이번 호는 보안 특집 03 호로 , 업계 유명 보안 전문가인 0xAA 와 OKX Web3 지갑 보안팀을 초청해 '털 많은 사람들'의 일반적인 보안 위험과 예방법을 실무 지침 관점에서 설명했다.
WTF Academy: OKX Web3의 초대에 진심으로 감사드립니다 . 저는 WTF Academy의 0xAA입니다 . WTF Academy 는 개발자가 Web3 개발을 시작할 수 있도록 돕는 Web3 오픈 소스 대학 입니다 . 올해 우리는 Web3 구조 프로젝트 RescuETH (온체인 구조팀)를 인큐베이팅하여 사용자의 도난당한 지갑에 남아 있는 자산을 구출하는 데 중점을 두고 있습니다. 현재 이더리움 , 솔라나 , 코스모스에서 300만 위안 이상의 도난 자산을 성공적으로 구출 했습니다. .
OKX Web3 지갑 보안 팀: 안녕하세요 여러분, 이 소식을 공유하게 되어 매우 기쁩니다. OKX Web3 지갑 보안팀은 지갑 보안 기능 구축, 스마트 계약 보안 감사, 온체인 프로젝트 보안 모니터링 등 Web3 분야 에서 OKX의 다양한 보안 기능 구축을 주로 담당하여 사용자에게 제품을 제공합니다. 보안, 자금 보안, 거래 보안 등 다양한 보호 서비스를 통해 블록체인 전체의 보안 생태계를 유지하는데 기여합니다.
Q1 : 헤어 자위행위자가 겪은 실제 위험 사례를 공유해 주세요.
WTF Academy : 개인 키 유출은 Lumao 사용자가 직면한 주요 보안 위험 중 하나입니다. 기본적으로 개인 키는 암호화 자산을 제어하는 데 사용되는 문자열입니다. 개인 키를 소유한 사람은 누구나 해당 암호화 자산에 대한 모든 권한을 갖습니다. 개인키가 유출되면 공격자는 승인 없이 사용자의 자산에 접근, 전송, 관리할 수 있어 사용자에게 재정적 손실을 입힐 수 있습니다. 따라서 개인키가 도난당한 몇 가지 사례를 집중적으로 공유해 드리겠습니다.
Alice (가명)는 소셜 미디어에서 해커에 의해 악성 코드를 다운로드하도록 유도되었으며, 악성 코드를 실행한 후 개인 키가 도난당했습니다. 현재 악성 코드는 마이닝 스크립트, 게임, 악성 코드 등 다양한 형태로 나타나며 사용자는 이에 대한 개선이 필요합니다. 회의 소프트웨어, Chongtugou 스크립트, 클립 로봇 등에 대한 보안 인식
Bob (가명)이 실수로 GitHub에 개인 키를 업로드한 후 다른 사람이 이를 획득하여 자산을 도난당하는 일이 발생했습니다.
칼 (가명)이 해당 프로젝트의 공식 테게그램 그룹에 문의했을 때, 자신에게 적극적으로 연락하고 니모닉 문구를 유출한 가짜 고객 서비스를 믿었고, 이후 그의 지갑 자산을 도난당했습니다.
OKX Web3 Wallet 보안팀: 이러한 위험 사례는 많습니다. 사용자가 자위할 때 직면하게 되는 몇 가지 전형적인 사례를 선택했습니다.
첫 번째 범주는 가짜 에어드랍을 게시하는 모방 수준이 높은 계정입니다. A 씨는 인기 프로젝트의 트위터를 탐색하던 중 최신 트위터 하단에 에어드랍 이벤트 공지를 발견한 뒤, 공지 링크를 클릭해 에어드랍에 참여했고, 결국 피싱을 당하게 됐다. 현재 많은 피싱 공격자들이 공식 계정을 모방하고 공식 트위터에 허위 공지를 게시하여 사용자의 미끼를 물도록 유도하고 있습니다.
두 번째 범주는 공식 계정이 탈취되는 것입니다. 특정 프로젝트의 공식 트위터 와 디스코드 계정이 해킹되었고, 해커는 해당 프로젝트의 공식 계정에서 에어드랍 이벤트에 대한 가짜 링크를 게시했습니다. 해당 링크는 공식 채널에서 게시되었기 때문에 사용자 B는 클릭 후 해당 링크의 진위를 의심하지 않았습니다. 에어드랍에 참여하기 위해 이 링크를 피싱을 당했습니다.
