집
사실 대부분의 암호화 사용자는 복잡한 취약점을 통해 해킹당하는 것이 아니라, 클릭, 서명 또는 잘못된 것을 신뢰함으로써 공격을 받습니다. 이 보고서에서는 매일 사용자에게 발생하는 보안 공격을 자세히 분석합니다.
피싱 키트와 지갑 도둑부터 맬웨어와 가짜 고객 서비스 사기까지, 암호화폐 산업에서 발생하는 대부분의 공격은 프로토콜을 표적으로 삼는 것이 아니라 사용자를 직접 표적으로 삼습니다. 따라서 일반적인 공격은 코드보다는 인간적인 요소에 초점을 맞춥니다. 따라서 이 보고서에서는 일반적인 취약점뿐만 아니라 실제 사례 분석과 사용자가 일상 생활에서 주의해야 할 사항까지 다루어 개별 사용자의 암호화폐 취약점을 설명합니다.
당신은 공격의 표적입니다
암호화폐는 설계상 자체 보관이 가능합니다. 하지만 이러한 근본적인 속성과 핵심적인 산업 가치 때문에 종종 사용자(사용자)가 단일 실패 지점에 빠지게 됩니다. 개인이 암호화폐 자금을 잃은 많은 경우, 문제는 프로토콜 취약점이 아니라 클릭, 개인 메시지 또는 서명이었습니다. 겉보기에 사소해 보이는 일상의 일, 한 순간의 신뢰나 부주의가 사람의 암호화폐 경험을 바꿀 수 있습니다.
따라서 이 보고서는 스마트 계약 논리 문제를 다루지 않고, 개별 위협 모델을 다루며, 실제로 사용자가 어떻게 악용당하고 있는지, 그리고 어떻게 대응해야 하는지 분석합니다. 보고서는 피싱, 지갑 인증, 소셜 엔지니어링, 맬웨어 등 개인 수준의 취약성 공격에 초점을 맞춥니다. 보고서는 또한 암호화폐 분야에서 발생할 수 있는 다양한 악용 사례를 개략적으로 설명하기 위해 프로토콜 수준의 위험을 간략히 살펴보는 것으로 끝맺습니다.
개인이 직면한 취약성 공격 방법 분석
허가 없이 이루어지는 거래는 일반적으로 중개자의 개입 없이 영구적이고 되돌릴 수 없으며, 개별 사용자가 금융 자산을 보유한 장치와 브라우저에서 익명의 상대방과 상호 작용해야 한다는 필요성이 결합되어 암호화폐는 해커와 기타 범죄자들에게 탐내는 사냥터가 되었습니다.
개인이 직면할 수 있는 다양한 유형의 공격은 아래와 같습니다. 하지만 이 섹션에서는 대부분의 공격 유형을 다루지만 모든 유형을 다루는 것은 아니라는 점에 유의하시기 바랍니다. 암호화폐에 익숙하지 않은 사람들에게는 이러한 취약점 목록이 어지러울 수 있지만, 그 중 상당수는 인터넷 시대에 이미 발생했던 일반적인 취약점이며 암호화폐 산업에만 국한되지 않습니다.
사회 공학 공격
심리적 조작을 이용해 사용자를 속여 개인 안전을 위협하는 공격입니다.
피싱: 실제 플랫폼을 모방하여 자격 증명이나 복구 문구를 훔치는 가짜 이메일, 메시지 또는 웹사이트입니다.
사칭 사기: 공격자는 KOL, 프로젝트 리더 또는 고객 서비스 담당자를 사칭하여 신뢰를 얻고 자금이나 민감한 정보를 훔칩니다.
니모닉 사기: 가짜 복구 도구나 경품을 통해 사용자를 속여 복구 문구를 제공하게 합니다.
가짜 에어드롭: 무료 토큰으로 사용자를 유인하고, 안전하지 않은 지갑 상호 작용이나 개인 키 공유를 유발합니다.
가짜 취업 제안: 취업 기회처럼 위장하지만 악성 소프트웨어를 설치하거나 민감한 데이터를 훔치도록 설계되었습니다.
