안전 특집 01｜OKX Web3 & 느린 안개: 백사에 대한 경험 공유

어느 날, 갑자기 누군가 당신에게 100만 달러 가치의 지갑 주소 개인 키를 보내준다면, 당신은 돈을 즉시 옮기고 싶을까요?

원한다면, 이 글은 당신을 위해 맞춤 제작된 것입니다.

본 기사는 OKX Web3《안전 특별호》 제01호로, 암호화폐 업계에서 수많은 사기를 경험한 유명 보안 기관인 ------ 느린 안개 보안 팀과 OKX Web3 보안 팀이 사용자들이 겪은 가장 실제적인 사례를 바탕으로 공유하며, 유익한 정보가 가득합니다!

느린 안개 보안 팀: OKX Web3의 초대에 감사드립니다. 느린 안개(SlowMist)는 업계 선도적인 블록체인 보안 회사로, 주로 보안 감사 및 자금 세탁 방지 추적 서비스 등을 통해 많은 고객에게 서비스를 제공하며, 견고한 위협 정보 협력 네트워크를 구축했습니다. 2023년 동안 느린 안개는 고객, 파트너 및 공개 해킹 사건을 통해 총 1,250만 달러 이상의 자금을 동결했습니다. 업계와 안전에 대한 경외심을 가지고 계속해서 가치 있는 정보를 제공하길 희망합니다.

OKX Web3 보안 팀: 안녕하세요, 이번 공유를 할 수 있어 매우 기쁩니다. OKX Web3 보안 팀은 OKX Web3 지갑의 보안 능력 구축을 주로 담당하며, 제품 보안, 사용자 보안, 거래 보안 등 다양한 보호 서비스를 제공하고, 24시간 사용자 지갑의 안전을 지키며 전체 블록체인 보안 생태계를 유지하는 데 기여하고 있습니다.

Q1: 실제 도난 사례를 공유해 주실 수 있나요?

느린 안개 보안 팀: 첫째, 대부분의 사례는 사용자가 개인 키나 니모닉 문구를 온라인에 저장했기 때문입니다. 예를 들어, 사용자가 자주 사용하는 Google 문서, 텐센트 문서, 바이두 클라우드, 위챗 즐겨찾기, 메모장 등의 클라우드 저장 서비스를 통해 개인 키나 니모닉 문구를 저장할 경우, 이러한 플랫폼 계정이 해커에 의해 수집되고 "크리덴셜 스터핑"에 성공하면 개인 키가 쉽게 도난당할 수 있습니다.

둘째, 사용자가 가짜 앱을 다운로드한 후 개인 키가 유출되었습니다. 예를 들어, 다중 서명 사기는 가장 전형적인 사례 중 하나로, 사기꾼이 사용자를 유도하여 가짜 지갑을 다운로드하게 하고 지갑의 니모닉 문구를 도용한 후, 즉시 해당 사용자의 지갑 계정 권한을 수정합니다: 지갑 계정 권한을 사용자 본인에서 사기꾼과 공동으로 소유하게 하여 해당 지갑 계정의 제어권을 빼앗습니다. 이러한 사기꾼은 대개 인내심을 가지고 사용자의 계정에 일정량의 암호 자산이 쌓일 때까지 기다렸다가 한 번에 전부 옮깁니다.

OKX Web3 보안 팀: 느린 안개는 개인 키 도난의 두 가지 주요 상황을 개요하였으며, 두 번째로, 사기꾼이 가짜 앱을 이용해 사용자 개인 키를 도용하는 본질은 트로이 목마 프로그램입니다. 이러한 트로이 목마 프로그램은 사용자의 입력기, 사진 등의 접근 권한을 얻어 사용자 개인 키를 도용합니다. IOS 사용자에 비해 안드로이드 사용자가 더 많은 트로이 바이러스 공격을 겪고 있습니다. 여기 두 가지 사례를 간단히 공유합니다:

