Scam Sniffer 가 발표한 2024년 중반 피싱 보고서 에 따르면 2024년 상반기 에만 260,000명의 피해자가 EVM 체인 에서 3억 1,400 만 달러를 잃었고 , 그 중 20 명은 1인당 100만 달러 이상을 잃었습니다 . 안타깝게도 또 다른 피해자는 1,100 만 달러의 손실을 입어 역사상 두 번째로 큰 절도 피해자가 되었습니다.
보고서 요약에 따르면, 현재 대부분의 ERC20 토큰 도난은 Permit , IncrementAllowance 및 Uniswap Permit2 와 같은 피싱 서명에 서명함으로써 발생합니다 . 대부분의 주요 도난에는 Stake , Restake , Aave Stake 및 Pendle 토큰이 포함됩니다. 피해자는 가짜 트위터 계정 의 피싱 댓글을 통해 피싱 웹사이트로 연결되는 경우가 많습니다 .
피싱 공격은 의심할 여지없이 여전히 온체인 보안 문제에서 가장 큰 타격을 받는 영역입니다.
OKX Web3 Wallet은 사용자의 기본적인 거래 요구 사항을 충족하는 보급형 제품으로서 보안 조치 강화와 사용자 교육에 중점을 두고 있습니다. 제품 차원에서는 최근 고주파 피싱 시나리오를 중심으로 위험한 거래 차단 기능을 업그레이드했으며, 앞으로도 더 많은 위험 시나리오를 식별해 사용자에게 촉구할 예정이라고 밝혔습니다.
이 글은 최신 업그레이드된 OKX Web3 지갑의 4가지 주요 위험한 거래 차단 기능에 대한 적용 시나리오를 명확하게 설명하는 동시에 일부 도난 사례의 운영 원칙을 대중화하는 데 도움이 되기를 바랍니다.
1. EOA 계정 에 대한 악의적 인증
6월 26일 , 사용자는 가짜 Blast 피싱 웹사이트에서 여러 개의 피싱 서명을 하고 7월 3일 에 $ 217,000를 잃었 습니다 . ZachXBT는 주소 0xD7b2가 Fake_Phishing 187019 피싱의 피해자가 되어 6개의 BAYC NFT 와 40개의 BAYC NFT 손실이 발생했다고 보고했습니다 . (미화 100 만 달러 이상의 가치 ), 7월 24일 , Pendle 사용자는 한 시간 전 여러 번의 Permit 피싱 서명 으로 인해 약 미화 469 만 달러 상당의 PENDLEPT 재스테이킹 토큰을 도난당했습니다.
지난 두 달 동안 각종 시그니처 피싱으로 인해 단일 거래 금액 손실 및 손실 사건이 많이 발생했으며, 이는 보안 문제가 자주 발생하는 중요한 시나리오가 되었습니다. 대부분의 시나리오에는 사용자가 해커의 EOA 계정을 인증하도록 유도하는 작업이 포함됩니다.
EOA 계정 에 대한 악의적인 인증은 일반적으로 해커가 다양한 복지 활동을 통해 사용자에게 인증을 유도하고 사용자 주소에 EOA 주소의 서명을 부여하는 것을 의미합니다.
EOA의 전체 이름은 외부 소유 계정 이며 " 외부 계정 " 으로도 번역됩니다 . 이는 이더리움 이 지배하는 블록체인 네트워크의 계정 유형입니다. 이는 이더리움의 다른 계정 유형 인 계약 계정( 계약 계정 )과 다릅니다. 플레이어가 체인을 서핑할 때 일반적으로 개인 소유의 EOA 계정 보다는 프로젝트 당사자가 승인한 스마트 계약 계정을 사용합니다 . |
현재 가장 일반적인 세 가지 인증 방법이 있습니다. 승인은 ERC-20 토큰 표준 에 존재하는 일반적인 인증 방법입니다 . 제3자(예: 스마트 계약)가 토큰 보유자의 이름으로 일정 금액의 토큰을 사용할 수 있도록 승인합니다. 사용자는 스마트 계약을 위해 특정 수의 토큰을 사전 승인해야 합니다. 그 후 계약은 언제든지 transferFrom 함수를 호출하여 이러한 토큰을 전송할 수 있습니다. 사용자가 실수로 악의적인 계약을 승인한 경우 승인된 토큰이 즉시 전송될 수 있습니다. Approve 의 승인 흔적은 피해자의 지갑 주소에서 확인할 수 있다는 점에 주목할 필요가 있습니다 .
