소개 | OKX Web3는 다양한 유형의 체인 보안 질문에 답하기 위해 '보안 특집' 칼럼을 특별히 기획했습니다. 사용자 주변에서 발생하는 가장 실제적인 사례를 통해 보안 분야의 전문가 또는 기관과 공동으로 다양한 관점에서 질문을 공유하고 답변하여 얕은 것부터 깊은 것까지 안전한 거래의 규칙을 정리하고 요약하여 사용자의 보안 교육을 강화하고 사용자가 자신의 관점에서 개인 키와 지갑 자산을 보호하는 방법을 배울 수 있도록 돕고자 합니다.
어느 날 갑자기 누군가 100만 원 상당의 지갑 주소 키를 보내왔다면 즉시 송금하시겠습니까?
그렇다면 이 글은 여러분을 위한 글입니다.
이 글은 OKX Web3의 보안 특집 01호로, 암호화폐 업계에서 수많은 사기를 겪은 것으로 잘 알려진 슬로우미스트 보안팀과 OKX Web3 보안팀이 사용자들이 실제로 겪은 가장 실제적인 사례부터 공유할 예정입니다. 사용자들이 겪은 가장 실제적인 사례에서 얻은 경험을 공유할 예정이니 많은 관심 부탁드립니다! 
슬로우미스트 보안팀: OKX Web3에 초대해 주셔서 대단히 감사합니다. 슬로우미스트는 업계를 선도하는 블록체인 보안 회사로서 주로 고객에게 보안 감사 및 자금 세탁 방지 추적 서비스를 제공하고 있으며, 탄탄한 위협 인텔리전스 협력 네트워크를 구축했습니다. 2023년 슬로우미스트는 고객, 파트너 및 공개 해킹 이벤트를 지원하여 총 미화 1250만 달러 이상의 자금을 동결하는 데 기여했습니다. 앞으로도 업계와 보안과 관련하여 가치 있는 결과물을 계속 만들어낼 수 있기를 바랍니다.
OKX Web3 보안팀: 안녕하세요, 여러분과 함께 공유하게 되어 매우 기쁩니다. OKX Web3 보안팀은 주로 OKX Web3 지갑 보안 역량 강화를 담당하여 제품 보안, 사용자 보안, 거래 보안 및 기타 다중 보호 서비스를 제공하고 7X24 시간 사용자 지갑의 보안을 동시에 보호하여 전체 블록 체인 보안 생태계를 유지하여 전력에 기여하기 위해 노력하고 있습니다.
Q1: 실제 도난 사례를 공유해 주시겠어요?
슬로우미스트 보안팀: 먼저, 대부분의 경우 사용자가 개인 키나 니모닉을 온라인에 저장하기 때문에 발생합니다. 예를 들어, 사용자들은 구글 문서도구, 텐센트 문서도구, 바이두 클라우드 드라이브, 위챗 컬렉션, 메모 및 기타 클라우드 스토리지 서비스를 사용하여 개인키나 니모닉을 저장하는 경우가 많은데, 해커가 이러한 플랫폼의 계정을 수집하여 데이터베이스에 성공적으로 '충돌'하면 개인키를 쉽게 도난당할 수 있습니다.
둘째, 사용자가 가짜 앱을 다운로드하여 개인키 유출을 유발하는 경우입니다. 예를 들어, 가장 대표적인 사례 중 하나는 다중 서명 사기로, 사기범이 사용자가 가짜 지갑을 다운로드하도록 유도하여 지갑 니모닉을 훔친 다음 즉시 사용자 지갑의 계정 권한을 수정하여 지갑 계정 권한을 사용자 본인으로부터 사용자 자신의 계정 권한으로 변경하여 사용자 자신과 사기범이 공동으로 보유하도록 하여 지갑 계정의 통제권을 장악하는 사기 수법입니다. 이러한 유형의 사기범은 인내심을 가지고 사용자의 계정에 일정량의 암호화폐 자산이 축적될 때까지 기다렸다가 한꺼번에 송금하는 경향이 있습니다.