사례 1: 사용자가 지갑 자산이 도난당했다고 피드백을 주었고, 우리 팀이 사용자와 소통하여 조사한 결과: 그는 이전에 구글 검색을 통해 위장된 데이터 플랫폼 소프트웨어를 다운로드하고 설치했으며, 이 소프트웨어는 트로이 목마 프로그램이었습니다. 그러나 사용자가 해당 플랫폼 소프트웨어를 검색할 때, 링크가 구글 검색의 TOP5에 나타나 사용자로 하여금 공식 소프트웨어로 오인하게 만들었습니다. 사실, 많은 사용자가 구글이 제공하는 링크를 구별하지 않기 때문에 이러한 방식으로 트로이 공격을 당하기 쉽습니다. 우리는 사용자가 방화벽, 안티바이러스 소프트웨어 및 Hosts 구성 등을 통해 일상적인 보안 방어를 수행할 것을 권장합니다.

사례 2: 사용자가 특정 DeFi 프로젝트에 투자할 때 지갑 자산이 도난당했다고 피드백을 주었습니다. 그러나 우리의 분석 결과, 해당 DeFi 프로젝트 자체에는 문제가 없었고, 사용자 B의 지갑 자산이 도난당한 것은 그가 Twitter에서 해당 프로젝트에 대해 댓글을 달 때, 해당 DeFi 프로젝트의 공식 고객 서비스로 가장한 사기꾼에게 주목받았고, 그 가짜 고객 서비스의 유도에 따라 가짜 링크를 클릭하고 니모닉 문구를 입력하게 되어 지갑 자산이 도난당한 것입니다.

이로 인해 사기꾼의 수법이 그리 뛰어나지 않지만, 사용자가 인식 능력을 높여야 하며, 어떤 상황에서도 자신의 개인 키를 쉽게 유출해서는 안 됩니다. 또한, 우리는 해당 악성 도메인에 대해 보안 위험 경고를 제공했습니다.

Q2: 개인 키 보관의 최선의 방법이 존재하나요? 현재 개인 키 의존도를 줄일 수 있는 대체 방법은 무엇인가요?

느린 안개 보안 팀: 개인 키나 니모닉 문구는 사실 단일 실패 지점 문제입니다. 일단 도난당하거나 분실되면 회복하기 어렵습니다. 현재, 예를 들어 안전 다자간 계산(MPC), 소셜 인증 기술, Seedless/Keyless, 사전 실행 및 제로 지식 증명 기술 등 새로운 기술들이 사용자들이 개인 키에 대한 의존도를 줄이는 데 도움을 주고 있습니다.

MPC를 예로 들면, 첫째, MPC 기술은 모든 참여자가 작업을 완료하기 위해 복잡한 공동 계산을 수행하며, 그들의 데이터는 비공개 및 안전하게 유지되고 다른 참여자와 공유되지 않습니다. 둘째, MPC 지갑은 일반적으로 MPC 기술을 사용하여 하나의 개인 키를 안전하게 여러 조각으로 나누어 여러 당사자가 공동으로 관리하게 하거나, 아예 여러 당사자가 공동으로 가상의 키를 생성하는 것입니다. 후자의 경우가 더 일반적일 수 있습니다. 왜냐하면 이 경우에는 아무도 완전한 개인 키를 본 적이 없기 때문입니다. 요컨대, MPC의 핵심 아이디어는 권한을 분산시켜 위험을 분산시키거나 재해 대비를 향상시키는 것입니다. 이는 단일 실패 지점 등 보안 문제를 효과적으로 피할 수 있습니다.

주의할 점은, MPC에는 "Keyless"라는 용어가 포함되어 있으며, 이는 "니모닉 문구가 없는" 또는 "개인 키가 없는" 것으로 이해할 수 있습니다. 그러나 이 "없음"은 실제로 키가 없다는 의미가 아니라, 사용자가 니모닉 문구나 개인 키를 백업할 필요가 없고, 그 존재를 인식하지 못하는 것을 의미합니다. 따라서 Keyless 지갑에 대해 알아야 할 세 가지 사항은 다음과 같습니다:

1. Keyless 지갑 생성 과정에서 개인 키는 어떤 시간이나 장소에서도 생성되거나 저장되지 않습니다.

2. 거래 서명 시 개인 키가 관련되지 않으며, 개인 키는 어떤 시점에서도 재구성되지 않습니다.

