주코인 랩스:
오늘 우리는 Lunaray 팀을 오늘의 이벤트에 초대하게 되어 매우 영광입니다. 그들은 실제로 블록체인 보안에 전념하는 혁신적인 회사입니다. 그들의 목표는 전체 블록체인 생태계에 보다 포괄적인 보안 솔루션을 제공하는 것입니다. 그들의 독특함은 업계의 트렌드를 주도한 전체 수명 주기 Web3 보안 솔루션의 출시에 있습니다. 오늘의 이 교류를 통해 모두가 우리 프로젝트에 대해 더 깊이 이해하게 되기를 바랍니다. 이제 AMA의 주요 주제로 들어가겠습니다.
우선 오늘의 연사를 AMA에 환영하고 싶습니다. 또한 프로젝트와 핵심 개념, 프로젝트 창립 배경을 간략하게 소개하고, 청중들에게 더 깊은 이해를 제공하기를 기대합니다. 감사합니다.
루나레이:
좋아요. 여러분, 안녕하세요! 우리 Lunaray는 실제로 Web3 보안 생태계에 주로 초점을 맞춘 회사입니다. 호스트가 소개했듯이, 우리는 실제로 Web3 생태계의 보안을 보장하는 데 전념하고 있습니다. 저희의 기지는 싱가포르에 있습니다. 저희는 또한 수년간 전통적인 보안 산업에서 일해 왔기 때문입니다. 그런 다음 Web3 산업의 많은 친구들이 보안 문제로 인해 수백만 또는 수천만 달러의 손실을 입는 것을 보았습니다. 사실 저희는 매우 슬픕니다. 그들 중 많은 사람들이 Web3 보안 분야의 저희 친구들이기 때문입니다. 맞죠?
루나레이:
그들은 개인 보안 인식에 문제가 있을 수도 있고, 보안의 중요성을 이해하지 못할 수도 있는데, 이는 해커에게 모든 재산 또는 대부분의 재산이 도난당하는 결과를 초래할 수 있습니다. 저는 이것이 우리에게 매우 슬픈 일이라고 생각합니다.
따라서 우리는 Web3 생태계의 보안을 보장하기 위해 Lunaray를 설립했습니다. Lunaray의 목적은 업계의 친구들이 해커 공격을 피하고 자산의 안전을 보장할 수 있도록 최대한 돕는 것이 맞습니까?
우리의 목표는 Web3 플레이어나 사용자 모두가 자신있게 Web3 분야에서 활동할 수 있도록 하는 것입니다.
루나레이:
물론 Lunaray는 설립된 지 약 8년이 되었습니다. 또한 서비스 산업에서 대량 경험을 축적했으며 관련 경험을 관련 보안 서비스로 전환하여 업계 사용자의 안전을 보장했습니다. 이것이 바로 저희의 목적이고, 저희의 목표는 Web3를 더 안전하게 만들어서 여러분이 어느 날 갑자기 지갑을 열었다가 해커에게 자산이 도난당하는 것을 걱정하지 않아도 되도록 하는 것입니다. 맞죠? 저희는 Web3 보안을 위한 업계 선도적인 풀체인 솔루션을 제공하며, 여기에서 저희 Lunaray 팀에 대한 간략한 소개를 드리겠습니다.
주코인 랩스:
알겠습니다. 감사합니다. 사실, 방금 소개한 내용을 통해 모든 사람이 Lunaray가 구체적으로 사용자 안전을 어떻게 보호하는지 더 깊이 이해하게 되기를 바랄 것입니다. 그리고 사용자 안전 문제에 대해, 저는 모든 청취자 친구나 친구가 가장 핵심적인 문제에 대해 매우 우려하고 있다고 믿습니다.
블록체인 보안 분야에서 기술은 실제로 핵심적인 이점이며, 특히 보안 측면에서는 완전한 기술적 보호가 필요합니다. 기술 분야에서 Lunaray의 독특한 하이라이트는 무엇입니까? 제품 시스템과 전체 서비스 시스템 및 프로세스를 공유해 주시겠습니까?
루나레이:
좋아요. 저는 우리 모두가 Web3의 플레이어라고 믿습니다. Web3 사용자는 Web3에서 사용자에게 해킹당하지 않았다면 Web3 산업에 진입하지 않은 것과 같다는 말을 들었을 것입니다. 이것은 농담이지만 해커나 공격자가 Web3 분야에 매우 만연하다는 것을 간접적으로 보여줍니다. Web3에는 익명성과 같은 일련의 특성이 있기 때문입니다. 맞죠? 익명성이라는 특징은 해커가 자신의 행동이 다른 사람에게 발각될까 봐 걱정할 필요가 없고, 공격 방법과 훔친 자금을 더 잘 숨길 수 있다는 것을 의미하지 않습니까? 현재 웹 3.0의 상황은 다음과 같습니다.
루나레이:
보안팀으로서 우리는 이러한 현재 상황에 대한 심층적인 연구를 수행하고 자체 보안 솔루션 세트를 요약했습니다. 그런 다음 Web3 프로젝트에 대한 전체 수명 주기 솔루션을 제공합니다.
많은 사람들은 우리에게 보안 솔루션만 필요하다고 말할 수 있습니다. 전체 수명 주기 보안 솔루션은 무엇입니까? 이것이 우리가 보안을 전체 Web3 프로젝트 주기에 통합하는 방법입니다. Web3 프로젝트의 경우, Web3 프로젝트를 개발하거나 시작하려면 프로젝트 계획 주기가 있을 수 있다는 것을 알고 있기 때문입니다. 맞죠? 프로젝트에 대한 연구와 개발이 있고, 프로젝트를 온라인으로 운영하고, 마지막으로는 프로젝트를 지속적으로 반복하고 업데이트하는 것이 있을 텐데요.
루나레이:
프로젝트의 전체 수명 주기에 보안을 통합하는 첫 번째 단계는 프로젝트 계획 단계에서 보안 컨설팅과 보안 교육을 제공하는 것입니다. 이는 Web3 프로젝트를 진행하는 많은 프로젝트 소유자 또는 프로젝트 팀이 보안 배경이 없을 수 있지만 좋은 아이디어가 있을 수 있기 때문입니다.