펌프 앤 덤프 사기: 소셜 미디어의 과대광고를 통해 아무것도 모르는 개인 투자자들에게 토큰을 판매하는 행위.
통신 및 계정 인수
인증을 우회하기 위해 통신 인프라나 계정 수준의 취약점을 악용합니다.
SIM 스와핑: 공격자는 피해자의 휴대폰 번호를 하이재킹하여 2단계 인증(2FA) 코드를 가로채고 계정 자격 증명을 재설정합니다.
자격 증명 채우기: 손상된 자격 증명을 재사용하여 지갑이나 거래소 계정에 접근하는 행위입니다.
2단계 인증 우회 : 취약한 인증이나 SMS 기반 인증을 악용하여 무단으로 접근하는 것.
세션 하이재킹: 악성 소프트웨어나 보안되지 않은 네트워크를 통해 브라우저 세션을 훔쳐 로그인된 계정을 장악하는 행위입니다.
해커들은 SIM 카드 교체를 이용해 SEC 트위터 계정에 접근 하고 가짜 트윗을 게시했습니다.
악성 소프트웨어 및 장치 취약점
사용자 기기를 해킹하여 지갑에 접근하거나 거래를 변조하는 행위.
키로거: 키 입력을 기록하여 비밀번호, PIN, 복구 문구를 훔칩니다.
클립보드 하이재커: 붙여넣은 지갑 주소를 공격자가 제어하는 주소로 바꿔버립니다.
원격 액세스 트로이 목마(RAT): 공격자는 이를 통해 피해자의 지갑을 포함한 기기를 완전히 제어할 수 있습니다.
악성 브라우저 확장 프로그램: 손상되었거나 가짜 확장 프로그램은 데이터를 훔치거나 거래를 조작할 수 있습니다.
가짜 지갑 또는 애플리케이션: 사용 시 자금을 훔치는 가짜 애플리케이션(앱 또는 브라우저).
중간자 공격(MITM) 공격: 특히 보안되지 않은 네트워크를 통해 사용자와 서비스 제공자 간의 통신을 가로채고 수정합니다.
보안되지 않은 WiFi 공격: 공용 WiFi나 침해된 WiFi는 로그인이나 전송 중에 민감한 데이터를 가로챌 수 있습니다.
가짜 지갑은 암호화폐 초보자를 표적으로 삼는 일반적인 사기입니다.
지갑 수준의 취약점
사용자가 지갑을 관리하거나 상호 작용하는 방식에 대한 공격입니다.
악의적인 자금 승인 유출: 악의적인 스마트 계약이 이전 토큰 승인을 악용하여 토큰을 유출합니다.
블라인드 서명 공격: 사용자가 난독화된 거래 조건에 서명하여 자금(예: 하드웨어 지갑) 손실이 발생합니다.
니모닉 도용: 악성 소프트웨어, 피싱 또는 부적절한 저장 습관으로 인해 니모닉이 유출되는 현상입니다.
개인 키 유출: 안전하지 않은 저장(예: 클라우드 드라이브나 일반 텍스트 메모)으로 인해 키가 노출되는 상황입니다.
하드웨어 지갑 침해: 변조되거나 위조된 장치를 통해 공격자에게 개인 키가 노출됩니다.
스마트 계약 및 프로토콜 수준 위험
악성 또는 취약한 온체인 코드와 상호 작용함으로써 발생하는 위험.
사기성 스마트 계약: 상호작용 시 숨겨진 악성 코드 로직이 작동하여 자금이 도난당합니다.
플래시론 공격: 담보 없는 대출을 이용해 가격이나 프로토콜 논리를 조작하는 공격입니다.
오라클 조작: 공격자는 가격 정보를 변조하고 잘못된 데이터에 의존하는 프로토콜을 악용합니다.
유동성 사기 탈출: 제작자는 자신만 자금을 인출할 수 있는 토큰/풀을 설계하여 사용자를 곤경에 빠뜨립니다.