OKX Web3 보안팀: 슬로우 포그는 개인키 도용의 두 가지 주요 유형을 설명했으며, 사기범이 가짜 앱을 사용하여 사용자의 개인키를 훔치는 두 번째 유형은 기본적으로 트로이 목마로, 사용자의 입력 방법, 사진 및 기타 권한에 액세스하여 사용자의 개인키를 훔칩니다. IOS 사용자에 비해 Android 사용자는 트로이 목마 공격을 더 많이 받습니다. 여기서는 두 가지 사례를 간략히 소개합니다:
사례 1, 사용자 피드백 지갑 자산이 도난당한 경우, 저희 팀이 사용자와 소통한 결과 사용자가 이전에 Google을 통해 검색하고 트로이 목마로 위장한 데이터 플랫폼 소프트웨어를 다운로드하여 설치했기 때문이라는 사실을 알게 되었습니다. 하지만 사용자가 해당 플랫폼 소프트웨어를 검색했을 때 해당 링크가 Google 검색 TOP5에 표시되어 사용자가 공식 소프트웨어라고 잘못 생각하게 된 것입니다. 실제로 많은 사용자가 Google에서 제공하는 링크를 식별하지 못하기 때문에 이러한 방식으로 트로이 목마 공격을 받기 쉬우므로 방화벽, 바이러스 백신 소프트웨어, 호스트 구성 및 기타 일상적인 보안 보호를 통해 사용자에게 권장합니다.
사례 2, 사용자가 디파이 프로젝트에 투자할 때 지갑 자산을 도난당했다고 신고했습니다. 그러나 분석 및 조사 결과, DeFi 프로젝트 자체에는 문제가 없었으며, 사용자 B의 지갑 자산 도난은 트위터에서 해당 프로젝트에 대해 댓글을 달던 중 해당 DeFi 프로젝트의 공식 고객 서비스 직원을 사칭한 사기의 표적이 되었고, 가짜 고객 서비스 직원의 안내에 따라 가짜 링크를 클릭하고 보조 단어를 입력해 지갑 자산이 도난당한 것으로 밝혀졌습니다.
보시다시피 사기꾼의 수법은 그다지 영리하지 않지만, 사용자는 사기꾼을 식별하는 방법을 더 잘 알고 어떤 상황에서도 개인 키를 쉽게 공개하지 않도록 주의해야 합니다. 또한 저희 지갑은 이 악성 도메인의 보안 위험에 대한 경고를 받았습니다. 
Q2: 개인 키를 보관하는 최적의 방법이 있나요? 현재 개인키 의존도를 줄이기 위해 사용할 수 있는 대안에는 어떤 것이 있나요?
슬로우 포그 보안팀: 개인 키 또는 니모닉은 실제로 도난당하거나 분실하면 복구하기 어려운 단일 실패 지점 문제입니다. 현재 보안 다자간 컴퓨팅 MPC, 소셜 인증 기술, 시드리스/키리스, 사전 실행 및 영지식 증명 기술과 같은 새로운 기술이 개인 키에 대한 의존도를 낮추는 데 도움이 되고 있습니다.
MPC를 예로 들어 설명하자면, 첫째, MPC 기술은 모든 참여자가 작업을 수행하기 위해 복잡한 공동 연산을 수행하지만, 데이터는 비공개로 안전하게 유지되며 다른 참여자와 공유되지 않습니다. 둘째, MPC 지갑은 일반적으로 개인키를 여러 조각으로 나누어 여러 당사자가 관리하거나 여러 당사자가 생성한 가상 키를 사용하는 것으로, 완전한 개인키를 본 적이 없기 때문에 후자가 더 일반적일 수 있습니다. 요컨대, MPC의 핵심 아이디어는 위험을 분산하거나 재해 대비의 목적을 개선하기 위해 제어를 분산하여 단일 장애 지점 및 기타 보안 문제를 효과적으로 방지하는 것입니다.