3. Keyless 지갑은 어떤 시점에서도 완전한 개인 키와 시드 문구를 생성하거나 저장하지 않습니다.

OKX Web3 보안 팀: 현재 완벽한 개인 키 보관 방법은 존재하지 않습니다. 그러나 우리 보안 팀은 하드웨어 지갑 사용, 개인 키 수기로 보관, 다중 서명 설정, 니모닉 문구 분산 저장 등의 방법을 추천합니다. 예를 들어, 니모닉 문구를 분산 저장하는 것은 사용자가 니모닉 문구를 2개 또는 여러 그룹으로 나누어 저장하여 니모닉 문구 도난 위험을 줄이는 것을 의미합니다. 또 다른 예로, 다중 서명 설정은 사용자가 신뢰하는 사람을 선택하여 공동 서명하여 거래의 안전성을 결정하는 것입니다.

물론, 사용자 지갑 개인 키의 안전을 보장하기 위해 OKX Web3 지갑의 전체 기본 구조는 인터넷에 연결되지 않으며, 사용자 니모닉 문구와 개인 키 관련 정보는 모두 암호화되어 사용자의 장치 로컬에 저장됩니다. 또한 관련 SDK는 오픈 소스이며, 기술 커뮤니티에서 광범위하게 검증되어 더욱 공개적이고 투명합니다. 게다가, OKX Web3 지갑은 느린 안개와 같은 유명 보안 기관과 협력하여 엄격한 보안 감사를 수행했습니다.

이외에도, 사용자 보호를 위해 개인 키 관리 부분에 대해 OKX Web3 보안 팀은 더 강력한 보안 능력을 제공하고 계획하고 있으며, 지속적으로 업그레이드 중입니다. 여기 간단히 공유하겠습니다:

1. 이중 인자 암호화. 현재 대부분의 지갑은 일반적으로 비밀번호로 니모닉 문구를 암호화하여 암호화된 내용을 로컬에 저장하지만, 사용자가 트로이 목마 바이러스에 감염될 경우, 해당 트로이는 암호화된 내용을 스캔하고 사용자가 입력한 비밀번호를 모니터링하여, 사기꾼이 비밀번호를 듣게 되면 암호화된 내용을 해독하여 사용자의 니모닉 문구를 얻을 수 있습니다. 향후 OKX Web3 지갑은 니모닉 문구를 이중 인자 방식으로 암호화할 예정입니다. 따라서 사기꾼이 사용자의 비밀번호를 통해 접근하더라도 암호화된 내용을 해독할 수 없습니다.

2. 개인 키 복사 안전성. 대부분의 트로이는 사용자가 개인 키를 복사할 때 클립보드의 정보를 도용하여 개인 키 유출을 초래합니다. 우리는 사용자 개인 키 복사 과정의 안전성을 높이기 위해, 예를 들어 일부 개인 키를 복사하거나 클립보드 정보를 즉시 삭제하는 등의 방법이나 기능을 추가하여 사용자가 개인 키 정보 도난 위험을 줄일 수 있도록 도울 계획입니다.

Q3: 개인 키 도난을 통해 현재 일반적인 피싱 방식은 무엇인가요?

느린 안개 보안 팀: 우리의 관찰에 따르면, 피싱 활동은 매달 점차 증가하고 있습니다.

첫째, 현재 지갑 도둑(Wallet Drainers)은 현재 피싱 활동의 주요 위협을 구성하며, 다양한 형태로 일반 사용자들을 지속적으로 공격하고 있습니다.