시빌 공격: 분산 시스템, 특히 거버넌스나 에어드롭 자격 증명을 교란하기 위해 여러 개의 가짜 신원을 사용하는 공격입니다.
프로젝트 및 시장 조작 사기
토큰, DeFi 프로젝트, NFT와 관련된 사기.
러그 사기: 프로젝트 창립자가 자금을 모은 후 사라져서 가치 없는 토큰을 남겨두는 경우.
가짜 프로젝트: 가짜 NFT 컬렉션은 사용자를 속여 사기 행위를 저지르거나 해로운 거래에 서명하게 합니다.
먼지 공격: 소액의 코인 전송을 활용해 지갑의 익명성을 해제하고 피싱이나 사기 대상을 식별합니다.
네트워크 및 인프라 공격
사용자가 의존하는 프런트엔드 또는 DNS 수준 인프라를 활용하세요.
프런트엔드 하이재킹/DNS 스푸핑: 공격자는 사용자를 악성 인터페이스로 리디렉션하여 자격 증명을 훔치거나 안전하지 않은 거래를 유발합니다.
크로스체인 브리지 취약점: 크로스체인 브리지 전송 중에 사용자 자금을 훔칩니다.
신체적 위협
강압, 도난, 감시 등 현실 세계의 위험.
신체적 공격: 피해자는 자금을 이체하거나 시드 문구를 공개하도록 강요받습니다.
물리적 도난: 액세스 권한을 얻기 위해 장치나 백업(예: 하드웨어 지갑, 노트북)을 훔치는 행위입니다.
숄더 서핑: 사용자가 공공 또는 사적 환경에서 민감한 데이터를 입력하는 것을 관찰하거나 촬영하는 행위.
주의해야 할 주요 취약점
사용자를 해킹할 수 있는 방법은 다양하지만, 일부 취약점은 다른 취약점보다 더 흔합니다. 암호화폐를 보유하거나 사용하는 사람이라면 누구나 알아야 할 가장 중요한 세 가지 악용 사례와 이를 방지하는 방법을 소개합니다.
피싱(가짜 지갑 및 에어드랍 포함)
피싱은 암호화폐보다 수십 년 전부터 존재해 왔으며, 1990년대에 가짜 이메일과 웹사이트를 통해 민감한 정보(일반적으로 로그인 자격 증명)를 낚아채는 공격자를 설명하기 위해 만들어진 용어입니다. 암호화폐가 평행한 금융 시스템으로 등장하면서 피싱은 자연스럽게 시드 문구, 개인 키, 지갑 인증을 표적으로 삼도록 진화했습니다.
암호화폐 피싱은 환불이나 사기 방지, 거래를 취소할 수 있는 고객 서비스 등 구제책이 없기 때문에 특히 위험합니다. 열쇠가 도난당하면 돈도 사라집니다. 피싱은 때로는 더 광범위한 공격의 첫 단계일 뿐이며, 실제 위험은 초기 손실이 아니라 그에 따른 연쇄적 피해, 예를 들어 공격자가 피해자를 사칭하고 다른 사람을 사기하는 데 사용되는 자격 증명이 손상된 경우를 예로 들 수 있습니다.
피싱은 어떻게 작동하나요?
피싱은 본질적으로 거짓으로 신뢰할 수 있는 인터페이스를 제공하거나 권위 있는 인물을 사칭하여 사용자의 민감한 정보를 자발적으로 제공하거나 악의적인 행위를 승인하도록 속여 인간의 신뢰를 악용합니다. 주요 전염 경로는 다음과 같습니다.
피싱 웹사이트
지갑(예: MetaMask, Phantom), 거래소(예: Binance) 또는 dApp의 가짜 버전
실제 웹사이트처럼 보이도록 디자인되어 Google 광고를 통해 홍보되거나 Discord/X 그룹을 통해 공유되는 경우가 많습니다.
사용자에게 지갑 가져오기 또는 자금 복구 메시지가 표시되어 니모닉이나 개인 키가 도용될 수 있습니다.