Permit은 ERC-20 표준을 기반으로 도입된 확장된 인증 방법으로 제3자가 스마트 계약을 직접 호출하는 대신 메시지 서명을 통해 토큰을 사용할 수 있도록 인증합니다. 간단히 말해서, 사용자는 서명을 통해 다른 사람이 자신의 토큰을 전송하도록 승인할 수 있습니다 . 해커는 이 방법을 사용하여 공격을 수행할 수 있습니다. 예를 들어 피싱 웹 사이트를 설정하고 지갑에 로그인하는 버튼을 Permit 으로 대체하여 사용자의 서명을 쉽게 얻을 수 있습니다.
Permit2는 ERC-20 의 표준 기능 은 아니지만 Uniswap 에서 사용자 편의를 위해 도입한 기능입니다. 이 기능을 사용하면 Uniswap 사용자는 사용 중에 가스 요금을 한 번만 지불할 수 있습니다. 그러나 Uniswap을 사용한 적이 있고 계약에 무제한 할당량을 승인한 경우 Permit2 피싱 공격의 대상이 될 수 있다는 점에 유의하는 것이 중요합니다.
Permit 과 Permit2는 피해자의 지갑 주소로 가스를 지불할 필요가 없습니다 . 따라서 피셔의 지갑 주소는 온체인 작업에 대한 승인을 제공하므로 이 두 서명의 승인 추적은 피싱자의 지갑 주소에서만 볼 수 있습니다. . 이제 Permit 및 Permit2 서명 피싱은 Web3 자산 보안 분야에서 가장 큰 타격을 받는 영역이 되었습니다 .
이 시나리오에서 OKX Web3 지갑 차단 기능은 어떻게 작동합니까? OKX Web3 Wallet은 서명할 거래에 대해 사전 분석을 수행합니다. 분석 결과 해당 거래가 승인된 행위이고 승인된 주소가 EOA 주소인 것으로 확인되면 사용자에게 경고를 보내 공격을 방지합니다. 피싱으로 인해 자산 손실이 발생합니다. |
2. 악의적으로 계정 소유자 를 변경하는 행위
악의적으로 계정 소유자를 변경하는 사고는 일반적으로 TRON 및 Solana 와 같은 계정 소유자가 기본 메커니즘을 설계한 퍼블릭 체인에서 발생합니다. 사용자가 서명하면 해당 계정에 대한 통제권을 잃게 됩니다.
TRON 지갑을 예로 들면 , TRON 의 다중 서명 권한 시스템은 소유자 , 증인 및 활성 의 세 가지 권한으로 설계되었습니다 . 각 권한에는 특정 기능과 용도가 있습니다.
소유자 권한은 모든 계약 및 작업을 실행할 수 있는 가장 높은 권한을 갖습니다. 이 권한이 있어야만 다른 서명자를 추가하거나 제거하는 등 다른 권한을 수정할 수 있으며, 계정 자체에는 기본적으로 이 권한이 있습니다.
증인 권한은 주로 슈퍼 대표와 관련이 있습니다. 이 권한이 있는 계정은 슈퍼 대표의 선출 및 투표에 참여하고 슈퍼 대표와 관련된 업무를 관리할 수 있습니다.
활성 권한은 자금 이체 및 스마트 계약 호출과 같은 일상적인 작업에 사용됩니다. 이 권한은 소유자 권한에 의해 설정 및 수정 될 수 있습니다 . 이는 특정 작업을 수행해야 하는 계정에 할당 되는 경우가 많습니다( TRX 전송 및 담보 자산 등).
한 가지 상황은 해커가 사용자의 개인 키 / 니모닉 문구를 획득한 후 사용자가 다중 서명 메커니즘을 사용하지 않는 경우(즉, 지갑 계정은 한 명의 사용자에 의해서만 제어됨) 해커가 소유자/ 니모닉 문구를 승인할 수도 있다는 것입니다. 자신의 주소에 대한 활성 권한 또는 지갑 계정을 자신의 주소로 이전하는 작업을 일반적으로 악의적인 다중 서명이라고 합니다.