지갑 도둑(Wallet Drainers)은 암호화폐와 관련된 악성 소프트웨어로, 이러한 소프트웨어는 피싱 웹사이트에 배포되어 사용자가 악성 거래에 서명하도록 유도하여 사용자의 지갑 자산을 훔칩니다. 예를 들어, 현재 비교적 활발한 지갑 도둑(Wallet Drainers)에는 다음과 같은 것들이 있습니다:

1. 사회 공학을 통해 Discord 토큰을 얻고 피싱하는 핑크 드레너(Pink Drainer). 사회 공학은 일반적으로 대화를 통해 사용자의 비밀 정보를 얻는 것을 의미합니다.

2. 또 다른 앤젤 드레너(Angel Drainer)는 도메인 서비스 제공업체에 대해 사회 공학 공격을 수행합니다. 도메인 계정 관련 권한을 얻은 후, 앤젤 드레너는 DNS 해석을 수정하고 사용자를 가짜 웹사이트로 리디렉션합니다.

둘째, 현재 가장 일반적인 것은 블라인드 서명 피싱입니다. 블라인드 서명이란 사용자가 프로젝트와 상호작용할 때 서명하거나 승인해야 할 내용이 무엇인지 모르는 상태에서 무심코 확인 버튼을 클릭하여 자산이 도난당하는 것을 의미합니다. 블라인드 서명 피싱에 대한 몇 가지 예를 들어보겠습니다:

사례 1: 예를 들어 ethsign. ethsign은 임의의 해시를 서명할 수 있는 개방형 서명 방법으로, 거래나 어떤 데이터에 대해 서명할 수 있습니다. 일반적으로 기술적 기반이 없는 사용자가 서명의 내용을 이해하기는 어렵기 때문에, 이로 인해 피싱 위험이 존재합니다. 다행히 현재 점점 더 많은 지갑이 이러한 서명에 대해 보안 경고를 시작하고 있어 어느 정도 자산 손실 위험을 피할 수 있습니다.

사례 2: permit 서명 피싱. 우리는 ERC20 토큰 거래에서 사용자가 approve 함수를 호출하여 권한을 부여할 수 있다는 것을 알고 있지만, permit 함수는 사용자가 체인 외부에서 서명을 생성한 후 특정 사용자에게 일정 수량의 토큰을 사용할 수 있도록 권한을 부여할 수 있게 합니다. 공격자는 permit 방법을 이용해 피싱을 수행하며, 피해자가 피싱 웹사이트에 접속할 때 공격자는 사용자가 permit 권한을 서명하도록 유도합니다. 사용자가 서명한 후 공격자는 서명된 데이터를 얻고, 공격자는 토큰 계약의 permit 함수를 호출하여 서명 데이터를 전달하고 체인에 방송하여 토큰의 권한을 얻어 사용자의 토큰을 도난당하게 됩니다.

사례 3: 은밀한 create2 방법. create2는 개발자가 계약을 이더리움 네트워크에 배포하기 전에 계약의 주소를 예측할 수 있게 합니다. create2를 기반으로 공격자는 각 악의적인 서명에 대해 임시 새 주소를 생성할 수 있습니다. 사용자가 권한 서명을 부여하도록 속인 후, 공격자는 이 주소에서 계약을 생성하고 사용자의 자산을 이전할 수 있습니다. 빈 주소이기 때문에 이러한 주소는 일부 피싱 플러그인 및 보안 회사의 모니터링 경고를 우회할 수 있어 은밀성이 매우 높아 사용자가 쉽게 속을 수 있습니다.

결론적으로, 피싱 웹사이트에 대해 사용자는 상호작용 전에 프로젝트의 공식 웹사이트를 확인하고, 상호작용 과정에서 악의적인 서명 요청이 있는지 주의하며, 니모닉 문구나 개인 키를 제출하는 행동에 경계를 가져야 하며, 어떤 곳에서도 니모닉 문구나 개인 키를 유출하지 않도록 해야 합니다.