그는 이 아이디어를 구현하지만, 보안 개념이 부족할 수 있습니다. 예를 들어, 그가 설계하는 모델은 경제 모델과 보안 취약성을 포함할 수 있습니다. 맞나요? 생태경제모델에 보안상의 허점이 있다면, 그 프로젝트가 개발의 초기나 중기 단계에서 방해를 받을 수 있지 않을까요?
루나레이:
해커의 공격을 받게 되면 프로젝트 전반의 운영이 중단되기 때문에, 프로젝트 계획 기간 동안 프로젝트 당사자에게 일부 보안 컨설팅 및 보안 교육 서비스를 제공할 수 있습니다. 우리는 일상적인 연구를 하는 동안 몇 가지 보안 문제를 발견했고, 보안 경험을 요약하여 프로젝트 당사자들과 공유했습니다. 프로젝트를 설계할 때 프로젝트 당사자들은 견고하고 강력한 보안 경제 모델이나 보안 아키텍처를 설계할 수 있지 않나요?
프로젝트의 후반 개발 과정에서는 아키텍처가 안전할 것이므로 개발 안전성을 보장하는 한 프로젝트 전반적인 보안도 보장할 수 있습니다.
루나레이:
첫 번째 단계는 프로젝트 계획 단계에서 안전 컨설팅과 안전 교육을 제공한다는 것입니다. 두 번째 단계는 프로젝트를 계획하고 설계한 다음 안전하게 개발하는 것입니다. 맞죠? 그러면 프로젝트에서 스마트 계약이나 지갑과 비슷한 제품을 개발해야 할 수도 있습니다.
프로젝트가 개발될 때에도 우리는 참여합니다. 우리는 프로젝트의 보안 평가, 개발 중인 코드의 보안 평가, 개발이 완료된 후의 보안 감사 와 같은 일련의 서비스를 제공할 수 있습니다.
글쎄요, 제가 방금 말했듯이 많은 프로젝트 소유자와 개발자가 보안을 잘 이해하지 못하거나 보안 분야에 대해 심층적으로 연구했다면, 스마트 계약 코드를 포함하여 그들이 개발하는 코드에 보안 문제가 있을 수 있으며 해커의 공격을 받을 수도 있습니다.
루나레이:
Web3 참여자라면 누구나 알다시피, Web3 분야에서는 스마트 계약이 공격받는 사례가 셀 수 없이 많고, 손실액도 수백만에서 수천만에 달합니다.
따라서 우리가 프로젝트를 개발할 때, 전체 프로젝트의 개발 코드에 대한 보안 평가, 보안 감사 및 기타 솔루션을 제공할 수도 있습니다. 그러면 다음 프로젝트 운영 시에는 진행 중인 프로젝트에 대한 보안 모니터링, 위협 인텔리전스, 시뮬레이션 공격 등 일련의 서비스도 제공할 수 있습니다.
많은 사람들이 이 프로젝트를 체인에 배포하거나 공식적으로 운영할 때 왜 여전히 보안을 보장해야 하는지 궁금해할 것입니다. 우리 프로젝트는 개발, 설계, 개발되었으므로 온체인 에 배포하거나 공식적으로 운영할 때 왜 여전히 보안을 보장해야 합니까?
루나레이:
예를 하나 들어보겠습니다. 전에 아주 유명한 Defi 프로젝트가 있었는데, 실제로 온체인 에서 한 번 공격을 받았습니다. 공격 후 공격자는 대출 풀에 있던 자금을 모두 탕진했죠?
사실, 우리가 공격을 분석할 때, 해커가 공격에 성공한 것은 이번이 처음이 아니라는 것을 알게 되었습니다. 해커는 실제로 두 번 공격했습니다. 첫 번째 공격은 Gas Fee가 부족해서 실패했지만, 거래는 이미 온체인 릴리스되었습니다.
프로젝트 당사자가 운영 중에 전체 프로젝트 운영 상태에 대한 보안 모니터링을 수행하면 공격이 실패했다는 것을 발견했을 때 프로젝트 계약을 즉시 중단할 수 있습니다. 중단 후 해커의 후속 공격을 방지하고 수억 달러의 손실을 회복할 수 있지 않습니까?
루나레이:
따라서 프로젝트가 운영될 때 보안 모니터링도 매우 중요합니다. 위협 인텔리전스에 관해서는 항상 블록체인과 Web3 분야의 공격 동향에 주의를 기울일 것입니다. 예를 들어, 최근의 공격 동향이나 공격 방법을 요약해 보겠습니다. 이것이 우리가 형성한 위협 인텔리전스죠?
그러면 프로젝트 당사자에게 성공적인 해커 공격 사례를 보여줘서 프로젝트 자체에 문제가 있는지 확인하면 되는 거 아니냐? 모의 공격도 있습니다. 물론 모의 공격은 실제로 프로젝트를 공격한다는 것을 의미하지 않습니다. 대신, 우리는 모의 해커 방법을 사용하여 프로젝트에 보안 취약성이 있는지 시뮬레이션하고 테스트합니다.
루나레이:
그럼 물론 프로젝트가 불행히도 공격을 받는다면 말이죠. 이런 상황이 일어나길 바라는 사람은 아무도 없겠죠? 물론, 이를 완전히 피할 수는 없습니다.
하지만 불행히도 우리가 공격을 받으면 근본 원인 분석, 자금 추적 및 복구 서비스를 포함한 위기 대응도 제공합니다. 물론, 우리의 풀 체인 솔루션은 Web3 프로젝트뿐만 아니라 OKX 및 Binance와 같은 중앙 집중형 거래소 와 지갑 및 퍼블릭 체인과 같은 탈중앙화 거래소 에도 적합합니다. 해당 풀 체인 솔루션에는 주로 보안 구축에서 보안 평가, 마지막으로 규정 준수 및 자금 세탁 방지에 이르기까지 보안 감사 포함됩니다. 해당 서비스가 있습니다. 동시에 업계 파트너 및 커뮤니티 파트너와 협력하여 Web3 보안을 구축하기를 바랍니다.
주코인랩스:
알겠습니다. 정말 감사합니다. 사실, 방금 여러분이 제공하는 보안 서비스에 대해 언급했습니다. 프로젝트 파티의 경우, 오늘 청취자 중 일부는 프로젝트 파티의 멤버이거나 코인 거래 하는 개인이거나 보안 문제에 대해 걱정하는 청취자일 수 있습니다. 블록체인 분야에 대해서도 물어보고 싶습니다. 사실, 보안 문제는 항상 우려 사항이었습니다. 최근에 제 주변의 친구들이 많은 USD를 도난당했다는 소식을 들었습니다. Lunaray 팀에서 개인 사용자의 자산 손실과 같은 일반적인 상황과 이러한 문제의 주요 원인을 알려줄 수 있습니까?