피싱 이메일 및 메시지
가짜 공식 커뮤니케이션(예: 긴급 보안 업데이트 또는 계정이 손상되었습니다)
가짜 로그인 포털에 대한 링크를 포함하거나 악성 토큰이나 스마트 계약과 상호 작용하도록 지시합니다.
일부 사기는 자금을 이체하는 것을 허용하지만, 몇 분 만에 도난당합니다.
에어드롭 사기, 지갑으로 가짜 토큰 에어드롭 보내기(특히 EVM 체인에서)
토큰을 클릭하거나 토큰 거래를 시도하면 악의적인 계약 상호 작용이 트리거됩니다.
무제한 토큰 승인을 비밀리에 요청하거나 서명된 페이로드를 통해 사용자 네이티브 토큰을 도용합니다.
피싱 사건
2023년 6월, 북한 라자루스 그룹은 암호화폐 역사상 가장 파괴적인 순수 피싱 공격 중 하나로 Atomic Wallet을 해킹했습니다. 이 공격으로 5,500개가 넘는 비보관형 지갑이 손상되어, 사용자가 악의적인 거래에 서명하거나 스마트 계약을 사용하지 않고도 1억 달러 이상의 암호화폐가 도난당했습니다. 이 공격은 사기성 인터페이스와 맬웨어를 통해서만 니모닉과 개인 키만 추출했습니다. 이는 피싱 기반 신원 정보 도용의 전형적인 예입니다.
Atomic Wallet은 500개 이상의 암호화폐를 지원하는 멀티체인 비보관 지갑입니다. 이 사건에서 공격자는 사용자가 지갑의 지원 인프라, 업데이트 프로세스, 브랜드 이미지를 신뢰한다는 점을 악용하는 조직적인 피싱 캠페인을 시작했습니다. 피해자들은 Atomic Wallet에서 보낸 합법적인 통신을 모방하도록 설계된 이메일, 가짜 웹사이트, 트로이 목마 소프트웨어 업데이트에 유혹되었습니다.
해커가 사용하는 피싱 방법은 다음과 같습니다.
Atomic Wallet 고객 지원 또는 보안 경고를 가장한 가짜 이메일로 사용자에게 긴급 조치를 취하도록 촉구합니다.
지갑 복구 또는 에어드랍 청구 인터페이스를 모방하는 사기성 웹사이트(예: `atomic-wallet[.]co`)
Discord, 이메일 및 손상된 포럼을 통해 배포된 악성 업데이트는 사용자를 피싱 페이지로 유도하거나 로컬 맬웨어를 통해 로그인 자격 증명을 추출했습니다.
사용자가 이러한 사기성 인터페이스에 12개 또는 24개의 니모닉 문구를 입력하면 공격자는 해당 사용자의 지갑에 대한 전체 액세스 권한을 얻습니다. 이 취약점은 피해자의 체인상 상호작용을 필요로 하지 않습니다. 지갑 연결, 서명 요청, 스마트 계약 참여가 필요하지 않습니다. 대신, 이는 전적으로 사회 공학과 겉보기에 신뢰할 수 있는 플랫폼에서 자신의 지갑을 복구하거나 검증하려는 사용자의 의지에 의존합니다.
지갑 도둑과 악의적인 승인
지갑 도둑은 개인 키를 훔치는 것이 아니라 사용자를 속여 토큰에 대한 액세스 권한을 부여하거나 위험한 거래에 서명하도록 하여 사용자의 지갑에서 자금을 추출하는 것을 목적으로 하는 악의적인 스마트 계약 또는 dApp입니다. 피싱 공격(사용자 자격 증명을 훔치는 공격)과 달리 지갑 도둑은 권한을 악용하는데, 이는 Web3의 신뢰 메커니즘의 핵심입니다.