OKX Web3 보안 팀: 우리는 일반적인 피싱 방식에 대해 연구하고 있으며, 제품 측면에서 다각적인 보안 방어를 제공하고 있습니다. 현재 사용자들이 겪고 있는 주요 피싱 방식 몇 가지를 간단히 공유하겠습니다:

첫 번째 유형, 가짜 에어드랍. 해커는 일반적으로 피해자 주소와 비슷한 주소를 생성하고, 사용자에게 소액 이체, 0U 이체 또는 가짜 토큰 이체의 에어드랍을 수행합니다. 이러한 거래는 사용자의 거래 기록에 표시되며, 사용자가 실수로 잘못된 주소를 복사하여 붙여넣으면 자산 손실이 발생할 수 있습니다. 이러한 공격에 대해 OKX Web3 지갑은 해당 거래의 이력을 인식하고 위험 표시를 하며, 사용자가 해당 주소로 이체할 때 보안 위험 경고를 제공합니다.

두 번째 유형, 유도 서명. 일반적으로 해커는 유명 프로젝트의 Twitter, Discord, TG 등 공공 장소에서 댓글을 달고, 가짜 DeFi 프로젝트 웹사이트나 에어드랍 수령 웹사이트를 게시하여 사용자가 클릭하도록 유도하여 자산을 도둑질합니다. 느린 안개가 언급한 eth_sign, permit, create2 등의 서명 피싱 외에도 몇 가지 방법이 있습니다:

방법 1: 직접 이체하여 메인 체인 토큰을 도둑질합니다. 해커는 종종 악성 계약 함수에 Claim, SecurityUpdate 등 유도적인 이름을 붙이며, 실제 함수 로직은 비어 있어 사용자의 메인 체인 토큰만 이전합니다. 현재 OKX Web3 지갑은 사전 실행 기능을 출시하여 거래가 체인에 올라간 후 자산 변동 및 권한 변동을 표시하고 사용자에게 보안 위험 경고를 제공합니다.

방법 2: 체인 상 권한 부여. 해커는 일반적으로 사용자가 approve / increaseAllowance / decreaseAllowance / setApprovalForAll 거래에 서명하도록 유도하며, 이 거래는 해커가 지정한 주소로 사용자의 토큰 자산을 이전할 수 있도록 허용합니다. 사용자가 서명한 후, 해커는 사용자의 계정을 실시간으로 모니터링하며, 해당 자산이 입금되면 즉시 이전합니다. 피싱자의 보안 방어 과정은 일종의 저항이며, 지속적으로 업그레이드되는 과정입니다.

대부분의 지갑은 해커의 권한 주소에 대해 보안 위험 검사를 수행하지만, 공격자의 공격 방식도 업그레이드되고 있습니다. 예를 들어 create2의 특성을 이용하여 공격자는 새 주소를 미리 계산해 두고, 새 주소는 안전한 블랙리스트에 없기 때문에 쉽게 보안 검사를 우회할 수 있습니다. 공격자는 물고기가 걸릴 때까지 기다렸다가 해당 주소에 계약을 배포하고 사용자의 자금을 이전합니다. 최근에는 많은 공격자가 사용자가 uniswap.multicall 계약에 권한을 부여하도록 유도하고 있으며, 해당 계약은 정규 프로젝트의 계약이기 때문에 보안 제품의 검사를 우회할 수 있습니다.

방법 3: 권한 변경. 트론 권한 변경 및 솔라나 권한 변경 등이 포함됩니다. 첫째, 트론 권한 변경에서 다중 서명은 트론 체인의 특성으로, 많은 피싱 웹사이트에서 피싱자는 계정 권한을 변경하는 거래를 이체 거래로 위장합니다. 사용자가 실수로 이 거래에 서명하면 사용자의 계정이 다중 서명 계정으로 변경되어 사용자가 해당 계정에 대한 제어 권한을 잃게 됩니다. 둘째, 솔라나 권한 변경에서 피싱자는 SetAuthority를 통해 사용자의 토큰 ATA 계정의 소유자를 수정합니다. 사용자가 이 거래에 서명하면 해당 ATA 계정의 소유자가 피싱자가 되어 피싱자가 사용자의 자산을 얻습니다.