루나레이:
사실, 개인 사용자 자산이 손실되는 일은 우리에게 매우 흔한 일입니다. 매일 수많은 사용자가 저에게 찾아와서 "제 물건이 또 도난당했어요"라고 말하기 때문입니다. 그 규모는 수천에서 수만, 수십만, 수백만에서 수천만에 이릅니다. 오른쪽?
그리고 저희 관점에서 보면, 공격 사례를 대부분 분석한 결과, 공격의 주요 원인은 사용자의 보안 인식이 부족하기 때문이라는 것을 발견했습니다.
물론 블록체인 문제 등 다른 이유도 있겠죠? 그러나 블록체인 문제는 전체의 일부분에 불과합니다. 일반적으로 지갑 공급업체, 거래소 공급업체 등 온체인 공급업체는 보안에 어느 정도 투자를 해왔기 때문입니다.
루나레이:
해커가 이런 공급업체를 공격하면, 실제로 공격 비용은 상당히 높을 것 같은데요? 그렇다면 해커는 주로 일반 사용자를 공격하는 건가요?
실제로 우리는 크고 작은 다양한 공격을 요약하였는데, 저는 그것들을 주로 다음과 같은 범주로 나눌 수 있다고 생각합니다.
첫 번째 유형은 개인 키를 훔치는 것입니다. 사실, 개인 키를 훔치는 공격은 우리가 발견한 가장 흔한 공격입니다. 개인 키를 훔치는 방법은 여러 가지가 있지만, 그 본질은 그들이 우리의 개인 키를 빼앗는다는 것입니다. 그들이 우리의 개인 키를 빼앗으면, 그들은 우리의 지갑을 통제하고 우리의 자산을 인수할 수 있지 않나요? 물론, 우리의 개인 키는 비교적 광범위할 수 있으며, 개인 키, 니모닉 단어 등도 포함될 수 있습니다.
루나레이:
그렇다면 해커는 어떻게 우리의 개인 키를 훔칠까요? 사실, 우리는 다음과 같은 측면을 요약했습니다. 첫째, 피싱을 통해 트로이 목마를 설치하는 것입니다. 피싱을 통해 트로이 목마를 설치하는 것은 실제로 개인 키를 훔치는 여러 방법 중 하나입니다. 얼마 전 일어난 가짜 줌 사건에 대해 여러분이 알고 있는지 모르겠습니다. 공격자는 "당신과 미팅을 하고 싶습니다."라고 말했습니다. 예를 들어, 직장이나 다른 것에 지원하거나 프로젝트나 다른 것에 대해 논의하고 싶을 때, 공격자는 사용자에게 링크를 보냈습니다. 이 링크는 가짜 줌 링크입니다. 저는 줌에 대해 잘 알고 있는데, 그것은 화상 회의 링크입니다. 맞죠?
루나레이:
그래서 피해자가 이 링크를 클릭한 후, 그는 Zoom을 다운로드해야 하는데, 사실 Zoom은 트로이 목마를 포함하고 있습니다. 이 소프트웨어는 공식이 아닙니다. 트로이 목마를 설치한 것은 해커입니다. 그럼 사용자가 Zoom을 설치한 후, 맞나요? 그의 컴퓨터에 있는 지갑의 개인키가 해커에게 도난당했습니다. 해커가 개인키를 얻은 후, 그는 모든 자금을 옮긴 것이 맞나요?
이는 개인 키를 훔치는 첫 번째 방법입니다. 낚시를 통해서 낚시를 설치하고 링크를 보내는 방법은 여러가지가 있죠?
이렇게 이메일을 보내면 되나요? 내가 무엇을 하고 싶은지 묻는 이메일을 보내고 무언가를 다운로드하라고 요청합니다. 피싱에는 여러 가지 유형이 있지만 대부분은 무언가를 설치하거나 실행하라고 요청하지 않나요?
루나레이:
두 번째로 흔한 상황은 Chrome 플러그인을 통해 개인 키를 훔치는 것입니다. 물론 크롬 플러그인을 통해 도용됩니다. 플러그인에는 두 가지 유형이 있습니다. 첫 번째는 가짜 플러그인으로, 고모방 플러그인입니다. 고모방 지갑 플러그인과 같지만 공식이 아닙니다. 다운로드한 후에는 개인 키를 훔칠 수 있는 악성 코드가 있습니다. 이것은 고모방 플러그인입니다. 두 번째는 진짜 플러그인입니다. 많은 사람들이 저에게 묻습니다. 저는 보통 이 플러그인을 사용할 때는 문제가 없지만, 어느 날 갑자기 문제가 생겼습니다. 이유가 무엇인가요? 실제로 업계의 현재 상황은 이렇습니다.
루나레이:
예를 들어, 크롬 플러그인 개발팀의 일원으로서 저는 그런 플러그인을 많이 개발했고, 이런 플러그인은 많은 사람들이 사용할 수 있습니다. 그런 다음, 제 플러그인의 사용자 수가 일정 수에 도달하면 공격팀이 저에게 연락해서 이 플러그인의 운영 권한을 구매하러 올 텐데요, 맞나요?
제가 공격팀에 속성 운영 권한을 판매한다면, 공격팀은 업데이트 형태로 트로이 목마를 이식할 가능성이 있습니다. 플러그인 자체는 본질적으로 변경되지 않았고, 이를 담당하는 운영팀만 변경되었기 때문입니다. 따라서 플러그인과 악성 코드를 로컬에 다운로드하면 공격자가 귀하의 개인 키를 훔칠 가능성이 있지 않습니까?
그리고 또 다른 매우 흔한 유형은 가짜 지갑입니다. 가짜 지갑에 대해 들어보셨는지 모르겠습니다. 사실 이것은 매우 오래되었지만 매우 효과적인 공격 방법입니다. 다운로드해 보시기 바랍니다. 예를 들어, 인터넷에서 OKX 지갑을 검색해 보죠, 맞죠?
루나레이:
그러면 예를 들어 SEO 방법을 사용하여 가짜 지갑을 검색 엔진 상단에 올려놓는 피싱 공격자를 찾을 수 있습니다. 다운로드한 후 지갑은 사용 가능한 것처럼 보이지만 악성 코드가 포함되어 있지 않나요?