MPC에는 "키리스"라는 단어가 포함되며, 이는 "키가 없는" 또는 "키가 없는"이라고도 할 수 있습니다. "키리스"라는 용어는 실제 의미에서 키가 없다는 뜻이 아니라 사용자가 보조 키 또는 개인 키를 백업할 필요가 없고, 그 존재를 인식하지 못한다는 의미입니다. 키리스 월렛에 대해 알아야 할 세 가지 사항은 다음과 같습니다:
1. 키리스 월렛을 생성하는 동안 개인키는 언제 어디서나 생성되거나 저장되지 않습니다.
2. 트랜잭션 서명에 개인 키가 관여하지 않으며 개인 키는 언제든지 재구성되지 않습니다.
3. 키리스 지갑은 완전한 개인 키와 시드 문구를 생성하거나 저장하지 않습니다.
OKX Web3 보안팀: 현재 개인 키를 보관할 수 있는 완벽한 방법은 없습니다. 하지만 저희 보안팀은 하드웨어 지갑 사용, 개인키 수기 저장, 다중 서명 설정, 개인키 관리를 위한 니모닉의 분산 저장 등을 권장합니다. 예를 들어, 니모닉을 분산 저장한다는 것은 사용자가 니모닉을 두 개 이상의 그룹에 저장하여 니모닉 도난의 위험을 줄일 수 있다는 뜻입니다. 예를 들어, 다중 서명을 설정한다는 것은 사용자가 거래의 보안을 결정하기 위해 공동 서명할 신뢰할 수 있는 사람을 선택할 수 있다는 의미입니다.
물론 사용자의 지갑 개인 키의 보안을 보호하기 위해 OKX Web3 지갑의 하위 계층은 네트워크에 닿지 않으며, 사용자의 니모닉 및 개인 키 관련 정보는 모두 암호화되어 사용자 장치에 로컬로 저장되며, 관련 SDK는 기술 커뮤니티의 광범위한 검증을 거쳐 오픈 소스이며 더욱 개방적이고 투명합니다. 또한 OKX Web3 월렛은 슬로우 포그와 같은 유명 보안 기관과의 협력을 통해 엄격한 보안 감사를 거쳤습니다.
또한, 사용자를 더 잘 보호하기 위해 개인 키 관리 부분에서 OKX Web3 보안팀은 더 강력한 보안 기능을 제공하고 계획하고 있으며, 이를 지속적으로 반복하고 업그레이드하고 있으며 여기서 간략하게 공유하고자 합니다:
1. 2단계 암호화. 현재 대부분의 지갑은 암호화된 니모닉을 사용하여 암호화된 콘텐츠를 로컬에 저장합니다. 그러나 사용자가 트로이목마에 감염되면 트로이목마가 암호화된 콘텐츠를 스캔하여 사용자가 입력한 암호를 듣고, 사기꾼이 암호를 듣게 되면 암호화된 콘텐츠를 복호화하여 사용자의 니모닉에 접근할 수 있게 됩니다. 앞으로 OKX Web3 지갑은 니모닉 단어의 2단계 암호화를 사용하여 사기꾼이 트로이 목마를 통해 사용자의 비밀번호를 알아내더라도 암호화된 콘텐츠를 해독할 수 없게 됩니다.
2. 개인 키 복사 보안. 대부분의 트로이목마는 개인키를 복사할 때 사용자의 클립보드 정보를 탈취하여 사용자의 개인키가 유출될 수 있습니다. 저희는 개인키의 일부를 복사하거나 클립보드 정보를 제때 지우는 등 개인키 복사 과정의 보안을 강화하는 등 사용자가 개인키 정보 도용의 위험을 줄일 수 있는 방법이나 기능을 추가할 계획입니다.