DeFi와 Web3 애플리케이션이 대중화됨에 따라 MetaMask와 Phantom과 같은 지갑은 dApp을 연결하는 개념을 대중화했습니다. 이는 편리함을 제공하지만, 동시에 엄청난 공격 취약성을 안고 있습니다. 2021~2023년에는 NFT 채굴, 가짜 에어드랍, 일부 dApp이 익숙한 사용자 인터페이스에 악성 계약을 내장하기 시작했습니다. 사용자는 종종 자신이 무엇을 승인했는지도 모른 채 흥분이나 주의 산만으로 지갑을 연결하고 승인을 클릭합니다.
공격 메커니즘
악의적인 허가는 ERC-20, ERC-721/ERC-1155와 같은 블록체인 표준의 권한 시스템을 악용합니다. 그들은 사용자를 속여 공격자에게 자산에 대한 지속적인 접근 권한을 부여합니다.
예를 들어, ERC-20 토큰의 approve(addressspender, uint 256 amount) 함수를 사용하면 지출자(예: DApp 또는 공격자)가 사용자 지갑에서 지정된 양의 토큰을 전송할 수 있습니다. NFT의 setApprovalForAll(addressoperator, bool approved) 함수는 운영자에게 컬렉션의 모든 NFT를 전송할 수 있는 권한을 부여합니다.
이러한 승인은 DApp에 대한 표준입니다(예: Uniswap은 토큰 교환에 대한 승인이 필요함). 하지만 공격자는 이를 악의적인 목적으로 악용할 수 있습니다.
공격자가 권한을 얻는 방법
사기성 메시지: 피싱 사이트나 감염된 DApp은 사용자에게 지갑 연결, 토큰 교환 또는 NFT 청구라고 표시된 거래에 서명하도록 유도합니다. 이 거래는 실제로 공격자 주소의 approve 또는 setApprovalForAll 메서드를 호출합니다.
무제한 승인: 공격자는 일반적으로 무제한 토큰 인증(예: uint 256.max)을 요청하거나 setApprovalForAll(true)을 사용하여 사용자의 토큰이나 NFT에 대한 완전한 제어권을 얻습니다.
블라인드 서명: 일부 DApp은 사용자가 불투명한 데이터에 서명하는 것을 허용하는데, 이를 통해 악의적인 행동을 감지하기 어렵습니다. Ledger와 같은 하드웨어 지갑의 경우에도 표시되는 세부 정보는 무해해 보일 수 있습니다(예: 승인된 코인). 그러나 공격자의 의도는 감춰질 수 있습니다.
공격자가 권한을 얻으면, 해당 권한 정보를 즉시 사용하여 토큰/NFT를 자신의 지갑으로 이체하거나, 의심을 줄이기 위해 (때로는 몇 주 또는 몇 달 동안) 기다렸다가 자산을 훔칠 수도 있습니다.
지갑 유출/악의적 권한 부여 사례
주로 2022년과 2023년 초에 발생한 Monkey Drainer 사기는 사기성 웹사이트와 악의적인 스마트 계약을 통해 수백만 달러의 암호화폐(NFT 포함)를 훔친 악명 높은 drainer-as-a-service 피싱 키트입니다. 사용자의 니모닉이나 비밀번호를 수집하는 기존 피싱과 달리 Monkey Drainer는 악의적인 거래 서명과 스마트 계약 남용을 통해 공격자가 자격 증명을 직접 훔치지 않고도 토큰과 NFT를 추출할 수 있도록 합니다. Monkey Drainer는 사용자를 속여 위험한 온체인 승인에 서명하게 한 뒤 2023년 초에 폐쇄되기 전까지 수백 개의 지갑에서 430만 달러 이상을 훔쳤습니다.
유명 온체인 탐정 ZachXBT가 Monkey Drainer 사기를 폭로했습니다.
이 툴킷은 기술이 부족한 공격자들에게 인기가 많으며 텔레그램과 다크웹의 지하 커뮤니티에서 활발하게 홍보되고 있습니다. 제휴 당사자가 가짜 채굴 웹사이트를 복제하고, 실제 프로젝트를 사칭하고, 서명된 거래를 중앙화된 출금 계약으로 전달하도록 백엔드를 구성할 수 있습니다. 이러한 계약은 사용자의 지식 없이 메시지에 서명할 수 있는 토큰 권한을 악용하도록 설계되었으며, setApprovalForAll()(NFT) 또는 permit()(ERC-20 토큰)과 같은 함수를 통해 공격자의 주소에 자산에 대한 액세스 권한을 부여합니다.