이 지갑을 사용하면 지갑은 개인 키를 공격자의 서버에 업로드하고 공격자는 개인 키를 훔쳐 피싱 작업을 수행합니다.
그럼 다음 방법은 클립보드를 읽어서 훔치는 것인데, 휴대폰을 쓰다 보면 이런 상황을 겪을 수도 있잖아요, 맞죠? 개인키를 내보내야 하는데, 내보낼 때 개인키를 복사하겠습니다. 개인키는 어디에 복사하나요? 휴대폰이나 컴퓨터의 클립보드에 저장됩니다.
루나레이:
따라서 모바일 폰이나 컴퓨터의 다른 프로그램이 클립보드를 읽을 수 있는 능력이 있고, 이 프로그램이 악성이라면, 이 프로그램은 우리의 클립보드에 있는 개인 키를 읽고, 읽은 후 해커의 서버에 업로드할 것입니다. 그러면 해커는 우리의 자산을 훔치는 작업을 완료할 것입니다.
그리고 마지막은 클라우드 동기화 계정을 훔쳐서 훔치는 것입니다. 많은 사람들이 실제로 일정 수준의 보안 인식을 가지고 있지만, 그렇지 않은 경우가 많기 때문입니다. 맞죠? 그는 자신의 지갑의 니모닉 단어 과 개인 키를 백업해야 한다는 것을 알고 있지만, 어떻게 백업할 수 있을까? 그는 니모닉 단어 나 지갑의 개인키를 스크린샷으로 찍어서 다양한 클라우드 저장장치에 업로드한 게 맞나요?
루나레이: 하지만 그의 클라우드 디스크에 대한 비밀번호는 취약할 수 있고, 그의 계정도 취약한 계정일 가능성이 있지 않나요? 그는 해커의 공격을 받을 가능성이 있으며, 클라우드 드라이브에서 스크린샷이나 관련 문서를 다운로드한 후 개인 키를 복원하여 공격을 완료했습니다.
오른쪽? 물론, 하나하나 설명하지는 않겠지만 그보다 규모가 작은 공격도 여러 가지 있습니다. 하지만 이러한 유형의 공격의 주된 목적은 개인 키를 훔치는 것입니다. 이것이 첫 번째 범주입니다.
두 번째로 큰 범주는 거래 서명을 사기하는 것입니다. 사실, 이 공격도 꽤 흔하죠? 순수한 온체인 공격이지만 반드시 순수한 온체인 공격은 아닙니다. 모두 서명을 통해 수행되는 것이 맞습니까?
제가 말하고자 하는 것은 제가 당신을 속여 거래에 서명하게 한다는 것입니다. 거래에 서명하면 해커가 당신의 자산을 인수하거나 당신의 자산을 훔칠 수 있습니다.
루나레이:
거래 서명을 사기하는 다른 방법은 여러 가지가 있습니다. 첫 번째는 온체인 권한 사기입니다. 공격 계약은 권한 거래에 서명하고 특정 금액의 USDT를 그의 주소로 승인하도록 요구합니다. 거래에 서명하면 공격자는 귀하의 주소에서 귀하의 자산 계정으로 돈을 이체할 수 있습니다.
두 번째는 오프체인 승인 사기입니다. 이는 서명한 거래가 체인을 통해 실행되어야 하고 블록체인으로 전송되어야 함을 의미합니다. 그런 다음 오프체인에서 장치를 생산할 때 해커는 거래에 서명하라고 요청하지만 이 거래는 온체인 으로 보낼 필요가 없습니다. 해커에게 서명 결과만 보내면 됩니다. 그러면 해커가 결과를 얻고 온체인 통해 돈을 이체할 수 있습니다.
루나레이:
그 다음은 다중 서명 권한 속임수인데, 이는 TRON과 같은 블록체인을 통한 것인데, 다중 서명 기능이 있죠? 해커는 귀하의 이전 및 소유권을 해커에게 이전하기 위해 거래에 다중 서명을 요청하여 해커가 귀하의 주소를 통제하게 됩니다.
마지막은 가짜 거래 사기로, 해커가 당신에게 가짜 거래를 보냅니다. 거래는 당신에게는 괜찮아 보이지만, 당신이 서명한 후, 자금은 해커에게 이체됩니다. 세 번째는 유사 주소 공격으로, 사실 꽤 흔합니다. 아마 누구나 돈을 받을 때마다 유사한 주소에서 토큰을 보내는 것을 알아차렸을 겁니다. 유사한 주소는 처음부터 끝까지 매우 유사합니다. 클릭하지 않으면 방금 제가 당신에게 전송한 주소와 차이를 알아차리기 힘들죠?
루나레이:
하지만 조심하지 않으면 가짜 주소를 복사해 해커에게 잘못된 돈을 이체할 수도 있습니다. 속는 게 그렇게 쉬운 일은 아닌 것처럼 보이지만, 여전히 많은 사람들이 공격 방법에 속아 알 수 없는 주소로 자금을 이체하고 있습니다. 오른쪽?
네 번째는 중앙화 거래소 의 계정을 공격하는 것이 맞나요? 실제로 중앙화 거래소 의 계정을 공격하는 방법은 여러 가지가 있습니다. 첫 번째이자 가장 간단한 방법은 계정과 비밀번호를 훔치는 것입니다. 저는 계정과 비밀번호를 가져가서 귀하의 거래소 계정을 제어하여 돈을 이체합니다. 그러나 이러한 종류의 계정과 비밀번호를 훔치는 일은 우리의 상황에서 점점 덜 흔해질 수 있습니다. 주요 거래소 더 나은 보안 조치를 취할 수 있기 때문입니다. 계정과 비밀번호만 있는 경우 돈을 인출할 수 없습니다. 2단계 인증, 이메일 인증 코드, 2단계 인증 코드 등이 필요할 수 있습니다.
루나레이:
다음 단계는 쿠키를 훔치는 것입니다. 우리의 쿠키는 실제로 우리가 거래소 에서 인증하는 방법입니다. 예를 들어, 우리가 거래소 운영할 때, 우리는 브라우저로 로그인한 다음 브라우저를 닫습니다. 그런 다음 다음에 브라우저를 열면 여전히 로그인 상태입니다. 우리는 비밀번호를 입력하지 않았는데, 왜 여전히 로그인 상태입니까? 쿠키가 있으니까 공격자가 쿠키를 훔쳐서 중앙화 거래소 계정을 운영하고 자산을 훔칠 수 있는 거 아니겠습니까? 다음 단계는 컴퓨터를 원격으로 제어하고 트로이 목마를 컴퓨터에 직접 설치하여 컴퓨터의 브라우저를 직접 작동시켜 거래 전송을 완료하는 것입니다. 이는 중앙화 거래소 공격하는 방법입니다.
