Etherscan:우크라이나 가짜 에어드랍 토큰을 예로 들어 사기형 토큰의 구현 방식과 방지 조치에 대해 논의하다

Etherscan
2022-03-10 12:20:50
수집
심층 분석을 위해 거래 입력 데이터나 계약 소스 코드에서 속임수를 당한 From 주소를 찾아보세요.

출처: Etherscan 공식 블로그

편집: 구이, 체인 캡처

가짜 또는 "스푸핑" ERC-20 토큰 전송은 이더리움에서 새로운 일이 아닙니다. 그러나 지난해 블록체인의 광범위한 채택으로 인해 이러한 사례가 급증했습니다. 이는 매우 흔한 문제로, 두 달 전의 뉴스레터에서 간단한 답변을 제공했지만, 점점 더 많은 사례와 최근의 주목받는 사례는 더 깊이 있는 연구가 필요합니다.

이 글에서는 다음을 소개합니다:

  • "스푸핑"이란 무엇인가?
  • 어떻게 감지할 수 있는가?
  • 어떻게 피할 수 있는가?

상상해 보세요, 대대적으로 홍보되는 DeFi 제품에서 토큰 에어드롭이 곧 있을 것이라는 소문을 듣는 상황을. 당신은 완벽한 트레이더로서 블록체인에서 이러한 상황이 발생할 징후를 검색합니다.

보세요, 당신은 이 DeFi 제품과 매우 유사한 이름과 기호를 가진 토큰이 새로 발행된 것을 발견합니다. 더 중요한 것은, 그것이 당신이 개인적으로 널리 알려진 고래/인플루언서의 주소로 전송된 것을 보게 됩니다.

그런 다음 해당 주소가 이를 전송합니다. "이것이 틀림없어!" 당신은 다른 사람들보다 먼저 이 토큰에 뛰어들고 싶어 하며, 방금 생성된 Uniswap V2 유동성 풀에서 대량의 토큰을 구매합니다. 한 시간 후, LP가 모든 ETH를 소진하고, 당신은 자신이 속았다는 것을 깨닫습니다.

어디서 잘못된 걸까요? image
토큰은 실제로 우크라이나 암호 기부 주소에서 전송된 것이 아닙니다.

image
이 OpenSea 토큰도 OpenSea: Registry 주소에서 전송된 것이 아닙니다.

당신이 저지른 실수는 신뢰하는 인플루언서와의 토큰 전송이 실제로 해당 주소에서 이루어진 것이라고 생각한 것입니다. 이러한 "스푸핑"은 다음의 이점을 이용하여 무방비 사용자들을 속입니다:

  1. ERC-20 표준 설계
  2. 블록 탐색기의 투명한 데이터 표시

ERC-20 표준은 토큰이 transferFrom 기능을 갖도록 허용하여, 거래를 시작한 주소와 다른 주소에서 토큰을 전송할 수 있게 합니다.

ERC-20 토큰 전송의 경우, Etherscan과 같은 블록 탐색기는 토큰을 전송한 주소를 표시하고, 발신자 주소는 표시하지 않습니다. 블록 탐색기의 특성으로 인해 기본적으로 블록 탐색기의 데이터를 검토하지 않습니다.

대부분의 경우, 손상 정도는 가치가 없는 토큰으로 제한됩니다. 그러나 사용자 개인 키를 훔치기 위한 피싱 사이트를 가리키는 복원 오류 메시지가 있는 토큰과 같은 더 위험한 상황이 존재할 수 있습니다. ERC-721 및 ERC-1155 토큰(NFT)도 동일한 문제에 직면할 수 있습니다.

어떻게 이를 감지할 수 있을까요?

답은 상당히 간단합니다. 이러한 토큰 전송 중 하나를 클릭하여 정확한 거래 해시를 확인하고 세부 정보를 확인하세요. 거래를 시작한 From 주소가 명백히 토큰 전송의 From 주소와 다릅니다.

더 깊이 파고들고 싶다면, 거래 입력 데이터나 계약 소스 코드에서 속인 From 주소를 찾아보세요. 이는 일반적으로 어느 위치에나 포함되어 있습니다. 위조된 OpenSea 토큰은 이 거래에서 OpenSea: Registry에 의해 전송된 것처럼 보입니다.

중요한 경고. 모든 다른 주소에서 시작된 토큰 전송이 반드시 가짜이거나 스푸핑된 것은 아닙니다. 일반적인 예는 여러 토큰 전송을 일괄적으로 보내는 dApp입니다. 이러한 경우 Etherscan 팀이 추가한 공개 이름 태그가 있는 경우가 많습니다. 만약 어떤 것이 태그가 없다면, 알려주세요! 대량 전송된 토큰의 거래

스푸핑 토큰의 근연은 스팸 토큰입니다. 이러한 토큰은 인플루언서의 주소에서 전송된 것처럼 가장하지는 않지만, 해당 주소로 대량으로 전송되어 주소의 토큰 태그를 읽는 것이 끔찍한 경험이 됩니다. Pranksy 의 토큰 전송을 필터링하는 것은 재미가 없습니다…… 그 중 많은 토큰이 명백히 가짜입니다!

이러한 상황을 피하기 위해 무엇을 할 수 있을까요?

일반 사용자에게는 특별히 할 일이 없습니다. 이 문제는 당신에게 큰 영향을 미칠 가능성이 낮기 때문입니다. 도박꾼이라면, 어떤 일이 믿기 어려울 정도로 좋다면 잠시 멈추고 스스로에게 질문하는 것이 현명합니다. 그런 다음 거래 세부 정보 페이지를 확인하세요.

기본적으로 Etherscan은 데이터를 검토하지 않지만, 우리는 이 문제를 완화하는 방법을 탐색하고 있습니다. 첫 번째 단계는 우리의 토큰 무시 목록 기능을 확장하는 것입니다. 현재의 특징은:

  1. ERC-20, ERC-721 및 ERC-1155 탭에서 토큰 전송을 자동으로 숨기고 주소 잔액 및 토큰 보유량에서 숨깁니다.
  2. 사용자가 Etherscan 팀이 의심스럽거나 더 나쁜 토큰으로 표시한 모든 토큰을 무시할 수 있는 간단한 옵션을 포함합니다.

우리는 이 확장 기능이 사용자를 스푸핑으로부터 보호하는 데 도움이 되기를 바라며, 동시에 웹사이트에서 더 깨끗한 사용자 경험을 제공하기를 희망합니다.

체인캐처(ChainCatcher)는 독자들에게 블록체인을 이성적으로 바라보고, 리스크 인식을 실제로 향상시키며, 다양한 가상 토큰 발행 및 조작에 경계해야 함을 상기시킵니다. 사이트 내 모든 콘텐츠는 시장 정보나 관련 당사자의 의견일 뿐이며 어떠한 형태의 투자 조언도 제공하지 않습니다. 만약 사이트 내에서 민감한 정보를 발견하면 “신고하기”를 클릭하여 신속하게 처리할 것입니다.
banner
체인캐처 혁신가들과 함께하는 Web3 세상 구축