이러한 상호작용적인 과정을 통해 직접적인 피싱을 피할 수 있으며 피해자에게 개인 키나 니모닉을 제공하도록 요구하지 않는다는 점이 주목할 만합니다. 대신, 그들은 종종 카운트다운이나 인기 브랜딩이 있는 채굴 페이지에서 합법적으로 보이는 dApp과 상호 작용합니다. 연결되면 사용자는 완전히 이해하지 못하는 거래에 서명하라는 메시지를 받게 되는데, 이는 종종 일반적인 승인 언어나 지갑 사용자 인터페이스 난독화로 인해 모호해집니다. 이러한 서명은 자금을 직접 이체하는 것이 아니라, 공격자가 언제든지 이체할 수 있는 권한을 부여합니다. 허가가 내려지면, 배수 계약은 단일 블록 내에서 일괄 인출을 수행할 수 있습니다.
몽키 드레이너 수법의 주요 특징은 실행이 지연된다는 점인데, 도난당한 자산은 의심을 피하고 수익을 극대화하기 위해 보통 몇 시간 또는 며칠 후에 인출됩니다. 이는 큰 지갑을 가지고 있거나 활발한 거래 활동을 하는 사용자에게 특히 효과적입니다. 이들의 승인은 일반적인 사용 패턴에 맞춰 적용되기 때문입니다. 주목할 만한 피해자로는 CloneX, Bored Apes, Azuki와 같은 프로젝트에 참여한 NFT 수집가가 있습니다.
Monkey Drainer는 2023년에 눈에 띄지 않게 행동하기 위해 운영을 중단했지만 Wallet Drainer 시대는 계속해서 성장하고 있으며, 블라인드 온체인 승인의 힘을 오해하거나 과소평가하는 사용자에게 지속적인 위협을 초래하고 있습니다.
악성 소프트웨어 및 장치 취약점
마지막으로, 맬웨어 및 기기 악용은 다양한 전달 벡터를 통한 더 광범위하고 다양한 공격 세트를 말하며, 사용자의 컴퓨터, 휴대폰 또는 브라우저를 손상시켜 맬웨어를 속이는 방식으로 설치하도록 설계되었습니다. 목표는 일반적으로 민감한 정보(예: 니모닉, 개인 키)를 훔치고, 지갑 상호 작용을 가로채거나 공격자가 원격으로 피해자의 기기를 제어할 수 있도록 하는 것입니다. 암호화폐 분야에서 이러한 공격은 가짜 구인 제안, 가짜 앱 업데이트, Discord를 통해 보낸 파일 등 소셜 엔지니어링으로 시작되는 경우가 많지만, 빠르게 확대되어 본격적인 시스템 침해로 이어질 수 있습니다.
맬웨어는 개인용 컴퓨터가 처음 등장한 이래로 존재해 왔습니다. 전통적으로 신용카드 정보를 훔치고, 로그인 자격 증명을 수집하거나, 스팸이나 랜섬웨어를 보내기 위해 시스템을 하이재킹하는 데 사용되었습니다. 암호화폐의 부상으로 공격자들은 온라인 은행을 표적으로 삼는 것에서 거래가 취소 불가능한 암호화폐 자산을 훔치는 방향으로 전환했습니다.
대부분의 맬웨어는 무작위로 퍼지지 않으며, 피해자가 맬웨어를 실행하도록 속아야 합니다. 여기서 사회 공학이 작용하게 됩니다. 일반적인 전송 방법은 이 기사의 첫 번째 섹션에 나와 있습니다.