루나레이:
다섯 번째 방법은 지갑과 기타 Web3 시설이 공급망에 의해 공격을 받는 것입니다. 예를 들어, Atomic Wallet이 공격을 받은 사례를 들어보셨는지 모르겠습니다. Atomic Wallet은 탈중앙화 지갑이라고 하지만 많은 사람들이 Atomic Wallet을 사용한 후 개인 키가 유출되지 않았다는 것을 알게 되었습니다. 개인 키는 오프라인에 저장되었지만 돈도 송금되었습니다. 그 당시 Atomic Wallet 사건은 상당히 컸습니다. 저희의 분석에 따르면 Atomic Wallet이어야 하지만 아직 공식적으로 출시되지 않았습니다. 하지만 저희의 분석에 따르면 공급망 공격을 받은 것은 Atomic Wallet이고, 공격자가 악성 코드를 심어놓은 코드입니다. 여러분은 공식 Atomic Wallet을 사용하고 있지만, 여러분의 코드에 악성 코드가 심어져서 여러분이 생성한 데이터가 해커에게 유출된 것이 맞나요?
루나레이:
물론, 소프트웨어 지갑과 하드웨어 지갑도 해킹될 수 있습니다. 따라서 하드웨어 지갑과 소프트웨어 지갑을 선택할 때 대형 공급업체를 선택해야 합니다. 왜 대형 공급업체를 선택해야 할까요?
첫 번째는 강력한 보안 기능을 갖추고 있다는 것입니다. 대규모 공급업체라면 보안 수준을 보장하기 위해 보안에 많은 투자를 할 수 있지 않을까요?
두번째, 보상능력이 강하죠? 만약 우리가 작은 거래소 나 작은 지갑을 사용하다가 공격을 받으면 거래소는 그냥 도망갈까요? 아무도 우리의 손실을 보상해 주지 않습니다. 물론, 우리가 대형 거래소 와 대형 지갑을 사용한다면 거래소 나 지갑에 보안 사고가 발생할 수 있으므로, 그들은 우리의 손실을 줄이기 위해 보상해 줄 수도 있습니다.
루나레이:
마지막은 가짜 프로젝트입니다. 우리는 Pixiu 디스크 등 많은 가짜 프로젝트를 보았습니다. 예를 들어, 우리가 투자할 때, 우리는 몇몇 가짜 프로젝트에 투자할 수 있으며, 이는 우리의 자산 손실로 이어질 수도 있습니다. 위의 6가지 사항은 Web3 분야 사용자의 일반적인 자산 손실 방식에 대한 요약이 맞습니까?
일반적으로 안전의식이 부족해서 그런 거 아니겠어요? 이로 인해 우리는 일부 공격자와 거짓된 내용을 쉽게 믿게 되고, 그로 인해 자금을 잃게 됩니다.
Jucoin Labs: 알겠습니다. 정말 감사합니다. 사실, 방금 연설을 들으면서 많은 것을 배웠습니다. 대변인이 요약한 6가지 요점을 배운 후, 청취자들이 앞으로 보안 문제에 더 많은 주의를 기울이고 최선을 다해 피하려고 노력할 것이라고 믿습니다. 사실, 방금 설명한 것은 주로 일부 보안 문제가 발생하는 방식이었습니다. 사실, 일부 일반적이거나 쉽게 오도되는 행동은 재정적 손실로 이어지는 상황을 포함하여 보안 허점으로 이어집니다. 사용자는 이를 방지하기 위해 어떻게 조치를 취해야 합니까? 특히 서클에 방금 들어왔거나 서클에 대해 잘 모르는 개별 사용자의 경우 이 모든 정보를 보호하거나 피할 수 있도록 어떻게 할 수 있습니까? 어떻게 하면 더 잘 피할 수 있습니까? 커뮤니티 사용자에게 약간의 과학 대중화를 제공하는 더 간단한 방법이 있습니까?
루나레이:
문제없습니다. 사실, 제가 방금 말했듯이, 대부분의 공격은 사용자의 보안 인식 부족으로 인해 발생합니다. 맞죠? 따라서 사용자가 해커에게 자산이 도난당하는 것을 방지하려면 가장 중요한 것은 보안 인식을 개선하는 것입니다. 아래에 몇 가지 요점을 요약했습니다. 이 요점들은 모두 매우 중요합니다. 이것들을 할 수 있다면 95%는 달성했을 수 있습니다, 맞죠? 나머지 5%는 달성하기 매우 어려울 수 있지만, 모두가 열심히 일하고 이 95%를 잘 관리한다면 우리의 안전은 상당히 보장될 수 있다고 생각합니다.
그래서 첫 번째는 소프트웨어를 다운로드할 때, 지갑이나 다른 플러그인을 다운로드할 때, 가장 먼저 해야 할 일은 URL을 비교하는 것입니다. 우리가 다운로드하는 URL이 공식 URL인가요?
첫 번째 요점은 바로 이것입니다. 실제로 매우 간단하죠. 두 번째는 플러그인을 다운로드하거나 사용할 때 사용하는 플러그인이 공식적으로 출시되었는지 주의해야 한다는 것입니다. 예를 들어 Chrome에서 플러그인을 다운로드할 때 게시자도 있습니다. 게시자가 공식 게시자인지 비교해야 합니다.
루나레이:
세 번째는 플러그인이나 지갑, 기타 소프트웨어를 다운로드할 때 공식 채널을 통해 다운로드해야 한다는 것입니다.
루나레이:
두 번째는 온체인 거래에 서명할 때의 문제입니다. 첫 번째 요점은 권한 부여입니다. 온체인 권한을 수행할 때 권한 부여된 대상과 권한 부여된 금액에 주의해야 합니다.
루나레이:
그러면 이와 비슷한 공격이 또 있는데, 우리는 이에 어떻게 주의를 기울여야 할까? 누군가가 우리에게 돈을 보낼 때, 우리가 주소를 복사할 때, 시작과 끝만 비교하는 건 아니잖아요?