사용자의 소유자/활성 권한이 제거되지 않으면 해커는 다중 서명 메커니즘을 사용하여 사용자와 함께 계정 소유권을 공동으로 제어합니다. 이때 사용자는 개인 키 / 니모닉 문구와 소유자/활성 권한을 모두 보유하고 있지만 자신의 자산을 전송할 수 없습니다. 사용자가 자산 전송 요청을 시작하면 사용자와 해커의 주소가 모두 서명되어야 합니다. 거래가 정상적으로 실행될 수 있습니다.
또 다른 상황은 해커가 TRON 의 권한 관리 설계 메커니즘을 사용하여 사용자의 소유자/활성 권한을 해커의 주소로 직접 전송하여 사용자가 소유자/활성 권한을 잃게 만드는 것입니다.
위 두 상황의 결과는 동일합니다. 사용자에게 소유자/활성 권한이 있는지 여부에 관계없이 해커 주소가 계정의 최고 권한을 획득하면 계정 권한을 변경할 수 있습니다. , 양도자산 등이 운용됩니다.
이 시나리오에서 OKX Web3 지갑 차단 기능은 어떻게 작동합니까? OKX Web3 Wallet은 서명할 거래에 대해 사전 분석을 수행하여 거래 메모리의 계정 권한에 변경이 있는 것으로 확인되면 사용자가 해당 거래를 직접 차단하여 사용자가 추가 서명을 방지하여 자본이 발생합니다. 사상자 수. 위험이 매우 높기 때문에 현재 OKX Web3 지갑은 이를 직접 가로채 사용자가 더 이상의 거래를 수행하는 것을 허용하지 않습니다. |
3. 송금주소를 악의적으로 변경하는 경우
악의적으로 전송 주소를 변경하는 위험한 거래 시나리오는 주로 DApp 계약 설계가 불완전할 때 발생합니다.
3월 5일 , @CyversAlerts는 0xae7ab 로 시작하는 주소가 EigenLayer 로부터 4 stETH (계약 가격 $ 14,199.57 )를 받았으며 피싱 공격을 받은 것으로 의심되는 것을 발견했습니다 . 동시에 그는 많은 피해자들이 메인 네트워크에서 ' queueWithdrawal ' 피싱 거래에 서명했다는 점을 지적했습니다.
Angel Drainer는 이더리움 서약의 성격을 표적으로 삼아 거래 승인이 기존 ERC20 "승인" 방식과 다르며, 구체적으로 EigenLayer Strategy Manager 계약 의 queueWithdrawal(0xf123991e) 기능에 대한 익스플로잇을 작성했습니다 . 공격의 핵심은 " queueWithdrawal " 트랜잭션에 서명한 사용자가 실제로 EigenLayer 프로토콜 에서 지갑의 스테이킹 보상을 공격자가 선택한 주소로 인출하기 위한 악의적인 "인출"을 승인했다는 것입니다. 간단히 말해서 피싱 페이지에서 거래를 승인하면 EigenLayer 에 걸었던 보상은 공격자의 소유가 됩니다.
악의적인 공격을 탐지하기 더 어렵게 만들기 위해 공격자는 " CREATE2 " 메커니즘을 사용하여 빈 주소로의 출금을 승인합니다. 이는 새로운 승인 방법이기 때문에 대부분의 보안 공급자나 내부 보안 도구에서는 이 승인 유형을 구문 분석하고 검증하지 않으므로 대부분의 경우 무해한 거래로 표시됩니다.
이 사례뿐만 아니라, 올해부터 일부 주류 퍼블릭 체인 생태계에서 잘못 설계된 일부 계약 취약점이 나타나 일부 사용자의 전송 주소가 악의적으로 변경되어 재정적 손실을 초래했습니다.
이 시나리오에서 OKX Web3 지갑 차단 기능은 어떻게 작동합니까? EigenLayer의 피싱 공격 시나리오 에 대응하여 OKX Web3 Wallet은 " queueWithdrawal " 관련 거래를 분석하여 사용자가 비공식 웹사이트에서 거래하고 자신의 주소가 아닌 다른 주소로 돈을 인출하는 것으로 확인되면 이를 차단합니다. 피싱 공격을 방지하기 위해 사용자에게 경고하고 추가 조치를 취하도록 강제합니다. |
4. 유사한 주소로의 이체
유사 주소 전송 공격은 피해자가 실제 주소와 매우 유사한 가짜 주소를 사용하도록 속여 자금을 공격자의 계좌로 이체할 수 있도록 합니다. 이러한 공격에는 일반적으로 공격자가 추적의 어려움을 높이기 위해 여러 지갑과 크로스체인 전송을 사용하는 복잡한 난독화 및 은폐 기술이 수반됩니다.