Q3: 개인키를 도난당했을 때 흔히 사용되는 피싱 수법은 무엇인가요?
슬로우포그 보안팀: 저희가 관찰한 바에 따르면 피싱 활동은 매달 조금씩 증가하고 있습니다.
첫째, 월렛 드레인러는 피싱 활동의 주요 위협이며 다양한 형태로 일반 사용자를 공격하고 있습니다.
월렛 드레너는 피싱 웹사이트에 배포되어 사용자를 속여 지갑 자산을 탈취하기 위해 악성 거래에 서명하도록 유도하는 암호화폐 관련 멀웨어입니다. 예를 들어, 가장 활동적인 월렛 드레너는 다음과 같습니다:
1. 소셜 엔지니어링을 통해 디스코드 토큰을 획득하고 이를 피싱하는 핑크 드레인(핑크 드레인은 일반적으로 통신을 통해 사용자의 개인 정보를 탈취하는 것으로 이해됩니다).
2. 도메인 이름 서비스 제공업체를 대상으로 소셜 엔지니어링 공격을 수행하는 엔젤 드레인(Angel Drainer)도 있습니다. 엔젤 드레인은 도메인 이름 계정에 액세스한 후 DNS 확인 포인팅을 수정하고 사용자를 가짜 웹사이트로 리디렉션하는 등의 작업을 수행합니다.
둘째, 가장 일반적인 피싱 유형은 블라인드 피싱입니다. 블라인드 피싱이란 사용자가 프로젝트와 상호작용할 때 자신이 무엇을 승인하기 위해 서명하는지 모르기 때문에 혼란스러운 상태에서 확인 버튼을 클릭하게 되고, 이로 인해 자금이 도난당하는 것을 의미합니다. 블라인드 피싱의 몇 가지 예를 살펴보겠습니다:
사례 1: 예를 들어 eth_sign은 모든 해시 서명, 즉 거래 또는 모든 데이터에 서명하는 데 사용할 수 있는 개방형 서명 방법이며 일반적으로 사용자가 서명의 내용을 이해하고자 하는 기술적 근거가 없기 때문에 피싱의 위험이 있습니다. 좋은 점은 이제 점점 더 많은 지갑이 이러한 종류의 서명 보안 알림을 시작하여 어느 정도 자본 손실의 위험을 피할 수 있다는 것입니다.
사례 2: 서명 피싱 허용. 우리는 모두 ERC20 코인의 거래에서 사용자가 승인을 위해 승인 기능을 호출 할 수 있지만 허가 기능을 사용하면 사용자가 체인에서 서명을 생성 한 다음 지정된 사용자가 일정량의 토큰을 사용할 수 있도록 승인 할 수 있으며 공격자는 피싱에 허가 방법을 사용하고 피해자가 피싱 웹 사이트를 방문하면 공격자는 사용자가 웹 사이트를 통해 허가 승인에 서명하도록하고 사용자가 서명 한 후 공격자는 허가 승인에 서명합니다. 피해자가 피싱 웹 사이트를 방문하면 공격자는 웹 사이트를 통해 사용자에게 허가 승인에 서명하도록 요청하고 사용자가 서명한 후 공격자는 서명 된 데이터를 얻을 수 있으며 공격자는 토큰 계약의 허가 기능을 호출하고 서명 된 데이터를 전달한 다음 체인에 브로드 캐스트하여 토큰의 승인을 얻은 다음 사용자의 토큰을 훔칩니다.
사례 3: 은밀한 create2 기법 개발자는 create2를 통해 컨트랙트를 이더리움 네트워크에 배포하기 전에 컨트랙트의 주소를 예측할 수 있습니다. 그런 다음 공격자는 create2를 기반으로 각 악성 서명에 대한 임시 새 주소를 생성할 수 있습니다. 공격자는 사용자를 속여 서명 권한을 부여한 후, 이 주소에서 컨트랙트를 생성하고 사용자의 자산을 전송할 수 있습니다. 이러한 주소는 빈 주소이기 때문에 일부 피싱 플러그인 및 보안 회사의 모니터링 경고를 우회할 수 있으므로 매우 은밀하고 사용자가 쉽게 함정에 빠질 수 있습니다.