악성 소프트웨어 및 장치 취약성 사례: 2022년 Axie Infinity 채용 사기
2022년 로닌 브릿지(Ronin Bridge) 대규모 해킹 사건으로 이어진 엑시 인피니티(Axie Infinity) 채용 사기는 암호화폐 분야에서 악성 소프트웨어와 기기를 악용한 전형적인 사례이며, 그 이면에는 정교한 사회 공학이 숨어 있습니다. 북한 해커 그룹인 라자루스 그룹의 소행으로 추정되는 이 공격으로 인해 약 6억 2천만 달러 상당의 암호화폐가 도난당했으며, 이는 지금까지 발생한 분산형 금융(DeFi) 해킹 사건 중 가장 큰 규모에 해당합니다.
기존 금융 매체가 보도한 Axie Infinity 취약점
이 해킹은 소셜 엔지니어링, 악성 소프트웨어 배포, 블록체인 인프라 취약성 악용이 결합된 다단계 작전이었습니다.
해커들은 가짜 회사의 채용 담당자로 가장하여 LinkedIn을 통해 Ronin Network의 운영 회사인 Sky Mavis의 직원을 표적으로 삼았습니다. Ronin Network는 인기 있는 플레이하면서 돈 버는 블록체인 게임 Axie Infinity를 구동하는 Ethereum 기반 사이드체인입니다. 당시 Ronin과 Axis Infinity의 시가총액은 각각 약 3억 달러와 40억 달러였습니다.
공격자들은 여러 직원에게 접근했지만, 주요 타깃은 고위 엔지니어였습니다. 신뢰를 구축하기 위해 공격자는 여러 차례 가짜 면접을 실시하고 매우 후한 급여 패키지로 엔지니어를 유혹했습니다. 공격자는 엔지니어에게 공식적인 채용 제안으로 위장한 PDF 문서를 보냈습니다. 그 엔지니어는 그것이 채용 과정의 일부라고 착각하여 회사 컴퓨터에 파일을 다운로드하여 열었습니다. PDF 문서에는 RAT(원격 액세스 트로이 목마)가 포함되어 있었는데, 이를 열면 엔지니어의 시스템이 손상되어 해커가 Sky Mavis의 내부 시스템에 액세스할 수 있게 되었습니다. 이 침입은 로닌 네트워크의 인프라를 공격할 수 있는 환경을 제공했습니다.
해킹으로 인해 6억 2천만 달러 상당의 ETH(17만 3,600개 ETH와 2,550만 달러 USDC)가 도난당했고, 최종적으로 회수된 금액은 3천만 달러에 불과했습니다.
우리는 어떻게 우리 자신을 보호해야 합니까?
공격 기법이 점점 더 정교해지고 있지만, 여전히 몇 가지 뚜렷한 징후에 의존하고 있습니다. 일반적인 위험 신호는 다음과 같습니다.
X를 청구하려면 지갑을 가져오세요: 합법적인 서비스는 시드 문구를 요구하지 않습니다.
요청하지 않은 개인 메시지: 특히 지원, 자금 지원 또는 묻지 않은 문제에 대한 도움을 제공한다고 주장하는 메시지입니다.
도메인 이름이 약간 잘못 표기되었습니다. 예를 들어, metamusk.io와 metarnask.io입니다.
Google Ads: 피싱 링크는 검색 결과에서 진짜 링크 위에 나타나는 경우가 많습니다.
사실이 아닐 정도로 좋은 제안: 예를 들어, 5 ETH 받기 또는 토큰 보너스 두 배 제안입니다.
긴급 상황 또는 위협 전술: 귀하의 계정이 잠겼습니다, 지금 청구하지 않으면 자금을 잃을 것입니다.
무제한 토큰 승인: 사용자는 직접 토큰 수를 설정해야 합니다.
블라인드 서명 요청: 16진수 페이로드로, 사람이 읽을 수 있는 해석이 부족합니다.
검증되지 않았거나 모호한 계약: 토큰이나 dApp이 새로운 경우 승인하는 내용을 확인하세요.
긴급 UI 프롬프트: 지금 당장 서명해야 합니다. 그렇지 않으면 기회를 놓칠 겁니다.와 같은 전형적인 압박 전술입니다.