비슷한 시작과 끝을 가진 주소를 구성하는 것은 비교적 쉽고, 강력한 해시레이트 가진 컴퓨터는 매우 짧은 시간 안에 그것을 실행할 수 있기 때문입니다. 우리는 더 진지하게 모든 숫자와 모든 주소를 그에 따라 살펴봐야 하지 않나요? 공격을 보고 예방할 수 있습니다.
그리고 물론 아주 중요한 점이 하나 더 있는데요, 중앙화 거래소 계좌의 보안을 어떻게 보장할 것인가 하는 것입니다. 글쎄요, 몇 가지 요점을 요약해 보겠습니다. 우선, 우리 거래소 계정은 2단계 인증 코드를 설정해야 합니다. 2단계 인증 코드는 우리 계정을 보호하는 좋은 방법입니다.
루나레이:
두 번째 사항은 예를 들어 우리가 일상생활에서 사용하는 지갑과 별개로 대규모 자금 계좌, 대규모 자금 계좌 또는 대규모 자금 지갑을 독립적으로 만드는 것이 최선이라는 것입니다. 아주 간단한 예를 들어볼까요? 아마 10만 개 정도 있을 거예요, 맞죠? 정기적으로 거래에 10,000 USDT만 사용하고, 나머지 수만 USDT는 자주 거래하지 않을 수도 있겠죠? 우리는 휴대폰 두 대나 컴퓨터 두 대만 쓰잖아요, 그렇죠? 10,000 USDT를 자주 운영하고 컴퓨터로 운영하는 계좌에 넣고, 90,000 USDT를 콜드 월렛이나 자주 운영하지 않는 계좌에 넣는 게 맞나요?
또한 이렇게 하면 실수로 큰 손실을 입거나 해커의 공격을 받는 것을 방지할 수 있습니다. 이는 우리의 일상 업무에서 피할 수 없는 일이 아니겠습니까? 공격을 받을 수도 있잖아요?
Lunaray: 이렇게 하면 공격을 받은 후 발생하는 손실을 줄일 수 있습니다. 아무도 보장할 수 없고, 보안 회사도 사용자가 100% 공격을 받지 않을 것이라고 보장할 수 없기 때문입니다. 우리가 하는 일은 리스크 관리하고 사용자에게 리스크 최대한 줄이는 것입니다.
마지막으로, 지갑, 거래소, Web3와 같은 다른 인프라를 사용할 때 대형 공급업체를 선택해야 합니다. 방금 강조했듯이, 매우 강력한 보안 및 보상 기능을 갖추고 더 나은 보호를 제공할 수 있는 대형 공급업체를 사용해야 합니다. 마지막으로, 우리가 프로젝트에 참여할 때, 맞죠? 우리는 도와주러 가면 안 되죠?
루나레이:
피슈 플레이트 같은 품목의 함정에 빠지지 않도록 주의하세요. 다음은 Web3 사용자를 위한 제 제안 중 일부입니다. 이러한 제안을 따르고 보안 분야에서 95%를 달성할 수 있다면, 우리는 상당한 정도로 보안을 보장할 수 있습니다. 오른쪽? 알겠습니다, 호스트.
주코인 랩스:
알겠습니다. 감사합니다. 저는 이러한 제안이 오늘날 모든 청취자에게 매우 의미 있고 효과적이라고 생각합니다. 또한 모든 청취자가 이러한 제안을 염두에 두고 온체인 운영의 모든 행동과 세부 사항에 구현하여 자금의 안전을 보장하기를 매우 바랍니다.
이 AMA 이벤트는 실제로 다중 커뮤니티 커뮤니케이션 및 참여와 동일하며, 모든 사람이 안전 문제를 더 잘 이해하도록 지원합니다. 안전 지식을 더 잘 대중화하기 위해 Lunaray가 앞으로 더 많은 안전 교육 활동을 계획하고 있는지도 궁금합니다. 여기에는 사용자에게 기본적인 지식을 더 잘 알리는 방법도 포함됩니다. 동시에 오늘 청취자에게 설명한 지식과 마찬가지로 다른 측면에서도 이 정보를 알 수 있도록 앞으로 더 많은 접촉 시나리오가 있을까요? 그런 계획이 있습니까?
루나레이:
좋아요, 저는 우리의 비전이 말하는 대로, 우리의 비전은 웹3를 더 안전하게 만드는 것입니다. 그래서 우리는 또한 웹3 분야에서 우리의 전문적인 힘을 기여하여 웹3 세계를 더 안전하게 만드는 것을 기대하고 있습니다. 그래서 우리는 미래에 커뮤니티 활동에 더 많이 투자할 것입니다. 사실, 우리의 커뮤니티 활동에서 우리는 사용자를 위한 교육과 설명을 제공하고, 무엇이 안전하고 무엇이 안전하지 않은지 설명합니다. 이것은 간단한 교육이 맞죠?
해커가 어떻게 공격하는지 이야기해 볼까요? 해커 공격에 어떻게 방어해야 할까요? 이것이 우리의 사명입니다.
두 번째 측면은 경험입니다. 이 공격은 온체인 실제 공격이 아니라 온체인 시뮬레이션 환경에서의 공격입니다. 이것이 또한 중다가 하고 있는 일이죠?
우리는 실제 공격 방법을 기반으로 실험 환경을 구축하죠? 하지만 이러한 환경의 백엔드는 모두 테스트 체인에 연결되어 있으므로 사용자에게 실제 손실을 입히지는 않을 것 같은데요? 따라서 사용자가 테스트 체인에서 일부 작업을 수행할 때, 사용자가 이를 수행하면 돈이 손실될 수 있다는 것을 경험하게 하십시오. 사용자가 공격이 어떻게 발생하고 어떤 결과를 초래할지 경험하게 하십시오. 저는 이것이 종이에 천 번이나 이야기하는 것보다 한 번 연습하는 것이 낫다는 것이 우리의 철학이라고 생각하며, 이것이 우리가 미래에 하고자 하는 것입니다.
루나레이:
물론, 앞서 말씀드린 것처럼, 우리는 이를 위해 커뮤니티에 더 많은 에너지를 투자하고 모든 사용자, 대부분 사용자가 보안을 이해하고 보안을 경험하며 자산 보호를 다음 단계로 끌어올릴 수 있도록 노력할 것입니다.