지난 5월 3일 , 거대고래 한 마리가 동일한 주소로 피싱 공격을 당해 약 7천만 달러 상당 의 1,155WBTC 를 피싱 공격당했습니다 .
이 공격의 논리는 주로 해커가 대량의 피싱 주소를 일괄적으로 생성해 배치 프로그램을 분산 배포한 후 대상 전송 주소 기반으로 첫 번째와 마지막 번호가 동일한 피싱 공격을 한다는 것이다. 체인의 사용자 역학에 대해 이번 사건에서 해커는 0x를 제거한 후 처음 4 자리와 마지막 6 자리가 피해자의 대상 전송 주소와 일치하는 주소를 사용했습니다. 사용자가 돈을 이체한 후 해커는 즉시 충돌된 피싱 주소(약 3 분 후)를 이용해 거래를 진행(피싱 주소가 사용자의 주소로 0ETH를 전송함 )하여 사용자의 거래 기록에 피싱 주소가 나타났습니다.
사용자는 지갑 내역에서 최근 이체 정보를 복사하는 데 익숙했기 때문에 이번 추적 피싱 거래를 본 후 복사한 주소가 올바른지 신중하게 확인하지 않았으며 그 결과 1,155 WBTC 가 피싱 주소로 잘못 전송되었습니다.
이 시나리오에서 OKX Web3 지갑 차단 기능은 어떻게 작동합니까? OKX Web3 지갑은 체인의 거래를 지속적으로 모니터링합니다. 대규모 거래가 발생한 직후 사용자가 실행하지 않은 의심스러운 거래가 체인에서 즉시 발생하며 의심스러운 거래의 상호 작용 당사자는 아닙니다. 대규모 거래의 상호작용 당사자와 동일합니다. 매우 유사합니다. 이 경우 의심스러운 거래의 상호작용 당사자는 유사한 주소로 판단됩니다. 이후에 사용자가 유사한 주소와 상호 작용하는 경우 OKX Web3 는 동시에 거래 내역 페이지에 유사한 주소와 관련된 거래를 직접 표시하여 사용자가 붙여넣기를 유도하여 자본 손실을 초래하는 것을 방지합니다. (현재 8개 체인 지원 ) |
결론
전반적으로 2024년 상반기에도 에어드랍된 피싱 메일, 프로젝트 공식 계정 해킹 등의 보안사고는 여전히 빈번하게 발생할 것으로 보인다. 사용자는 이러한 에어드랍과 활동을 통해 혜택을 누리는 동시에 전례 없는 보안 위험에 직면해 있습니다. 해커는 공식 피싱 이메일이나 가짜 주소로 위장하여 사용자를 속여 개인 키를 공개하거나 악의적인 전송을 하게 합니다. 또한 일부 프로젝트 공식 계정도 해킹되어 사용자 자금이 손실되었습니다. 이러한 환경에서 일반 사용자들에게 가장 중요한 것은 예방의식을 높이고 심층적인 보안 지식을 습득하는 것입니다. 동시에 신뢰할 수 있는 위험 관리 기능을 갖춘 플랫폼을 선택하십시오.
위험 경고 및 면책조항
이 글은 참고용입니다. 이 글은 작성자의 견해일 뿐 OKX의 입장을 대변하는 것은 아닙니다. 이 문서는 (i) 투자 조언 또는 투자 권장 사항, (ii) 디지털 자산 구매, 판매 또는 보유 제안 또는 권유, (iii) 금융, 회계, 법률 또는 세금 관련 조언을 제공하기 위한 것이 아닙니다 . 우리는 그러한 정보의 정확성, 완전성 또는 유용성을 보장하지 않습니다. 스테이블 코인 및 NFT를 포함한 디지털 자산을 보유하는 것은 높은 수준의 위험을 수반하며 크게 변동될 수 있습니다. 귀하의 재정 상황에 따라 디지털 자산을 거래하거나 보유하는 것이 귀하에게 적합한지 신중하게 고려해야 합니다. 귀하의 구체적인 상황에 대해서는 법률 / 세무 / 투자 전문가와 상담하시기 바랍니다. 관련 현지 법률 및 규정을 이해하고 준수할 책임이 있습니다.