세 번째 범주는 악의적인 프로젝트 당사자를 만나는 것입니다. 사용자 C는 특정 프로젝트의 채굴 활동에 참여할 때 더 높은 보상 수입을 얻기 위해 모든 USDT 자산을 프로젝트의 스테이킹 계약에 투자합니다 . 그러나 스마트 계약은 엄격하게 감사되지 않았고 오픈 소스가 아니었기 때문에 프로젝트 팀은 계약에 예약된 백도어를 통해 사용자 C 가 계약에 예치한 모든 자산을 훔쳤습니다 .
수십, 수백 개의 지갑을 보유하고 있는 경우가 많은 Lumao 사용자에게는 지갑과 자산의 보안을 어떻게 보호할 것인지가 매우 중요한 주제입니다. 항상 경계하고 보안 인식을 높여야 합니다.
Q2 : 빈도가 높은 사용자로서 온체인 상호작용에서 털이 많은 사람들이 직면하는 일반적인 유형의 보안 위험 및 보호 조치
WTF Academy : lumao 사람들과 심지어 모든 Web3 사용자에게 있어서 현재 일반적인 두 가지 보안 위험 유형은 피싱 공격과 개인 키 유출입니다.
첫 번째 유형은 피싱 공격입니다. 해커는 일반적으로 공식 웹사이트나 애플리케이션을 위조하고 사용자가 소셜 미디어 및 검색 엔진을 클릭하도록 속인 다음 사용자가 피싱 웹사이트를 거래하거나 로그인하여 토큰 승인을 얻고 사용자 자산을 훔치도록 유도합니다.
예방 조치: 첫째, 사용자는 공식 채널(예: 공식 Twitter 프로필의 링크)에서 공식 웹사이트 및 애플리케이션에만 접속하는 것이 좋습니다. 둘째, 사용자는 보안 플러그인을 사용하여 일부 피싱 웹사이트를 자동으로 차단할 수 있습니다. 셋째, 사용자가 의심스러운 사이트에 접속하면 전문 보안 담당자에게 문의해 피싱 사이트인지 여부를 판단할 수 있다.
두 번째 범주는 개인 키 유출입니다. 이는 이전 질문에서 소개되었으므로 여기서는 확장하지 않겠습니다.
예방 조치: 첫째, 사용자의 컴퓨터나 휴대폰에 지갑이 설치되어 있는 경우 비공식 채널에서 의심스러운 소프트웨어를 다운로드하지 마십시오. 둘째, 사용자는 공식 고객 서비스가 일반적으로 귀하에게 개인 키와 니모닉 문구를 가짜 웹사이트에 보내거나 입력하도록 요청하는 것은 물론, 귀하에게 개인 메시지를 보내는 데 주도권을 갖지 않는다는 것을 알아야 합니다. 셋째, 사용자의 오픈소스 프로젝트에서 개인 키를 사용해야 하는 경우, 먼저 .gitignore 파일을 구성하여 개인 키가 GitHub에 업로드되지 않도록 하세요 .
OKX Web3 지갑 보안 팀: 사용자의 온체인 상호 작용에서 발생하는 5가지 일반적인 보안 위험 유형을 요약 하고 각 위험 유형에 대한 몇 가지 보호 조치를 나열했습니다.
1. 에어드랍 사기
위험 프로필: 일부 사용자는 지갑 주소에 알 수 없는 토큰이 많이 나타나는 경우가 많습니다. 이러한 토큰은 일반적으로 일반적으로 사용되는 DEX 거래에서 실패합니다. 페이지에는 사용자에게 교환을 위해 공식 웹사이트로 이동하라는 메시지가 표시됩니다. 승인된 거래를 수행하는 경우, 스마트 계약에는 종종 계정 자산을 양도할 수 있는 권한이 부여되며, 이는 궁극적으로 자산 도난으로 이어집니다. 예를 들어, Zape 에어드랍 사기에서 많은 사용자가 갑자기 지갑에 수십만 달러 가치가 있는 대량의 Zape 코인을 받았습니다 . 이로 인해 많은 사람들은 자신이 예기치 않게 큰 돈을 벌었다고 착각하게 됩니다. 그러나 이것은 실제로 정교한 함정입니다. 이러한 토큰은 공식 플랫폼에서 찾을 수 없기 때문에 현금화를 원하는 많은 사용자는 토큰 이름을 기반으로 소위 " 공식 웹사이트 "를 찾게 됩니다 . 지갑을 연결하라는 메시지를 따른 후 토큰을 판매할 수 있다고 생각했지만 일단 승인되면 지갑에 있는 모든 자산이 즉시 도난당했습니다.