기타 방법: 또한, 프로토콜 자체의 설계 메커니즘 등 문제로 인해 피싱자가 쉽게 이용할 수 있습니다. 이더리움 기반의 미들웨어 프로토콜 EigenLayer의 queueWithdrawal 호출은 다른 주소를 출금자로 지정할 수 있게 하며, 사용자가 피싱에 의해 이 거래에 서명하게 됩니다. 일주일 후, 지정된 주소는 completeQueuedWithdrawal을 통해 사용자의 스테이킹 자산을 얻습니다.

세 번째 유형, 니모닉 문구 업로드. 공격자는 일반적으로 위장된 에어드랍 프로젝트나 가짜 신규 도구를 제공하여 사용자가 개인 키나 니모닉 문구를 업로드하도록 유도합니다. 구체적인 사례는 위와 같습니다. 또한, 때때로 플러그인 지갑의 팝업으로 위장하여 사용자가 니모닉 문구를 업로드하도록 유도하기도 합니다.

Q4: 핫 월렛과 콜드 월렛 공격 방식의 차별화

OKX Web3 보안 팀: 핫 월렛과 콜드 월렛의 차이는 개인 키의 저장 방식이 다르며, 콜드 월렛의 개인 키는 일반적으로 오프라인으로 저장되고, 핫 월렛은 보통 네트워크 환경에 저장됩니다. 따라서 콜드 월렛과 핫 월렛의 보안 위험은 다를 수 있습니다. 핫 월렛의 보안 위험은 이미 매우 포괄적이므로 더 이상 설명하지 않겠습니다.

콜드 월렛의 보안 위험은 주로 다음과 같습니다:

첫째, 사회 공학 및 물리적 공격 위험, 그리고 거래 과정 위험. 사회 공학 및 물리적 공격 위험은 콜드 월렛이 일반적으로 오프라인으로 저장되기 때문에 공격자가 사회 공학 수단을 사용하여 친척이나 친구로 위장하여 콜드 월렛의 접근 권한을 얻을 수 있는 위험을 의미합니다.

둘째, 물리적 장치로서 손상되거나 분실될 수 있습니다. 거래 과정 위험은 거래 과정에서 콜드 월렛도 앞서 언급한 각종 에어드랍, 유도 서명 등의 공격 방식에 직면할 수 있다는 것을 의미합니다.

Q5: "고가치 지갑 개인 키를 선물"하는 것처럼, 어떤 다른 피싱 함정이 있나요?

느린 안개 보안 팀: 네, "고가치 지갑 개인 키를 의도적으로 선물하는 것"은 매우 전형적인 사례로, 몇 년 전부터 존재해왔지만 지금도 여전히 사람들이 속고 있습니다. 이러한 사기는 사실 사기꾼이 개인 키 니모닉 문구를 의도적으로 유출하는 것입니다. 사용자가 개인 키 니모닉 문구를 지갑에 입력하면, 공격자는 항상 당신의 지갑을 모니터링하며, 당신이 ETH를 이체하면 즉시 당신의 자금을 가져갑니다. 이러한 수법은 사용자의 작은 이익을 탐하는 심리를 이용한 것으로, 입력하는 사람이 많을수록 수수료는 더 높아지고 손실은 더 커집니다.

둘째, 일부 사용자는 "나는 공격당할 가치가 없다"고 생각합니다. 이러한 낮은 방어 태도는 사용자를 쉽게 공격받게 만듭니다. 누구의 정보(예: 이메일, 비밀번호, 은행 정보 등)도 공격자에게는 가치가 있습니다. 심지어 일부 사용자는 스팸 이메일의 링크를 클릭하지 않으면 위협을 받지 않을 것이라고 생각하지만, 일부 피싱 이메일은 이미지나 첨부 파일을 통해 악성 소프트웨어를 심을 수 있습니다.

마지막으로, "안전"에 대해 객관적인 인식을 가져야 하며, 절대적인 안전은 없다는 것을 알아야 합니다. 게다가, 피싱 공격의 방식은 매우 다양하게 진화하고 있으며, 발전 속도도 빠릅니다. 모든 사람은 지속적으로 학습하고, 자기 안전 인식을 높이는 것이 가장 신뢰할 수 있는 방법입니다.