결론적으로 피싱 웹사이트의 경우 사용자는 상호작용하기 전에 프로젝트의 공식 웹사이트를 확인하고, 상호작용 과정에서 악성 서명 요청을 주의해야 하며, 보조 단어나 개인키를 제출하는 것을 경계하고 보조 단어나 개인키를 어디에도 유출하지 않도록 주의해야 합니다.
OKX Web3 보안팀: 저희는 일반적인 피싱 수법을 연구하고 제품 측면에서 다차원적인 보안 보호 기능을 제공하고 있습니다. 현재 사용자들이 가장 많이 접하는 피싱 수법 유형을 간략하게 공유하고자 합니다:
첫 번째 유형은 허위 에어드롭 유형입니다. 해커는 보통 피해자의 주소와 유사한 주소를 생성하여 사용자에게 소액 송금, 0U 송금 또는 가짜 토큰을 전송하여 에어드랍을 시도합니다. 이러한 유형의 거래는 사용자의 거래 내역에 표시되며, 사용자가 실수로 잘못된 주소를 복사하여 붙여넣는 경우 자산 손실로 이어질 수 있습니다. 이러한 유형의 공격에 대해 OKX Web3 지갑은 거래 내역을 식별하여 위험 마커로 입력하는 동시에 사용자가 해당 주소로 돈을 이체할 때 보안 위험 팁을 수행합니다. 
두 번째 범주는 유도 서명 범주입니다. 일반적으로 해커들은 트위터, 디스코드, TG 등 공공장소에서 유명 프로젝트에 댓글을 달고 가짜 디파이 프로젝트 URL이나 에어드랍을 받을 수 있는 URL을 공개하여 사용자가 이를 클릭하도록 유도하여 자산을 탈취합니다. 슬로우 미스트에서 언급한 eth_sign, permit, create2 등과 같은 시그니처 피싱 외에도 몇 가지 다른 피싱이 있습니다:
모드 1: 메인 체인 토큰을 훔치기 위한 직접 전송. 해커들은 종종 클레임, 보안 업데이트 등의 매력적인 이름을 가진 악성 컨트랙트 함수를 제공하지만 실제 함수 로직은 비어 있어 사용자의 메인 체인 토큰만 전송합니다. 현재 OKX Web3 지갑은 거래가 체인에 업로드된 후 자산 변경 및 승인 변경을 표시하여 사용자에게 보안 위험을 경고할 수 있는 사전 실행 기능을 이미 출시했습니다.
방법 2: 온체인 승인. 해커는 일반적으로 사용자가 승인/증액/감액/설정 승인에 서명하도록 유도하여 사용자의 토큰 자산을 전송할 주소를 지정하고, 사용자가 계약에 서명한 후 해당 자산이 즉시 전송으로 전송되면 사용자의 계정을 실시간으로 모니터링합니다. 피셔에 대한 보안 프로세스는 대결과 지속적인 에스컬레이션의 과정입니다.
대부분의 지갑은 해커가 인증한 주소의 보안 위험을 감지하지만 공격자의 공격 방법도 업그레이드됩니다. 예를 들어, 공격자는 create2 기능을 사용하여 새 주소를 미리 계산하고 새 주소는 보안 블랙 주소 데이터베이스에 없기 때문에 보안 탐지를 가볍게 우회할 수 있습니다. 공격자는 물고기가 미끼를 물 때까지 기다렸다가 해당 주소로 이동하여 컨트랙트를 배포하고 사용자의 자금을 이체합니다. 예를 들어, 최근에는 일반 프로젝트의 컨트랙트이기 때문에 보안 제품 탐지를 우회할 수 있는 uniswap.multicall 컨트랙트를 사용자가 승인하도록 하는 공격자도 다수 발견되었습니다.