보호 조치: 에어드랍 사기를 피하려면 사용자가 매우 경계하고, 정보 출처를 확인하고, 항상 공식 채널(예: 프로젝트 공식 웹사이트, 공식 소셜 미디어 계정, 공식 공지 등)에서 에어드랍 정보를 얻어야 합니다. 개인 키와 니모닉 문구를 보호하고, 수수료를 지불하지 말고, 커뮤니티와 도구를 사용하여 잠재적인 사기를 확인하고 식별하세요.
2. 악성 스마트 계약
위험 프로필: 감사되지 않거나 오픈 소스가 아닌 많은 스마트 계약에는 사용자 자금의 안전을 보장할 수 없는 허점이나 백도어가 포함될 수 있습니다.
보호 조치: 사용자는 공식 감사 회사의 엄격한 감사를 받은 스마트 계약과만 상호 작용하도록 노력하거나 프로젝트의 보안 감사 보고서를 확인하는 데 주의를 기울여야 합니다. 또한 버그 현상금이 있는 프로젝트는 일반적으로 더 안전합니다.
3. 권한 관리:
위험 프로필: 대화형 계약에 대한 과도한 승인은 자금 도난으로 이어질 수 있습니다. 여기에는 예가 나와 있습니다. 1 ) 계약은 업그레이드 가능한 계약입니다. 특권 계정의 개인 키가 유출되면 공격자는 개인 키를 사용하여 업그레이드할 수 있습니다. 악성 버전으로 계약하여 승인된 사용자의 자산을 훔칩니다. 2 ) 계약에 아직 식별되지 않은 취약점이 있는 경우 과도한 권한 부여로 인해 공격자가 이러한 취약점을 악용하여 향후 자금을 훔칠 수 있습니다.
보호조치 : 쌍방향 계약에 대해서는 원칙적으로 필요한 만큼만 권한을 부여하며, 불필요한 권한은 정기적으로 확인하여 철회해야 합니다. 오프체인 허가 승인에 서명할 때 대상 계약 / 자산 유형 / 승인 금액을 명확히 하고 행동하기 전에 다시 한 번 생각해야 합니다.
4.피싱 승인
위험 프로필: 악의적인 링크를 클릭하여 악의적인 계약이나 사용자를 인증하도록 유도되는 행위
보호 조치: 1 ) 블라인드 서명 방지 : 거래에 서명하기 전에 서명하려는 거래의 내용을 이해하고 작업의 모든 단계가 명확하고 필요한지 확인하십시오. 2 ) 권한 대상을 주의 깊게 다루십시오. 권한 대상이 EOA 주소( 외부 소유 계정 )이거나 확인되지 않은 계약인 경우 주의해야 합니다. 확인되지 않은 계약에는 악성 코드가 포함될 수 있습니다. 3 ) 피싱 방지 플러그인 지갑 사용: OKX Web3 지갑 등과 같이 피싱 방지 기능이 있는 플러그인 지갑을 사용하세요. 이러한 지갑은 악성 링크를 식별하고 차단하는 데 도움이 될 수 있습니다. 4 ) 니모닉 문구 및 개인 키 보호: 니모닉 문구 또는 개인 키를 요구하는 모든 웹사이트는 피싱 링크입니다. 웹사이트나 애플리케이션에 이러한 민감한 정보를 입력하지 마세요.
5. 악성 머리카락을 키우는 스크립트
위험 프로필: 악의적인 머리카락을 키우는 스크립트를 실행하면 트로이 목마가 컴퓨터에 이식되어 개인 키가 도난당하게 됩니다.
보호 조치: 알려지지 않은 모발 키우기 스크립트나 모발 키우기 소프트웨어를 실행할 때는 주의하십시오.
간단히 말해서, 우리는 사용자가 체인에서 상호 작용할 때 조심하고 조심하여 지갑과 자산의 보안을 보호할 수 있기를 바랍니다.
Q3 : 고전적인 낚시 유형과 기술을 분류하고, 이를 식별하고 피하는 방법은 무엇입니까?
WTF Academy : 저는 이 질문을 다른 관점에서 다시 답변하고 싶습니다. 사용자가 자신의 자산이 도난당한 사실을 발견하면 그것이 피싱 공격인지 개인 키 유출인지 어떻게 식별할 수 있습니까? 사용자는 일반적으로 다음 두 가지 유형의 공격 특성을 식별할 수 있습니다.
1. 피싱 공격의 특징: 해커는 일반적으로 피싱 웹사이트를 이용해 사용자의 단일 지갑에 있는 단일 또는 다중 자산에 대한 권한을 얻어 자산을 훔칩니다. 일반적으로 도난당한 자산 유형은 사용자가 피싱 웹사이트를 승인한