주코인 랩스:
알겠습니다. 감사합니다. 사실, 저는 테스트 체인이 사용자에게 실제 경험을 제공할 수 있다고 생각했는데, 이는 매우 드문 일이며, 모든 사람에게 자신의 운영상의 결함을 알릴 수 있습니다. 오늘 청취자 여러분께서 이 내용을 접하고 나서, 앞으로 기회가 주어진다면 이 경험에 참여하고, 스스로 안전 의식을 최적화하는 것을 포함하여 시험해보고 싶어하실 것이라 믿습니다.
시장 포지셔닝 측면에서 Lunaray의 주요 고객 프로필은 어떻습니까? 방금 들었기 때문에 프로젝트 파티에 많은 보안 서비스를 제공하고 개인에게 보안 테스트 수행, 다양한 고객의 요구 사항 충족 방법, 더 자세한 계획이 있는지, 다양한 고객에게 제공되는 서비스에 대한 대규모 계획 등 몇 가지 제안이 있습니다.
루나레이:
알겠습니다. Lunaray에는 실제로 주요 고객이 몇 명 있습니다. 물론, 이 고객들의 요구 사항은 비슷하지만 핵심 요점은 실제로 매우 통일되어 있습니다. 자산의 안전을 보호하는 것입니다. 그들의 요구 사항은 비슷하지만 일부 요구 사항은 다를 수 있습니다. 맞죠?
다양한 고객의 요구가 특별히 통일되지는 않았지만, 자산의 안전을 보호하는 것이 핵심이기 때문입니다. 그래서 우리는 또한 다양한 고객의 다양한 업무 형태에 대한 타겟 솔루션을 제안했습니다. 예를 들어, 중앙화 거래소 와 문화 거래소 의 문제는 노출이 매우 넓고 업무 논리가 매우 복잡하다는 것일 수 있습니다. 맞죠? 여기에는 직원의 안전, 운영 환경의 안전, R&D의 안전이 포함될 수 있죠?
루나레이:
규정 준수 안전, 비상 대응 안전 등도 있죠? 그래서 우리는 중앙화 거래소 위한 네트워크 보안 구축을 제공합니다. 어떻게 하면 그들의 R&D 환경을 테스트하고, 운영하며, 안전하게 만들 수 있을까요? 두 번째는 규정 준수입니다. 맞죠? 잘 알려진 이유로 거래소 하는 방법이 맞죠? 이제 홍콩, 싱가포르, 말레이시아 등 다양한 국가가 이런 규정 준수 요구 사항을 도입하고 있죠? 또한 이러한 작업에 대한 일련의 연구를 수행하여 규정 준수 요구 사항을 충족하는 데 도움을 줄 수 있습니다.
또 다른 요점은 비상 대응이죠? 거래소 가 크고 많은 주목을 받으며, 많은 자본과 자산을 보유하고 있기 때문에 해커들은 공격에 점점 더 높은 비용을 투자할 의향이 있는 게 아닐까요?
루나레이:
그래서 우리는 또한 일부 비상 대응 서비스를 제공합니다. 거래소 가 공격을 받을 때, 공격은 확실히 완전한 붕괴가 아닙니다. 부분적으로 성공할 수도 있습니다. 우리는 거래소 원인을 분석하고, 나중에 이를 바로잡는 방법, 전반적인 프로세스를 개선하는 방법, 보안을 더 높은 수준으로 개선하는 방법을 돕기 위해 비상 대응 서비스를 제공합니다.
물론 보안 테스트와 보안 감사 서비스도 있습니다. 보안 테스트는 우리 거래소 에서 개발한 코드를 대상으로 하지 않나요? 거래소 웹사이트와 거래소 APP 또는 거래소 APP을 포함하여 보안 설계, 보안 테스트 및 보안 감사 서비스를 제공합니다.
루나레이:
두 번째 부분은 방금 말씀드린 것처럼 프로젝트 당사자에게 풀 체인 및 풀 라이프 사이클 서비스를 제공한다는 것입니다. 프로젝트 준비부터 프로젝트 연구 개발, 프로젝트 운영까지 보안 컨설팅, 보안 감사, 보안 모니터링 서비스를 제공하는 것이 맞나요?
Web3 프로젝트의 전체 수명 주기를 완벽하게 다루어 Web3 보안의 보안 사각지대를 최소화하고 고객 보안을 최대한 보호합니다.
물론 마지막은 일반 사용자를 위한 것입니다. 일반 사용자를 위한 보안 서비스는 실제로 주로 분실 및 회수된 자산을 위한 것입니다. 많은 고객이 몇 가지 문제가 있을 수 있습니다. 즉, 제 지갑에 스테이킹 자산이 있거나 제 지갑에 공매도(Short) 있지만 스테이킹 만료되거나 에어드랍 만료되기 전에 해커가 지갑 개인 키를 도난당하면 맞습니까?
루나레이:
그래서 저는 제가 스테이킹 자산과 에어드랍 자산을 돌려받고 싶지만, 아직 만료되지 않았습니다. 하지만 만료 후 자산이 해커에게 직접 빼앗길까 봐 두렵습니다. 그래서 저희는 고객이 만료되기 전에 최대한 빨리 자산을 돌려받을 수 있도록 저희의 기술적 역량을 활용하도록 돕습니다. 맞죠?
기본적으로 이것이 우리가 주요 고객에게 제공하는 서비스입니다.
주코인 랩스:
알겠습니다. 감사합니다. 이제 우리는 서비스에 대한 일반적인 이해를 얻었으므로, 여러분이 프로젝트 당사자이든 개인이든, 여러분은 실제로 Lunaray 팀과 소통할 기회를 갖게 되었습니다. 오늘날 청취자들이 Lunaray의 Twitter 계정에 주의를 기울이거나, Twitter 계정에서 적극적으로 상호 작용하고 메시지를 남기든, 우리는 모든 사람이 보안 인식을 높이고 특히 온체인 에서 자금의 안전을 보장할 수 있기를 매우 바랍니다. 또한 Web3 분야에서는 보안 문제가 일반적인 주제이기 때문에 유사한 경쟁자나 해당 서비스를 제공하는 다른 회사가 많을 것입니다. Lunaray에는 모든 사람과 공유할 수 있는 독특하거나 차별화된 장점이 있습니까?
