느린 안개: 2024 Q2 MistTrack 도난 양식 분석

저자: 느린 안개 AML 팀

블록체인의 빠른 발전과 함께 사용자에 대한 도난, 피싱, 사기 등의 보안 사건이 점점 더 증가하고 있으며, 공격 방법도 다양해지고 있습니다. 느린 안개 SlowMist는 매일 많은 피해자들로부터 자금 추적 및 구제 요청을 받고 있으며, 그 중에는 수천만 달러를 잃은 대규모 피해자도 있습니다. 이에 따라 본 시리즈는 매 분기 수신된 도난 신고서를 통계 및 분석하여, 비감염된 실제 사례를 통해 일반적이거나 드문 악행 방법을 분석하고, 사용자들이 자신의 자산을 더 잘 보호할 수 있도록 돕는 것을 목표로 합니다.

통계에 따르면, MistTrack 팀은 2024년 Q2 분기에 총 467개의 도난 신고서를 접수했으며, 이 중 146개는 해외 신고서이고 321개는 국내 신고서입니다. 우리는 이러한 신고서에 대해 무료 평가 커뮤니티 서비스를 제공했습니다 (Ps. 본 문서의 내용은 신고서 제출을 통해 접수된 사례에만 해당하며, 이메일이나 기타 경로로 연락된 사례는 포함되지 않습니다).

그 중, MistTrack 팀은 18명의 도난 피해 고객이 13개 플랫폼에서 약 2066.41만 달러의 자금을 동결하는 데 도움을 주었습니다.

도난 원인 Top 3

2024년 Q2 신고서에서 가장 흔한 악행 방법은 다음과 같습니다:

개인 키 유출

Q2 신고서 통계에 따르면, 많은 사용자들이 개인 키/니모닉을 Google 문서, 텐센트 문서, 바이두 클라우드, 석탄 문서 등 클라우드 저장소에 저장하고 있으며, 일부 사용자는 WeChat과 같은 도구를 통해 개인 키/니모닉을 신뢰하는 친구에게 전송하기도 합니다. 더 나아가, 일부는 WeChat의 이미지 인식 기능을 통해 니모닉을 WPS 스프레드시트에 복사한 후, 이 스프레드시트를 암호화하고 클라우드 서비스를 활성화하며, 동시에 컴퓨터의 로컬 하드 드라이브에도 저장합니다. 이러한 행동은 정보 보안을 높이는 것처럼 보이지만, 실제로는 정보가 도난당할 위험을 크게 증가시킵니다. 해커들은 종종 "크래킹" 방법을 이용하여, 인터넷에 공개된 계정 비밀번호 데이터베이스를 수집하여 이러한 클라우드 저장 서비스 웹사이트에 로그인 시도합니다. 비록 이는 확률에 의존하는 행동이지만, 로그인에 성공하면 해커는 암호화폐와 관련된 정보를 쉽게 찾아 도난할 수 있습니다. 이러한 상황은 정보의 수동적 유출로 간주될 수 있습니다. 또한, 피해자가 고객 서비스 사기를 당해 니모닉을 입력하도록 유도되거나, Discord와 같은 채팅 플랫폼에서 피싱 링크에 속아 개인 키 정보를 입력하는 등의 능동적 유출 사례도 존재합니다. 여기서 MistTrack 팀은 모든 경우에 개인 키/니모닉을 누구에게도 공개해서는 안 된다고 강력히 경고합니다.

그 외에도, 가짜 지갑은 개인 키 유출의 주요 원인 중 하나입니다. 이 부분은 이미 오래된 이야기지만, 여전히 많은 사용자가 검색 엔진을 사용할 때 광고 링크를 무심코 클릭하여 가짜 지갑 애플리케이션을 다운로드합니다. 네트워크 문제로 인해 많은 사용자가 제3자 다운로드 사이트에서 관련 애플리케이션을 얻으려 합니다. 이러한 사이트는 애플리케이션이 모두 Google Play의 미러 다운로드에서 유래했다고 주장하지만, 실제 안전성은 의문입니다. 이전에 느린 안개 보안 팀은 제3자 애플리케이션 마켓 apkcombo에서 지갑 애플리케이션을 분석한 결과, apkcombo에서 제공하는 imToken 24.9.11 버전이 존재하지 않는 버전이며, 현재 시장에서 가장 많은 가짜 imToken 지갑 버전이라는 것을 발견했습니다.

우리는 또한 가짜 지갑 팀과 관련된 백엔드 관리 시스템을 추적했으며, 여기에는 사용자 관리, 통화 관리 및 충전 관리 등 복잡한 디지털 통화 제어 기능이 포함되어 있습니다. 이러한 피싱 행동은 많은 사람들의 상상을 초월하는 고급 특성과 전문성을 가지고 있습니다.