접근 방식 3: 권한 변경: 여기에는 트론 권한 변경과 솔라나 권한 변경이 포함됩니다. 첫째, 트론 권한 변경에서 다중 서명은 트론 체인의 기능으로, 많은 피싱 웹 사이트에서 피셔는 계정 권한 거래를 이체 거래로 위장하여 사용자가 실수로 거래에 서명하면 사용자의 계정이 다중 서명 계정이되고 사용자는 자신의 계정에 대한 통제력을 잃게됩니다. 둘째, 솔라나 권한 변경에서 피셔는 SetAuthority를 통해 사용자 토큰의 ATA 계정 소유자를 변경하고, 사용자가 거래에 서명하면 ATA 계정 소유자가 피셔가 되어 피셔가 사용자의 자산을 가져갈 수 있게 됩니다.
다른 방법: 또한 프로토콜 자체의 설계 메커니즘과 기타 문제로 인해 피셔가 쉽게 악용할 수 있습니다. 이더넷 기반 미들웨어 프로토콜인 EigenLayer의 queueWithdrawal 호출을 통해 다른 주소를 인출자로 지정할 수 있으며, 사용자는 피싱을 통해 거래에 서명하게 됩니다. 7일 후, 지정된 주소는 completeQueuedWithdrawal을 통해 사용자의 약정 자산을 획득합니다.
세 번째 유형은 도우미 업로드입니다. 공격자는 보통 위장한 에어드랍 프로젝트를 제공하거나 가짜 새 도구를 사용하여 사용자가 개인 키 또는 니모닉을 업로드하도록 유도합니다(구체적인 사례는 위를 참조하세요). 또한, 사용자가 니모닉을 업로드하도록 유도하기 위해 플러그인 지갑 팝업을 위장하기도 합니다.
Q4: 핫월렛과 콜드월렛 공격 방법의 차이점은 무엇인가요?
OKX Web3 보안팀: 핫월렛과 콜드월렛의 차이점은 개인키를 저장하는 방식에 있습니다. 콜드월렛의 개인키는 보통 오프라인에 저장되는 반면, 핫월렛은 네트워크 환경에 저장되는 것이 일반적입니다. 따라서 콜드월렛의 보안 위험은 핫월렛의 보안 위험과 다릅니다. 핫월렛의 보안 위험은 위에서 매우 포괄적으로 설명했으며 더 이상 확장하지 않겠습니다.
콜드월렛의 보안 위험은 주로 다음과 같습니다:
첫째, 사회 공학 및 물리적 공격 위험과 트랜잭션 프로세스 위험입니다. 사회 공학 및 물리적 공격 위험과 관련해서는 콜드월렛은 보통 오프라인에 저장되기 때문에 공격자가 사회 공학을 이용해 가족이나 친구로 위장해 콜드월렛에 접근할 가능성이 있습니다.
둘째, 물리적 장치로서 손상되거나 분실될 수 있습니다. 거래 프로세스 위험과 관련하여 콜드월렛은 앞서 언급한 에어드롭과 서명 유도 공격의 대상이 될 수도 있습니다.
Q5: 첫 문단에서 언급한 "고가의 지갑 키 제공"에 대한 다른 피싱 함정에는 어떤 것이 있나요?
슬로우포그 보안팀: 네, "고의적으로 고가의 지갑 개인키 제공"은 수년 전에 등장한 매우 고전적인 사례이지만, 지금도 여전히 이에 속는 사람들이 있습니다. 이 사기는 실제로 사기꾼이 의도적으로 개인 키 도우미를 유출하고, 개인 키 도우미를 지갑으로 가져오고, 공격자가 항상 지갑을 모니터링하고 있으며, 이더리움을 전송하면 즉시 전송됩니다. 이러한 수법은 작은 이익을 탐하는 사용자의 심리를 이용한 것으로, 더 많은 사람이 가져올수록 수수료가 높아져 손실이 커집니다.
