작성자: Go+ 보안
최근 솔라나의 시총 는 한때 BNB를 뛰어넘어 세계 3위 안에 들었습니다. 막대한 부의 효과로 인해 대량 액티브 유저 유입되었으며, 대량월렛 드레이너 (월렛 피싱) 갱단이 이적했습니다. EVM 체인부터 솔라나까지, 솔라나를 에어드랍 으로 삼은 피싱 웹사이트가 대규모로 배포되기 시작하여 대량 사용자에게 큰 피해를 입혔습니다. 최근 GoPlus 보안팀은 다수의 솔라나 피싱 사건을 분석한 결과, 사기 집단이 현재 일부 솔라나 지갑의 불완전한 보안 인프라를 이용하여 에어드랍 속임수를 신속하게 업그레이드 하고 소셜 계정 도용을 구현한 것을 발견했습니다. GoPlus는 다음과 같은 일반적인 솔라나 피싱 사건을 요약했습니다. 공격 기술은 사용자가 관련 피싱 사고를 효과적으로 방지하고 자산 손실을 줄이는 데 도움이 됩니다.
공격 유형
최근 발생한 여러 피싱 사건에서 GoPlus는 대부분의 피싱 조직이 " 에어드랍 수령하다 속임수" , "가짜 프로젝트 웹사이트" , "무료 추첨" , "NFT 에어드랍 통한 안내 진입" 등을 사용하고 있음을 발견했습니다. 이러한 방법은 몇 가지 일반적인 방법과 유사합니다. EVM 방법은 거의 동일합니다. 가장 큰 차이점은 사기꾼이 Solana와 EVM의 서로 다른 메커니즘을 사용하여 "토큰 또는 권한 전송" 이라는 다양한 방법으로 피싱 활동을 수행한다는 것입니다. 다음은 우리가 관찰한 몇 가지 전환 공격입니다.
네이티브 토큰 솔(Sol) 전송 유도
이 유형의 공격은 가장 간단합니다. 사용자가 지갑을 연결한 후 사기 팀은 프런트 엔드에서 모든 $SOL의 현재 잔액 계산하고 SystemProgram.transfer 기능을 사용하여 토큰 전송을 직접 완료합니다. 예를 들어, 이 웹사이트는 스왑 인터페이스 UI를 표시합니다. 사용자는 특정 토큰을 저렴한 가격에 구매할 수 있다고 생각하는 경우가 많습니다.
하지만 실제로 실행되는 것은 $SOL의 간단한 전송입니다.
다수의 토큰 전송 유도
사기꾼은 기본 토큰 $SOL을 훔치는 것 외에도 동일한 거래 서명으로 현재 지갑에 보관된 모든 토큰 자산을 훔칠 수도 있습니다. 솔라나의 각 거래는 여러 명령으로 구성될 수 있으며 각 명령은 이체, 프로그램 상호 작용, 계정 생성 등과 같은 별도의 논리를 완성할 수 있습니다. 이는 피싱 갱단이 동일한 거래에 여러 작업 지침을 삽입할 수 있다는 것을 의미합니다. 예를 들어 사용자가 세 개의 서로 다른 토큰을 보유하고 있는 경우 피싱 웹 사이트는 코드의 동일한 거래에 여러 작업 지침을 삽입하기만 하면 됩니다. 세 개의 토큰에 대한 해당 전송 지침을 삽입하십시오. 이렇듯 특정 자산을 별도로 사취할 필요는 없지만, 이 기능을 활용하면 일회성 지갑강탈이 완성될 수 있다. 첫 번째 유도와 마찬가지로 해커는 다양한 수단을 사용하여 사용자가 버튼을 클릭하여 거래를 수행하도록 속입니다. 이러한 유형의 거래는 기본 $SOL 자산을 포함하여 모든 자산을 한 번에 전송하는 것을 볼 수 있습니다. 토큰 유형 자산도 포함됩니다. 사기팀은 주로 Solana SPL 토큰의 createTransferCheckedInstruction을 사용하여 비기본 자산의 전송 지시 구조를 완성합니다.
팬텀 트레이딩 시뮬레이션
배낭 거래 시뮬레이션
토큰 계정 소유권 이전 유도
GoPlus는 직접 토큰 외에도 일부 피싱 웹사이트가 createSetAuthorityInstruction 작업을 사용하여 지침을 트랜잭션으로 패키징하는 것을 발견했습니다. 이 작업의 핵심은 솔라나의 계정 모델이 각 계정 주소와 다르다는 것입니다. 각 토큰에 해당하는 전용 토큰 계정을 갖게 되며, 소유자 는 현재 계정이기도 잔액. createSetAuthorityInstruction 작업은 현재 토큰의 소유권을 다른 계정으로 직접 이전할 수 있습니다. 실제 최종 효과는 모든 현재 토큰을 계정으로 이전하는 것과 같습니다. 우리는 Phantom 과 Backpack 에 대해 각각 이 작동 실험을 수행했습니다. 다행히 두 지갑 모두 특별한 알림과 경고를 제공했습니다.
