신규 사용자 필수 안전 타투 매뉴얼

원저자：GoPlus Security

ORDI 가격이 역사적인 최고치를 돌파하고 시가총액이 10억 달러를 초과하며, 최고 상승폭이 수만 배에 달하는 가운데 비트코인 생태계와 BRC20의 다양한 명문이 열광적인 강세장에 진입했습니다. 사용자 안전 선두주자인 GoPlus는 다양한 명문을 이용한 사기가 만연하고 있음을 발견하였으며, 대표적인 네 가지 명문 공격 사례(피싱 사이트, 진위 명문, 민트 정보, 위험한 민트 정보 사기)와 대응 방안을 정리했습니다. 사용자들은 거래 시 주의하여 재산 손실을 피하시기 바랍니다.

첫 번째: 피싱 사이트

사례: 사기단이 공식 Unisat 지갑 플랫폼과 매우 유사한 웹사이트(unisats.io)를 만들고 Google 검색 키워드를 구매하여 사용자를 유도했습니다. 이로 인해 많은 사용자가 자산을 피싱 사이트로 잘못 전송하여 이더리움과 비트코인을 잃게 되었습니다.

어떻게 대응할까요:

1. 어떤 플랫폼에 접속하기 전에 반드시 공식 트위터나 커뮤니티 채널을 통해 링크를 확인하여 위조 사이트에 접속하는 것을 피하십시오.

2. Scamsniffer와 같은 안전 검사 브라우저 플러그인을 사용하여 웹사이트의 안전성을 검사하는 것을 추천합니다.

두 번째: 진위 명문

사례: 명문 거래 플랫폼에서 사용자는 진위 명문을 구별하는 도전에 직면합니다. 이러한 플랫폼은 종종 동일한 이름의 여러 명문을 표시하여 사용자가 이들의 구체적인 프로토콜을 구별하기 어렵게 만듭니다. 사기꾼은 이를 이용해 무효 필드를 추가하여 명문을 위조합니다. NFT 시장에서도 이러한 문제가 존재하며, 사기꾼은 동일한 이미지를 새겨서 위조 NFT를 생성하며 진위는 오직 시리얼 번호에서만 차이가 납니다.

예를 들어 https://evm.ink/tokens에서 DOGI 명문은 겉보기에는 완전히 동일하지만 실제로는 매우 다릅니다.

플랫폼이 특정 필드만을 전면에 표시하기 때문에 사기꾼은 다음과 같은 방법으로 명문을 위조할 수 있습니다.

NFT 명문에서도 관련 문제가 존재하며, 초기 시장에서는 NFT의 메타 속성이 동일하지만 시리얼 번호가 다른 경우가 자주 발생합니다. BTC 명문 NFT를 예로 들면, 하나의 컬렉션 시리즈는 특정 시리얼 번호의 NFT만 포함되며, 이 시리얼 번호 집합에 속하지 않으면 해당 시리즈에 속하지 않습니다. 따라서 사기꾼은 종종 동일한 시리즈의 특정 NFT를 위조하여 거래를 유도하며, 사용자에게는 시리얼 번호가 해당 시리즈에 속하는지 구별하기 매우 어렵습니다.

어떻게 대응할까요:

1. 성숙한 거래 플랫폼을 선택하여 명문 거래를 진행하는 것이 좋습니다. 이들은 안전한 경험을 제공하며 진위 명문을 잘 구별할 수 있습니다.

2. 거래를 진행하기 전에 여러 번 확인하고 비교하여 거래하고자 하는 명문의 형식 및 프로토콜이 동일한지 확인하십시오(네 번째 명문 함정에서 블록체인 탐색기를 통해 명문 데이터를 확인하고 비교하는 방법을 설명합니다).

세 번째: 민트 함정

사례: 일부 퍼블릭 체인에서 사기 팀은 사용자의 새로운 명문에 대한 FOMO 심리를 이용하여 사기성 민트 계약을 구성합니다. 이러한 계약은 사용자가 상호작용하도록 유도하여 사용자가 명문을 얻었다고 착각하게 만듭니다. 그러나 실제로 사용자가 얻는 것은 무가치한 NFT이며, 상호작용 과정에서 높은 구매세를 지불하게 됩니다. Sui 체인에서의 한 사례에서 사용자는 합법적으로 보이는 명문을 새길 때 실제로는 가짜 NFT를 얻었고, 사기꾼에게 SUI 토큰을 지불했습니다. 짧은 시간 내에 사기꾼은 5000개 이상의 SUI를 모았습니다.

어떻게 대응할까요:

1. 어떤 민트 활동에 참여하기 전에 반드시 계약의 합법성을 철저히 연구하고 검증하십시오.

2. 검증되지 않은 민트 프로젝트에 참여할 때는 계약에 불합리한 비용 구조가 설정되어 있는지 특별히 주의하십시오.

3. 해당 블록체인 탐색기에서 이미 완료된 거래 정보를 면밀히 분석하여 잠재적인 안전 함정이 있는지 확인하십시오.

네 번째: 위험한 민트 정보 사기

사례: GoPlus는 사용자 커뮤니티에서 위험한 민트 정보가 유포되고 있음을 관찰했습니다. 이러한 정보가 게시되면 많은 사용자가 급히 작업을 진행하며, 명문 스크립트 도구를 사용하여 개인 키와 거래 정보를 복사하여 붙여넣고 대량 작업을 수행합니다. 이러한 작업은 자산 도난으로 이어질 수 있습니다. 사기단은 특별한 JSON 필드를 구성하고 이를 hex로 인코딩하여 사용자가 새기는 작업을 유도하며, 결과적으로 사용자의 자산이 이전될 수 있습니다. 또한, 그들은 사용자에게 높은 가스 비용을 지불한 후 무가치한 가짜 명문 토큰을 받도록 유도하는 민트 계약을 설정할 수 있습니다.

이 그림을 예로 들면: 일반적인 토큰형 명문의 민트는 주소 자전으로 이루어지며, Input data에 토큰 프로토콜의 Json 내용을 추가하여 새기는 과정을 구현합니다. 많은 사용자가 작업할 때 지갑에 내장된 사용자 정의 Hex를 사용하여 토큰 프로토콜의 Json 내용을 이스케이프하여 16진수로 입력합니다. 사용자에게는 일반적으로 메시지 소스의 16진수 문자열을 직접 붙여넣지만, 이 문자열은 악의적인 문자열일 가능성이 높으며, 다른 Json 형식에서 이스케이프된 것입니다.

어떻게 대응할까요:

1. 커뮤니티에서 게시된 모든 민트 정보는 반드시 철저히 검증해야 합니다. 특히 개인 키와 중요한 거래 정보와 관련된 작업에 대해 검증되지 않은 스크립트 도구를 직접 사용하지 마십시오.

2. 항상 신뢰할 수 있는 출처에서 정보를 얻으십시오.

3. 블록체인 탐색기에서 이미 성공한 거래를 찾아 해당 거래의 16진수가 메시지 내용과 일치하는지 확인하십시오.

Ton의 명문을 예로 들면, 먼저 보유 순위가 높은 주소(초기 참여 대규모 투자자를 나타냄)를 확인하십시오. https://tonano.io/ton20/ton

그 중 하나의 주소를 클릭하여 복사한 후 https://tonscan.org/address 탐색기 인터페이스에 붙여넣어 해당 주소의 관련 명문 거래 정보를 확인하십시오.

동일한 탐색기 쿼리는 이더리움/Solana 등 블록체인에도 적용됩니다.

「Message」에 포함된 입력 명문 데이터를 확인하여 자신이 입력한 명문 데이터와 일치하는지 확인하십시오.