예를 들어, Q2에는 다소 드문 사례가 있었습니다: 한 사용자가 검색 엔진에서 "Twitter"를 검색하다가 가짜 Twitter 애플리케이션을 다운로드했습니다. 사용자가 이 애플리케이션을 열었을 때, 시스템은 지역 제한으로 인해 VPN을 사용해야 한다고 경고하며, 사용자가 애플리케이션에 내장된 가짜 VPN을 다운로드하도록 유도했습니다. 결과적으로 이 사용자의 개인 키/니모닉이 도난당했습니다. 이러한 사례는 온라인 애플리케이션과 서비스에 대해 철저한 검토와 검증을 수행해야 한다는 경고를 다시 한번 상기시킵니다.

피싱

분석에 따르면, Q2의 여러 도난 요청 사건의 피싱 원인은 사용자가 유명 프로젝트의 트위터 아래에 게시된 피싱 링크 댓글을 클릭했기 때문입니다. 이전에 느린 안개 보안 팀은 특정 분석 통계를 수행했습니다: 약 80%의 유명 프로젝트가 트위터를 게시한 후, 댓글란의 첫 번째 댓글이 사기 피싱 계정에 의해 차지됩니다. 우리는 또한 텔레그램에서 Twitter 계정을 판매하는 많은 그룹을 발견했습니다. 이 계정들은 팔로워 수와 게시물 수가 다양하며, 등록 시간도 각기 다릅니다. 이는 잠재적인 구매자가 자신의 필요에 따라 구매할 수 있도록 합니다. 역사 기록에 따르면, 판매되는 대부분의 계정은 암호화폐 산업이나 인터넷 유명인과 관련이 있습니다.

그 외에도, Twitter 계정을 전문적으로 판매하는 웹사이트도 존재합니다. 이러한 웹사이트는 각 연도의 Twitter 계정을 판매하며, 심지어 매우 유사한 계정 구매를 지원합니다. 예를 들어, 가짜 계정 Optimlzm과 실제 계정 Optimism은 외관상 매우 유사합니다. 이러한 고도로 유사한 계정을 구매한 후, 피싱 그룹은 프로모션 도구를 사용하여 계정의 상호작용 및 팔로워 수를 증가시켜 계정의 신뢰도를 높입니다. 이러한 프로모션 도구는 암호화폐 결제를 받을 뿐만 아니라, 좋아요, 리트윗, 팔로워 증가 등 다양한 소셜 플랫폼 서비스를 판매합니다. 이러한 도구를 이용하여 피싱 그룹은 많은 팔로워와 게시물이 있는 Twitter 계정을 얻고, 프로젝트 측의 정보 게시 동향을 모방할 수 있습니다. 실제 프로젝트 측의 계정과 매우 유사하기 때문에 많은 사용자가 진위를 구별하기 어려워지며, 이는 피싱 그룹의 성공률을 더욱 높입니다. 이후 피싱 그룹은 자동화된 로봇을 사용하여 유명 프로젝트의 동향을 추적합니다. 프로젝트 측이 트윗을 게시하면, 로봇은 자동으로 댓글을 달아 첫 번째 댓글을 차지하여 더 많은 조회수를 유도합니다. 피싱 그룹이 위장한 계정이 프로젝트 측 계정과 극히 유사하기 때문에, 사용자가 부주의하게 가짜 계정의 피싱 링크를 클릭하고 권한을 부여하거나 서명할 경우, 자산 손실로 이어질 수 있습니다.

종합적으로 볼 때, 블록체인 산업의 피싱 공격은 개인 사용자에게 있어 "도메인, 서명" 두 가지 핵심 포인트에서 위험이 주로 발생합니다. 포괄적인 보안 방어를 위해 우리는 항상 이중 방어 전략을 채택할 것을 주장해왔습니다. 즉, 인력 안전 인식 방어 + 기술적 수단 방어입니다. 기술적 수단 방어는 피싱 위험 차단 플러그인 Scam Sniffer와 같은 다양한 하드웨어 및 소프트웨어 도구를 이용하여 자산과 정보의 안전을 보장하는 것을 의미합니다. 사용자가 의심스러운 피싱 페이지를 열 때, 도구는 즉시 위험 경고를 표시하여 위험이 발생하는 첫 단계에서 이를 차단합니다. 인력 안전 인식 방어 측면에서는, 우리는 모든 분들이 《블록체인 어두운 숲 자구 매뉴얼》을 깊이 읽고 점진적으로 숙지할 것을 강력히 권장합니다 (https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md). 이러한 두 가지 방어 전략의 상호 협력을 통해서만 변화하고 진화하는 피싱 공격 수단에 효과적으로 대응하고 자산 안전을 지킬 수 있습니다.