OKX Web3 보안 팀: 제3자 피싱 함정을 방지하는 것은 복잡한 문제입니다. 피싱자는 종종 사람들의 심리적 약점과 일반적인 보안 소홀을 이용합니다. 많은 사람들은 평소에 매우 조심하지만, 갑작스러운 "큰 기회"를 만났을 때 경계를 풀고 자신의 탐욕을 확대하여 속아 넘어가는 경우가 많습니다. 이 과정에서 인간의 약점이 기술보다 더 클 수 있으며, 아무리 많은 보안 수단이 있더라도 사용자는 단기적으로 이를 간과할 수 있습니다. 사후에 돌아보면 자신이 이미 속았다는 것을 깨닫게 됩니다. 우리는 "세상에 공짜 점심은 없다"는 것을 명심하고 항상 경계를 높이며, 안전 위험에 주의해야 하며, 특히 블록체인이라는 어두운 숲 속에서는 더욱 그렇습니다.

Q6: 사용자에게 개인 키 안전을 높이기 위한 조언

느린 안개 보안 팀: 이 질문에 답하기 전에, 일반적인 공격이 사용자의 자산을 어떻게 도난당하는지 정리해 보겠습니다. 공격자는 일반적으로 다음 두 가지 방법을 통해 사용자의 자산을 도난당합니다:

방법 1: 사용자가 도난당한 자산에 대한 악의적인 거래 데이터에 서명하도록 속입니다. 예: 사용자가 자산을 공격자에게 권한 부여하거나 이전하도록 속입니다.

방법 2: 사용자가 악성 웹사이트나 앱에서 지갑의 니모닉 문구를 입력하도록 속입니다. 예: 사용자가 가짜 지갑 페이지에서 니모닉 문구를 입력하도록 속입니다.

공격자가 어떻게 지갑 자산을 도난당하는지 알게 되면, 우리는 가능한 위험을 방지해야 합니다:

방지 1: 가능한 한 보이는 대로 서명합니다. 지갑은 Web3 세계에 들어가는 열쇠라고 하며, 사용자가 상호작용할 때 가장 중요한 것은 블라인드 서명을 거부하는 것입니다. 서명하기 전에 서명 데이터를 인식하고, 자신이 서명하는 거래가 무엇인지 알아야 하며, 그렇지 않으면 서명을 포기해야 합니다.

방지 2: 계란을 한 바구니에 담지 마십시오. 다양한 자산 및 사용 빈도에 따라 지갑을 계층적으로 관리하여 자산의 위험을 통제할 수 있습니다. 에어드랍 등 활동에 참여하는 지갑은 사용 빈도가 높기 때문에 소액 자산을 저장하는 것이 좋습니다. 대액 자산은 일반적으로 자주 사용되지 않으므로 콜드 월렛에 보관하고 사용할 때는 네트워크 환경과 물리적 환경이 안전한지 확인해야 합니다. 가능하다면 하드웨어 지갑을 사용하는 것이 좋습니다. 하드웨어 지갑은 일반적으로 니모닉 문구나 개인 키를 직접 내보낼 수 없기 때문에 니모닉 문구와 개인 키 도난의 문턱을 높일 수 있습니다.

방지 3: 다양한 피싱 수법과 사건이 끊임없이 발생하므로 사용자는 스스로 다양한 피싱 수법을 인식하고, 안전 인식을 높이며, 자기 교육을 통해 속지 않도록 하고, 자구 능력을 갖추어야 합니다.

방지 4: 서두르지 말고, 여러 번 검증하십시오. 또한, 사용자가 더 포괄적인 자산 관리 솔루션을 알고 싶다면 느린 안개에서 제공하는《암호 자산 안전 솔루션》을 참조하여 더 많은 안전 인식 및 자기 교육을 알아보는 것이 좋습니다.