둘째, 일부 사용자는 "나는 공격할 가치가 없다"고 생각할 수 있으며, 이러한 종류의 낮은 방어 정신은 사용자를 공격에 취약하게 만들 것입니다. 이메일, 비밀번호, 은행 정보 등 모든 사람의 정보는 공격자에게 가치가 있습니다. 스팸 이메일의 링크를 클릭하지 않으면 위협을 받지 않을 것이라고 생각하는 사용자도 있지만, 일부 피싱 이메일에는 이미지나 첨부 파일을 통해 멀웨어가 심어져 있을 수 있습니다.
마지막으로 '보안'에 대한 객관적인 이해가 필요합니다. 즉, 절대적인 보안은 없습니다. 또한 피싱 공격의 방법은 다양하고 발전 속도가 매우 빠르기 때문에 자체 보안 의식을 지속적으로 학습하고 개선하는 것이 가장 신뢰할 수 있습니다.
OKX Web3 보안팀: 피싱 공격자들은 종종 사람들의 심리적 약점과 일반적인 보안 감독을 이용하기 때문에 타사 피싱 함정을 방지하는 것은 실제로 복잡한 문제입니다. 많은 사람들이 평소에는 매우 조심하지만 갑자기 나타난 '큰 파이'를 만나면 경계를 늦추고 욕심을 부려 사기를 당하는 경향이 있습니다. 이 과정에서 인간 본성의 약점은 기술보다 더 클 것이며, 더 많은 보안 수단이 있더라도 사용자는 단기적으로는 무시 당하고 돌이켜 보면 오랫동안 속았다는 것을 알게 될 것입니다. 우리는 "공짜 점심은 없다"는 점을 분명히 인식하고, 특히 블록체인의 어두운 숲 속에서 항상 경계하고 보안 위험에 주의를 기울여야 합니다.
Q6: 개인키 보안을 개선하기 위한 사용자를 위한 제언
슬로우 미스트 보안팀: 이 질문에 답하기 전에 일반적인 공격이 사용자의 자산을 탈취하는 방법을 정리해 보겠습니다. 공격자는 일반적으로 다음 두 가지 방법으로 사용자의 자산을 훔칩니다:
방법 1: 사용자를 속여 탈취한 자산의 악성 거래 데이터에 서명하도록 유도합니다(예: 사용자가 자산을 공격자에게 승인하거나 전송하도록 속임수).
방법 2: 사용자가 악성 웹사이트 또는 앱에서 지갑의 니모닉을 입력하도록 속임수(예: 가짜 지갑 페이지에서 지갑의 니모닉을 입력하도록 사용자를 속이고 유인)
공격자가 지갑 자산을 훔치는 방법을 알았으므로 가능한 위험에 대한 예방 조치를 취해야 합니다:
주의 사항 #1: 가능한 한 보이는 대로 서명하세요. 지갑은 웹3.0 세계의 열쇠라고 할 수 있으며, 사용자 상호작용에서 가장 중요한 것은 맹목적인 서명을 거부하고, 서명하기 전에 서명의 데이터를 인식하고, 서명하는 거래가 무엇인지 알고, 그렇지 않은 경우 서명을 포기하는 것입니다.
예방 2: 한 바구니에 계란을 담지 마세요. 지갑은 다양한 자산과 사용 빈도를 살펴 계층적으로 관리하여 자산에 대한 위험을 통제할 수 있습니다. 에어드랍과 같은 활동과 관련된 지갑은 사용 빈도가 높기 때문에 작은 자산을 보관하는 것이 좋습니다. 큰 자산은 일반적으로 사용 빈도가 낮으므로 콜드월렛에 보관하고 네트워크와 물리적 환경이 안전한지 확인 후 사용하는 것이 좋습니다. 하드웨어 지갑은 일반적으로 보조 단어 또는 개인 키를 직접 내보낼 수 없으므로 보조 단어 개인 키 도난 임계값을 높일 수 있으므로 가능한 한 하드웨어 지갑을 사용할 수 있는 경우 하드웨어 지갑을 사용하는 것이 좋습니다.