사용자가 무시하고 계속 진행 옵션을 클릭하더라도 거래 시뮬레이션을 통해 잔액 변경 사항이 계속 표시될 수 있습니다.
알아채다
위의 세 가지 유형의 공격 방법은 잔액 대부분의 주류 솔라나가 거래 시뮬레이션을 통해 결과를 예측하는 데 사용됩니다. 솔라나의 공식 JSON RPC 인터페이스는 "트랜잭션 시뮬레이션" 기능을 제공할 수 있기 때문에 피싱 리스크 상대적으로 피할 수 있습니다. 그러나 피싱 사기 기술이 업그레이드되면서 매우 교묘한 피싱 기술도 발견되었습니다.
사기성 토큰 인증
EVM에 익숙한 사용자에게는 토큰 인증이 일반적인 작업이지만 솔라나에서는 이 작업이 다릅니다. 솔라나 네트워크에서 사기꾼은 EVM 인증 메커니즘에 대한 사용자의 오해를 이용하여 사기를 저지릅니다. 피싱 웹사이트는 겉으로는 정상적인 상호작용을 하도록 사용자를 유도하지만, 실제로는 뒤에서 createApproveCheckedInstruction을 통해 승인된 거래 Delegate를 수행합니다. 이 기술의 핵심은 자산을 직접 전송하는 것이 아니라 공격자에게 사용자 자산을 제어할 수 있는 권한을 부여한다는 것입니다. 이러한 공격은 일반적으로 투표, 스테이킹 등을 가장하는 매력적인 대화형 인터페이스 뒤에 숨겨져 있지만 실제로는 조용히 계정 인증 설정을 변경합니다.
공격자가 사용자 자산에 대한 통제권을 획득하면 전송이나 거래를 포함하여 언제든지 자산을 조작할 수 있습니다. 이러한 유형의 공격은 자산이 즉시 이전되지 않기 때문에 적시에 탐지하기 어려운 경우가 많습니다. 이러한 유형의 공격은 가장 광범위한 영향을 미치는 경우가 많습니다. 왜냐하면 공격자는 충분한 사용자가 속고 토큰 전송을 시작하기 전에 금액이 충분히 커질 때까지 기다리기 때문입니다. 사용자는 인증 설정 변경 요청이 특히 익숙하지 않은 웹사이트나 애플리케이션의 경우 경고의 원인이 된다는 점을 특히 주의해야 합니다. 권한 변경은 거래 시뮬레이션을 통해 확인할 수 있으므로 직접적인 토큰 잔액 변경에도 주의할 필요가 있을 뿐만 아니라, 권한 변경으로 인한 피싱 리스크 에도 주의해야 합니다.
거래 서명을 사기 위한 내구성 있는 Nonce
내구성 있는 논스(Durable Nonce)는 만료되지 않는 내구성 있는 논스 값을 저장하기 위해 특별 계정을 생성할 수 있는 솔라나 블록체인의 기능입니다. 솔라나에서 각 거래에는 거래의 적시성과 고유성을 보장하는 데 사용되는 거래의 일부로 최신 블록해시가 필요합니다. 일반적으로 이 블록 해시는 약 150개 블록 후에 만료되어 트랜잭션이 처리되지 않습니다. 내구성 있는 Nonce 메커니즘을 사용하면 만료되지 않는 Nonce 값을 제공하여 더 오랜 기간 동안 유효한 트랜잭션을 생성할 수 있습니다.
피싱 사기에서 사기꾼은 내구성 있는 Nonce 메커니즘을 악용하여 사용자가 정상적인 것처럼 보이지만 실제로는 악의적인 작업이 포함된 거래에 서명하도록 유도할 수 있습니다. 내구성 있는 Nonce를 사용하면 이러한 거래는 블록 해시 만료로 인해 만료되지 않으므로 사기꾼이 거래를 실행할 수 있는 기간이 더 길어집니다. 예를 들어, 사기꾼은 에어드랍 이나 이벤트에 참여하는 등 합법적인 작업인 것처럼 가장하는 거래를 설계할 수 있지만 실제로 거래에는 사용자 자산을 사기꾼에게 전송하라는 지침이 포함되어 있습니다. 사용자는 자신도 모르게 그러한 거래에 서명을 하게 되지만, 공격자가 거래의 서명만 받았을 뿐 거래 자체가 온체인. 그들은 미래에 언제든지 거래를 체인에 알릴 수 있습니다. 그러나 거래 발생 여부에 관계없이 우리는 이러한 유형의 서명이 거래 시뮬레이션 결과의 판단에 영향을 미치지 않는다는 것을 발견했습니다. 몇몇 주류 지갑은 여전히 거래 자체를 시뮬레이션하고 분석하여 결과를 알릴 수 있습니다. 거래 시뮬레이션 결과에 대해서는 여전히 효과적인 방법론입니다.