사기

사기 수법은 다양하지만, Q2에서 가장 흔한 사기 수법은 피효(貔貅) 판입니다. 전설에 따르면, 피효는 모든 것을 삼키고 배설하지 않는 신비로운 생물로 여겨지며, 전설에서 말하는 금과 보석 등의 보물이 일단 삼켜지면 그 안에서 다시 꺼낼 수 없다고 합니다. 따라서 피효 판은 일단 구매하면 다시 팔 수 없는 디지털 화폐를 비유하는 데 사용됩니다.

한 피해자는 자신의 경험을 이렇게 설명했습니다: "나는 당시 텔레그램 그룹에서 질문을 했고, 한 사람이 많은 질문에 열심히 답해주었으며, 나에게 많은 것을 가르쳐주었습니다. 우리는 이틀 동안 개인적으로 대화한 후, 나는 그가 꽤 괜찮은 사람이라고 생각했습니다. 그래서 그는 나를 1차 시장으로 데려가 새로운 토큰을 구매하자고 제안했고, PancakeSwap에서 나에게 한 통화의 계약 주소를 제공했습니다. 내가 구매한 후, 이 통화는 계속해서 급등했고, 그는 이것이 6개월에 한 번 있는 황금 기회라고 말하며 즉시 투자를 늘리라고 권장했습니다. 나는 일이 그렇게 간단하지 않다고 느껴서 그의 제안을 따르지 않았고, 그는 계속해서 나를 재촉했습니다. 그때 나는 속고 있다는 것을 깨닫고, 그룹의 다른 사람들에게 도움을 요청하여 확인해본 결과, 이것이 실제로 피효 코인이라는 것을 알게 되었습니다. 나는 시도해봤지만 살 수만 있고 팔 수는 없었습니다. 사기꾼이 내가 더 이상 매수하지 않자, 나를 차단했습니다."

이 피해자의 경험은 실제로 피효 판 사기의 전형적인 패턴을 반영합니다:

1. 사기꾼은 함정이 설정된 스마트 계약을 배포하고, 높은 수익을 약속하는 미끼를 던집니다;

2. 사기꾼은 목표를 유도하여 토큰을 구매하도록 하며, 피해자가 구매한 후에는 해당 토큰이 빠르게 상승하는 것을 자주 보게 됩니다. 따라서 피해자는 일반적으로 토큰의 상승폭이 충분히 커질 때까지 기다리려 하며, 결국 구매한 토큰을 팔 수 없다는 것을 발견하게 됩니다;

3. 마지막으로, 사기꾼은 피해자의 투자 자금을 인출합니다.

특히 Q2 신고서에서 언급된 피효 코인은 모두 BSC에서 발생했으며, 아래 그림에서 피효 코인이 많은 거래를 하고 있는 것을 볼 수 있습니다. 사기꾼은 보유한 토큰을 지갑과 거래소에 전송하여 많은 사람들이 참여하고 있다는 허상을 만들어냅니다.

피효 판의 본질은 일정한 은폐성을 가지고 있어, 경험이 풍부한 투자자조차도 진실을 파악하기 어려울 수 있습니다. 현재 Meme 열풍이 불고 있으며, 다양한 "토끼코인"이 시장에 일정한 영향을 미치고 있습니다. 피효 판의 가격이 빠르게 상승하기 때문에 사람들은 종종 충동적으로 따라 구매하게 되며, 많은 진실을 모르는 시장 참여자들이 이 "토끼코인 열풍"을 쫓다가 무의식적으로 피효 판의 함정에 빠져 구매한 후에는 다시는 판매할 수 없게 됩니다.

따라서 MistTrack 팀은 광범위한 사용자들에게 거래 전에 다음과 같은 조치를 취하여 피효 판에 참여하여 자금 손실을 피할 것을 권장합니다:

• MistTrack을 사용하여 관련 주소의 위험 상황을 확인하거나 GoPlus의 토큰 안전 검사 도구를 통해 피효 코인을 식별하고 거래 결정을 내리십시오;
• Etherscan, BscScan에서 코드가 감사 및 검증을 받았는지 확인하거나 관련 댓글을 읽어보십시오. 일부 피해자는 사기 토큰 댓글 옵션에서 경고를 발송할 수 있습니다;
• 관련 가상 화폐 정보를 이해하고 프로젝트 측 배경을 고려하여 자기 방어 인식을 높이십시오. 초고수익을 제공하는 가상 화폐에 주의하십시오. 초고수익은 일반적으로 더 큰 위험을 의미합니다.