예방 3: 다양한 피싱 기법과 이벤트가 등장하고 있으므로 사용자는 스스로 다양한 피싱 기법을 식별하고 보안 인식을 개선하며 속지 않도록 교육하고 자조 능력을 습득해야 합니다.
예방 조치 4: 서두르지 말고, 욕심을 부리지 말고, 다각도로 확인합니다. 또한, 사용자가 보다 포괄적인 자산 관리 솔루션을 알고 싶다면 슬로우 미스트에서 제작한 "암호화 자산 보안 솔루션"을 참고할 수 있으며, 보안 인식 및 자가 교육에 대해 자세히 알아보려면 "블록체인의 어두운 숲을 위한 자가 도움말 매뉴얼"을 참고할 수 있습니다.
OKX Web3 보안팀: 개인키는 지갑의 암호화폐 자산에 접근하고 제어할 수 있는 유일한 자격 증명으로, 지갑의 개인키 보안을 보호하는 것이 중요합니다.
주의 사항 1: 디앱을 파악하세요. 온체인 디파이 투자 시, 가짜 디앱 접속으로 인한 자산 손실을 방지하기 위해 사용 중인 디앱에 대해 충분히 이해하는 것이 중요합니다. OKX Web3 지갑에는 디앱에 대한 위험 감지 및 경고를 위한 여러 전략이 있지만, 공격자는 계속해서 공격 기술을 업데이트하고 보안 위험 감지를 우회할 것입니다. 사용자는 투자할 때 항상 주의를 기울여야 합니다.
예방 2: 서명을 파악하세요. 사용자는 온체인 거래에 서명할 때 거래의 세부 사항을 이해하고 있는지 확인하기 위해 거래를 확인해야 하며, 이해할 수 없는 거래에 대해서는 주의를 기울이고 맹목적으로 서명하지 않아야 합니다.OKX Web3 지갑은 오프라인 서명뿐만 아니라 온체인 거래를 파싱하고 실행을 시뮬레이션하여 자산 변경 및 승인 변경 결과를 보여줍니다. 사용자는 거래를 하기 전에 이 결과에 집중하여 기대에 부합하는지 확인할 수 있습니다.
주의 사항 #3: 어떤 소프트웨어를 다운로드하는지 파악하세요. 보조 거래 및 투자 소프트웨어를 다운로드할 때는 공식 플랫폼에서 다운로드한 것인지 확인하고, 다운로드 후 즉시 바이러스 백신 소프트웨어를 사용해 검사하세요. 악성 소프트웨어를 다운로드하면 트로이 목마는 스크린샷, 메모리 스캔, 캐시 파일 업로드 및 기타 수단을 통해 클립보드를 모니터링하여 사용자의 도우미 또는 개인키를 획득합니다.
예방 4: 보안 인식을 강화하고 개인 키를 올바르게 보관하세요. 가능한 한 니모닉이나 개인 키와 같은 중요한 정보를 복사하거나 스크린샷을 찍지 말고, 타사 클라우드 플랫폼에 저장하지 마세요.
예방 5: 강력한 비밀번호 및 다중 서명. 비밀번호를 사용하는 과정에서 사용자는 비밀번호의 복잡성을 최대한 높여 해커가 개인 키 암호화 파일을 입수한 후 이를 폭파하지 못하도록 해야 합니다. 거래 과정에서 다중 서명 메커니즘이 있는 경우 다중 서명을 사용하여 한 쪽의 니모닉 또는 개인 키가 유출되더라도 전체 거래에 영향을 미치지 않도록 하는 것이 중요합니다.
