지갑, 측면 보기 및 약한 단계

암호화폐 해킹의 가장 큰 취약점을 해결합니다

원문: 지갑, 경고 및 취약한 연결 고리

저자: 프라틱 데사이

작성자: Plain Language Blockchain

표지: Unsplash 의 Shubham Dhage 사진

안녕하세요, 모든 건 한 통의 메시지에서 시작됐습니다. 메시지는 그럴듯해 보였고, 아무 문제도 없어 보였습니다. 당신의 링크드인 프로필에는 공유 주식 보유 내역이 나와 있었거든요. 채용 담당자는 당신을 깃허브에서 봤다며 "AI와 DeFi가 결합된" 프로토콜에서 자금력이 탄탄한 핵심 직책을 제안하고 싶다고 했습니다. 당신은 재빨리 웹사이트를 둘러봤습니다. 웹사이트는 세련되고 간결했으며, 예상되는 전문 용어들을 모두 포함하고 있었습니다. 스크리닝 테스트도 있었는데, 회사 로고가 새겨진 ZIP 파일 형태로 제공되었습니다.

압축 파일을 풀면 설치 프로그램이 시작되고, 잠시 지갑 권한 요청 메시지가 화면에 나타납니다. 당신은 생각 없이 그 메시지를 클릭합니다. 아직 아무 일도 일어나지 않았습니다. 노트북도 멈추지 않았습니다. 5분 후, 솔라나 지갑은 텅 비어 있습니다.

이는 근거 없는 추측이 아닙니다. 이 아이들은 블록체인 분석가들이 기록해 온 북한 해킹 그룹과 연계된 공격 과정의 일부입니다. 모집책으로 추정되는 인물, 트로이목마에 감염된 테스트 파일, 그리고 악성 소프트웨어가 지갑을 탈취하는 데 사용되고 있습니다.

오늘 기사에서는 2025년까지 진화할 암호화폐 취약점과 가장 흔한 온체인 공격으로부터 마더보드를 보호하는 방법에 대해 알아보겠습니다.

2025년 1월부터 9월까지 북한과 연계된 해커들이 20억 달러 상당의 암호화폐를 훔쳤습니다. 블록체인 분석 기업 엘립틱에 따르면, 2025년은 디지털 자산 범죄 피해액 기준으로 최악의 해가 될 전망입니다.

전체 손실액 중 상당 부분은 지난 2월 암호화폐 거래소 바이비트(Bybit) 공격으로 14억 달러가 유출된 데 따른 것입니다. 북한이 탈취한 암호화폐 자산의 총 가치는 이제 60억 달러를 넘어섰습니다.

수치적인 측면 외에도, 백악관 보고서에서 눈에 띄는 점은 암호화 취약점의 양상이 극적으로 변화했다는 것입니다. 보고서는 " 2025년에는 대부분의 해킹이 소셜 엔지니어링 공격을 통해 이루어졌다 "고 지적하는데, 이는 2022년과 2024년의 악명 높은 로닌 네트워크 공격이나 2016년의 DAO 공격처럼 인프라 관련 침해가 대부분이었던 이전과는 확연히 다른 양상입니다.

최근 이러한 취약점은 인프라에서 "사람"으로 옮겨갔습니다. Chainaanalysis는 또한 2024년에 도난당한 암호화폐 중 개인 키 유출이 가장 큰 점유율(43.8%)을 차지했다고 보고했습니다.

암호화 기술의 발전과 프로토콜 및 블록체인 수준에서의 보안 강화로 인해 공격자는 개인 키를 소유한 "사람"을 더욱 쉽게 식별하고 공격 대상으로 삼을 수 있게 되었습니다.

이 단계에서는 공격이 더욱 조직화되어 무작위적인 개인 표적 공격을 넘어섰습니다. 최근 FBI와 CISA의 보도 자료에 따르면 북한과 연계된 활동은 암호학자들을 대상으로 한 표적 채용 제안, 트로이목마가 심어진 지갑 소프트웨어 사용, 불법적인 오픈 소스 코드 기여 등을 포함합니다. 해커들이 사용하는 도구는 기술적인 것이지만, 침입 경로는 '사람'과 심리에 있습니다.

역대 최대 규모의 암호화폐 탈취 사건인 바이빗(Bybit) 공격은 이러한 일이 대규모로 발생할 수 있음을 보여줍니다. 단일 지갑 클러스터에서 약 14억 달러 상당의 이더리움(ETH)이 도난당했을 때, 초기 기술 분석 결과 서명자들이 승인한 내용에 대한 검증에 실패한 것으로 나타났습니다. 이더 네트워크는 유효하고 서명된 거래를 실행함으로써 제 역할을 다했지만, 문제는 수동적인 사람의 개입 때문이었습니다.

읽기: 바이빗 공격

아토믹 월렛 공격 당시, 악성 소프트웨어가 사용자의 컴퓨터에 개인 키가 저장되는 방식을 노렸기 때문에 약 3,500만 달러에서 1억 달러 상당의 암호화폐 자산이 사라졌습니다.

많은 경우에 동일한 문제를 겪으셨을 겁니다. 사람들이 지갑 주소 전체를 확인하지 않고 자금을 이체하거나, 개인 키를 최소한의 보안 조치만으로 저장하는 경우, 해당 프로토콜은 사실상 뚫을 수 없게 됩니다.

자기 안전은 완벽하지 않습니다.

"열쇠가 아니면 동전도 아니다"라는 말은 여전히 ​​유효하지만, 사람들이 이 사실을 생각하지 않을 때 문제가 발생합니다.