MetaMask의 이상한 서명 팝업: 특히 요구 사항이 불분명하거나, 가스가 필요 없는 거래이거나, 이해할 수 없는 함수 호출이 포함된 경우입니다.
개인 보호법
우리 자신을 보호하기 위해 우리는 다음과 같은 황금률을 따를 수 있습니다.
어떤 이유로든 복구 문구를 누구에게도 공유하지 마세요.
공식 웹사이트를 방문하세요: 항상 직접 탐색하고 검색 엔진을 사용하여 지갑이나 거래소를 검색하지 마세요.
무작위 에어드랍 토큰을 클릭하지 마세요. 특히 참여하지 않은 프로젝트의 경우에는 더욱 그렇습니다.
허가받지 않은 개인 메시지는 피하세요. 합법적인 프로젝트에서는 개인 메시지를 먼저 보내는 경우가 거의 없습니다(실제로 그렇게 하는 경우는 예외).
하드웨어 지갑을 사용하세요. 하드웨어 지갑은 맹목 서명 위험을 줄이고 키 손상을 방지합니다.
피싱 보호 도구를 활성화하세요: PhishFort, Revoke.cash, 광고 차단기 등의 확장 프로그램을 사용하세요.
읽기 전용 브라우저를 사용하세요. Etherscan Token Approvals나 Revoke.cash와 같은 도구를 사용하면 지갑의 권한을 확인할 수 있습니다.
일회용 지갑을 사용하세요. 자금이 없거나 적은 새 지갑을 만들어서 먼저 채굴이나 연결을 테스트해 보세요. 이렇게 하면 손실이 최소화됩니다.
자산을 다양화하세요. 모든 자산을 하나의 지갑에 보관하지 마세요.
이미 암호화폐를 사용해 본 경험이 있다면, 다음과 같은 좀 더 고급 규칙을 따라야 합니다.
암호화폐 활동에는 전용 기기나 브라우저 프로필을 사용하세요. 또한, 전용 장치를 사용하여 링크와 직접 메시지를 여세요.
Etherscan의 코인 경고 탭을 살펴보면, 많은 사기 코인이 표시되어 있습니다.
계약서 주소와 공식 프로젝트 발표문을 교차 확인하세요.
URL을 다시 한번 확인하세요. 특히 이메일과 채팅에서는 미묘한 철자 오류가 흔합니다. 많은 인스턴트 메시징 애플리케이션과 특히 웹사이트에서는 하이퍼링크 사용을 허용합니다. 하이퍼링크를 사용하면 누군가가 www.google.com과 같은 링크를 직접 클릭할 수 있습니다.
서명에 주의하세요: 거래를 확인하기 전에 항상 거래를 디코딩하세요(예: MetaMask, Rabby 또는 시뮬레이터를 통해).
결론
대부분의 사용자는 암호화폐의 취약점이 기술적이고 불가피한 것이라고 생각하는데, 특히 이 업계에 새로 입문한 사람들의 경우 더욱 그렇습니다. 정교한 공격 방법에는 해당될 수 있지만, 많은 경우 초기 단계에서는 기술적이지 않은 방법으로 개인을 표적으로 삼아 후속 공격을 예방할 수 있습니다.
이 분야에서 발생하는 개인 손실의 대부분은 새로운 코드 버그나 모호한 프로토콜 취약점에서 비롯되지 않고, 사람들이 문서를 읽지 않고 서명하거나, 가짜 앱에 지갑을 가져오거나, 겉보기에 합법적인 DM을 신뢰하는 데서 비롯됩니다. 도구는 새롭지만, 전술은 오래됐습니다. 속이고, 압력을 가하고, 오도하는 것이죠.
자체 보관과 허가가 필요 없는 기능은 암호화폐의 장점이지만, 사용자는 이러한 기능이 암호화폐를 위험하게 만들 수도 있다는 점을 기억해야 합니다. 전통적인 금융에서는 사기를 당했을 때 은행에 전화하면 됩니다. 암호화폐의 경우, 사기를 당하면 게임은 이미 끝난 거나 다름없습니다.