그러나 우리는 여전히 '진실을 은폐' 할 수 있는 극도로 은밀하고 복잡한 공격 방식을 발견했습니다.
계약 업그레이드로 거래 시뮬레이션 탐지 회피
이 방법은 내구성 있는 Nonce 계약과 Solana 계약의 고유한 특성인 업그레이드 가능성을 결합합니다. 이 공격 방법의 잠재적인 위험은 업그레이드 가능한 계약의 특성으로 인해 더욱 증가합니다. 거래가 더 오랜 기간 동안 활성 상태를 유지할 수 있도록 합니다. 이는 사용자가 거래 서명 시 즉시 온체인 에 전송하지 않더라도 향후 언제든지 거래가 브로드캐스트되고 실행될 수 있음을 의미합니다. 공격자는 먼저 사용자에게 정상적인 계약 거래에 서명하도록 요청함으로써 이를 이용할 수 있습니다. 이 거래는 서명할 때 완전히 무해해 보입니다. 심지어 주류 지갑과 거래 시뮬레이션 도구도 서명할 때 사용자에게 사전에 경고하는 데 어려움이 있습니다. 그러나 사용자가 트랜잭션에 서명한 후 공격자는 내구성 있는 Nonce의 서명을 성공적으로 획득했습니다. 이때 그들은 거래를 체인에 알리는 데 서두르지 않고 솔라나의 계약 업그레이드 기능을 사용하여 원래의 일반 계약을 악성 버전으로 변경합니다. 이러한 악의적인 계약은 자산 이전과 같은 작업을 수행할 수 있습니다. 업그레이드 후 공격자는 서명된 트랜잭션을 온체인 으로 보내 악의적인 작업을 수행하고 자신의 목표를 달성합니다. 이러한 유형의 공격은 특히 미묘하며 사용자에게 심각한 위험을 초래합니다. 숙련된 사용자라도 거래에 서명할 때 잠재적인 리스크 인식하지 못할 수 있기 때문입니다. 이 공격을 방지하려면 사용자는 계약의 평판과 기록을 주의 깊게 조사하고, 비정상적인 거래 행위를 의심하고, 알려지지 않은 소스나 새로 체결된 계약과의 상호 작용을 피해야 합니다. 동시에, 우리는 모든 솔라나 지갑이 이 공격 방법에 주의를 기울여 효과적인 알림을 형성하고 적시에 지갑 측의 사용자 자산을 보호할 수 있기를 바랍니다.
지침
솔라나 네트워크에 대한 피싱 공격 대면 했을 때 리스크 최소화하는 데 도움이 될 수 있는 몇 가지 포괄적인 예방 조치는 다음과 같습니다.
보안에 유의하십시오. 암호화폐 관련 거래에 대해 항상 극도로 주의를 기울이십시오. 토큰 전송 유도, 토큰 계정 소유권 이전, 거래 서명 사기 등 솔라나 피싱 공격의 일반적인 방법을 이해합니다.
거래 내역 다시 확인: 거래를 하기 전에 거래 세부 사항을 주의 깊게 확인하세요. 내구성 있는 Nonce를 사용하거나 계약 상호 작용을 포함하는 거래에는 특별한 주의가 필요합니다.
거래 시뮬레이션 기능 사용: 지갑에서 제공하는 거래 시뮬레이션 기능을 사용하여 거래 시뮬레이션 결과를 주의 깊게 검토합니다. 그러나 일부 거래 시뮬레이션이 실패하는 경우가 있으므로 이것이 완벽한 보호조치 는 아니라는 점에 유의하십시오.
승인 변경에 주의하세요. 또한 비거래 이후 통화 잔액 변경하는 작업에도 주의를 기울여야 합니다. 익숙하지 않은 웹사이트나 애플리케이션의 인증 변경에는 특히 주의하세요.
쓸모없는 승인을 정기적으로 취소하십시오: 자산의 보안을 보장하기 위해 Solana Revoke 도구를 사용하여 쓸모없는 승인을 정기적으로 취소하십시오.
정기적으로 지식 업데이트: 블록체인 및 암호화폐, 특히 새로운 피싱 방법 및 예방 전략에 대한 지식을 정기적으로 업데이트하세요.
소프트웨어 업데이트 유지: 사용되는 지갑 및 관련 소프트웨어는 최신 보안 기능과 수정 사항이 있는지 확인하기 위해 최신 상태로 유지되어야 합니다.
개인 키 백업 및 보호: 개인 키와 중요한 정보를 보호하고 안전하지 않은 장소에 저장하거나 공유하지 마세요.
동시에 GoPlus 보안팀은 솔라나 퍼블릭 체인과 그 생태계가 사용자 안전에 깊은 관심을 갖고, 사용자 보안 향상을 위한 인프라 구축을 가속화하며, 사용자에게 보다 안전한 거래 환경을 제공함으로써 생태학적 안정성과 생태계를 확보할 것을 촉구합니다. 번영.