지난 3년간 많은 사용자들이 FTX 사태와 같은 폭락에 대한 두려움과 과거에 대한 신뢰 상실로 인해 거래 플랫폼에서 자금을 인출했습니다. 중앙 집중식 거래소(DEX)의 누적 거래량은 3년 만에 3조 2천억 달러에서 11조 4천억 달러로 세 배 이상 증가했습니다.

이는 보안 문화에 상당한 개선처럼 보일 수 있지만, 리스크 에스크로에서 취약성 상태로 옮겨갔습니다. 노트북의 브라우저 확장 프로그램, 전화 채팅이나 이메일 초안에 저장된 니모닉 단어, 암호화되지 않은 메모 앱에 저장된 개인 키는 모두 잠재적 위협에 효과적이지 않습니다.

자체 결정 방식의 유지 : 거래 플랫폼, 수탁기관, 그리고 출금을 중단하거나 파산할 가능성이 있는 모든 주체에 대한 의존. 하지만 아직 해결되지 않은 문제는 "지식 확산 "입니다. 개인 키는 사용자에게 제어권을 주지만, 동시에 완전한 책임도 지우게 됩니다.

자, 이제 당신은 이 문제를 정말로 해결했습니까?

하드웨어 지갑은 "어려움"을 극복하는 데 도움을 줍니다.

콜드 스토리지는 문제의 일부를 해결해 줍니다. 자산을 오프라인으로 전환하여 금고와 같은 환경에 보관하는 방식입니다.

문제가 해결되었습니까? 부분적으로 해결되었습니다.

일반적인 기기에서 키보드 단축키를 제거함으로써 하드웨어는 브라우저 확장 프로그램이나 원클릭 거래 승인의 필요성을 없앨 수 있습니다. 이는 사용자를 보호하는 일종의 "하드웨어"인 "물리적 확인" 을 도입하는 것입니다.

하지만 하드웨어 지갑은 여전히 ​​도구일 뿐입니다.

레저 지갑의 핵심 보안팀은 이 문제에 대해 공개적으로 경고하고 있습니다. 레저는 브랜드 이미지를 악용하는 피싱 공격이 빈번하게 발생하고 있다고 보고했는데 , 이러한 공격은 변조된 브라우저 확장 프로그램과 레저 라이브의 복제 버전을 이용해 사용자를 속이는 수법입니다. 인터페이스는 친숙해서 안전하다고 느껴지지만, 결국 사용자는 복구 정보를 입력하라는 메시지를 받게 됩니다. 일단 정보를 잃어버리면 그 이후의 손실은 불가피합니다.

사람들은 통합 업데이트 페이지에서 복구 플랫폼에 접속하도록 속을 수도 있습니다.

하드웨어 지갑은 공격 표면을 바꾸고 취약점을 도입하여 발생 가능성을 줄이는 방식으로 작동합니다. 하지만 취약점을 완전히 제거할 수는 없습니다.

분리가 핵심입니다

하드웨어 지갑은 사용자가 신뢰할 수 있는 판매처에서 구매하고 복구 자료를 오프라인에서 안전하게 보관할 때 가장 효과적입니다.

사고 대응 담당자, 온체인 탐정, 지갑 엔지니어 등 이러한 사람들을 매일 접하는 대부분의 사람들은 업무를 분리하고 리스크 분산할 것을 권장합니다.

하나의 지갑은 일상적인 용도로 사용하고, 다른 하나는 인터넷에 거의 (또는 전혀) 연결하지 않습니다. 잔액 실험이나 DeFi 채굴 에 사용하고, 점진적으로 늘어나는 잔액 접근하려면 여러 단계를 거쳐야 하는 금고에 보관합니다.

이 외에도 가장 중요한 것은 기본적인 위생 습관입니다.

지루하고 반복적인 습관이 때로는 구세주가 될 수 있습니다. 아무리 니모닉 단어 가 뜨더라도 절대로 기억하기 쉬운 문구를 웹사이트에 직접 입력하지 마세요. 복사해서 붙여넣은 후에는 하드웨어 화면에서 주소를 다시 한번 확인하세요. 본인이 직접 관리하지 않는 거래는 승인하기 전에 잠시 생각을 멈추세요. 링크나 "지원" 관련 정보는 안전성이 입증될 때까지 항상 의심해 보세요.

이러한 조치들 중 어느 것도 절대적인 안전을 보장할 수는 없습니다. 항상 심각한 리스크 존재합니다. 하지만 이러한 조치 하나하나는 리스크 줄이기 위한 한 걸음입니다.

현재 대부분의 사용자에게 가장 큰 위협 은 제로데이 취약점이 아닙니다. 오히려 제대로 검증하지 않은 정보 , 매력적인 구인 공고에 현혹되어 바로 다운로드하고 실행하는 설치 프로그램 , 그리고 쇼핑 목록과 같은 종이에 적어 놓은 니모닉 단어 들이 더 큰 위협이 될 수 있습니다.

수십억 달러를 리스크 사람들이 이러한 문제들을 그저 배경 소음으로 여긴다면, 결국 "취약점"이라는 꼬리표가 붙은 사례 연구로 남게 될지도 모릅니다.

면책 조항: 본 사이트는 블록체인 정보 플랫폼으로서, 사이트에 게시된 글은 필자 및 초청 연사의 개인적인 관점 일 뿐이며 Web3Caff의 공식적인 입장을 반영하는 것은 아닙니다. 본 글에 포함된 정보는 참고용일 뿐이며 투자 자문 또는 투자 제안으로 간주될 수 없습니다. 각 국가 또는 지역의 관련 법률 및 규정을 준수하시기 바랍니다.