루나레이:
문제없습니다. Web3 분야에서, 업계에 대한 우리의 관찰은 Web3 분야에서 많은 보안 회사가 실제로 비교적 동질적인 보안 서비스를 제공한다는 것입니다. 예를 들어, 제가 계약 코드 감사 제공한다면, 저는 심층적인 테스트를 제공합니까?
상당히 동질화되어 있을 수도 있는데, 루나레이의 핵심적인 장점은 무엇이고, 우리와 이런 동질화된 서비스의 차이점은 무엇이라고 생각하시나요?
저는 우리의 핵심적 이점이 두 가지에 있다고 생각합니다. 첫째는 우리가 강력한 기술적 역량을 가지고 있다는 것입니다. 맞죠? 우리는 깊은 기술적 축적과 풍부한 산업 경험을 가지고 있습니다. 예를 들어, 우리는 온체인 공격 모니터링 및 차단이라는 제품을 가지고 있습니다. 우리는 Web3의 효과에 대한 지속적인 모니터링을 수행할 것입니다.
루나레이:
의심되는 공격을 모니터링하면 공격을 가로챌 수 있습니다. 이 수준의 보안을 달성할 수 있는 회사는 많지 않을 것 같죠? 물론, 이 모든 것은 Web3 분야에 대한 우리의 깊은 참여에 기반을 두고 있습니다. 우리는 연구에 많은 자원을 투자했습니다, 맞죠?
두 번째 요점은 우리가 이런 종류의 전체 수명 주기 보안 서비스를 제공할 수 있을 것이라는 점이죠? 제가 방금 말씀드렸듯이, 이러한 Web3 보안 회사 중 많은 수가 여전히 보안 감사 수준에 있습니다. 그러나 보안 감사 만 하는 것으로는 충분하지 않습니다. 보안은 실제로 나무통 원리에 매우 적합한 산업이기 때문입니다. 보안은 실제로 나무통입니다. 모든 측면에서 잘해야만 보안 수준을 향상시킬 수 있습니다. 그러나 한 측면에서 잘하지 못하는 한 보안 수준은 가장 낮은 지점에 의해 결정됩니다. 따라서 우리는 이러한 종류의 풀 체인 및 풀 라이프 사이클 보안 서비스를 제공합니까?
루나레이: 우리는 보안 컨설턴트 형태로 Web3 프로젝트에 참여하거나 그러한 서비스를 고객에게 제공하는 게 맞나요?
고객의 프로그램 설계, 프로젝트 설계, 경제 모델 설계 수준에서 시작하여 사용자에게 보안 교육, 인적 교육, 보안 교육, 코딩 보안 감사 및 일부 모델링 등을 제공하며, 보안 모니터링, 일부 인텔리전스 등을 포함한 운영 배포 수준의 최종 보안을 제공하고 마지막으로 이벤트 후 비상 대응을 통해 전체 체인에 보안을 통합하고 전체 사용자의 전반적인 보안 수준을 향상시키고 모든 보드를 더 길게 만들고 사용자, 기업 또는 프로젝트의 보안 강화를 완료하고 전체 프로젝트의 견고성을 향상시킵니다.
Jucoin Labs: 좋아요, 그거 좋네요. Web3 분야의 프로젝트에 큰 기여를 한 그런 팀이나 전체 보안 서비스를 제공하는 개인이 있다는 소식을 듣고 매우 기쁩니다.
미래를 내다보면, 우리는 실제로 Lunaray 팀이 R&D 역량과 기술 팀 측면에서 큰 이점을 가지고 있음을 알 수 있습니다. 구체적으로, 그들은 미래 커뮤니티 구축에 대한 계획과 목표가 있습니까? 그렇다면, 우리는 더 많은 사용자나 프로젝트가 이에 참여하고 자체 보안 문제를 이해하도록 장려할 수 있습니까? 동시에, Lunaray가 Web3 보안 분야의 선도 기업이 되도록 지원할 수 있습니까?
루나레이: 루나레이는 여전히 기술을 핵심으로 하는 부동산 기업인가요? 우리는 여전히 기술적인 측면에 주력하고 있습니다. 이전과 마찬가지로, 기술적인 측면에서 우리는 공격자들과 싸우는 데 대량 에너지를 투자할 것입니다. 물론, 연구 결과에도 약간의 에너지를 투자할 것입니다, 맞죠?
우리는 공격자에 맞서는 데 대량 에너지를 집중할 것이라고 방금 언급했고, 그런 다음 공격과 방어를 분석하여 최신 공격 방법을 연구하고, 그런 다음 이러한 공격 방법에 대항하여 어떻게 방어할 수 있는지 연구할 것이라고 말씀드렸죠? 우리는 이러한 프로젝트에 대한 완화 조치를 연구하고 우리만의 보안 솔루션을 만들어 고객이나 프로젝트 또는 개인에게 제공하는 게 맞나요?
Lunaray: 그 다음 두 번째로 Web3 분야를 요약하겠습니다. 전 세계적으로 빈번하게 발생하는 보안 사고에 대해 주요 원인과 공격 방법을 분석하여 교육 자료를 구성하고 커뮤니티에 입력할 것입니다. 맞죠?
한편, 우리는 연구 결과를 과학적 연구 솔루션으로 패키징하여 해당 프로젝트, 거래소, 기업 등에 제공합니다. 또한 우리는 개인적인 추정에 기반한 연구를 수행하고, 이러한 보안 방어 방법을 커뮤니티에 입력하여 더 많은 Web3 사용자가 보안 인식을 개선하고 보안 공격으로부터 벗어날 수 있도록 도울 것입니다. 궁극적으로 우리는 비전을 달성하고 Web3 세계를 더 안전하게 만들고자 합니다.
Jucoin Labs: 좋아요, 오늘 우리 모두는 많은 경험과 귀중한 지식을 얻었고, 특히 자산 보안 분야에서 많은 것을 얻었습니다. 자산 보안은 모든 사람에게 가장 중요한 연결 고리입니다. 오늘의 청중 친구들도 많은 것을 배웠다고 생각합니다.
저희는 블록체인 보안과 개인 자산 보호에 대한 더 깊은 이해를 가지고 있으며, 오늘 배운 것을 모두가 실천에 적용할 수 있기를 바랍니다. 마지막으로, 다시 한번 저희와 Lunaray의 공식 계정을 팔로우하고, 이후의 활동과 계획을 기대해 주시기를 상기시켜 드리고 싶습니다. 다음에 뵙겠습니다. 감사합니다.
