폭로: 토큰 소수점을 이용한 사기 사례

배경

최근 슬로우미스트 창업자 코스즈의 보안 알림 트윗 아래 ‘도취 자금 회수/복원을 돕습니다’를 사칭한 사기꾼(CYBER RESCUE)이 피해자를 피싱 공격한 사건이 발생했습니다. 이에 대해 슬로우미스트 보안팀은 사기꾼을 리버스피싱하여 공개했습니다. 그의 속임수 과정. 사용자들이 더욱 주의를 기울여 속지 않기를 바랍니다.

사기당하는 과정

피해자로서 Slow Mist는 CYBER RESCUE에 연락했는데, CYBER RESCUE에서는 도난당한 자금을 100% 복구할 수 있다고 주장했습니다. 사기꾼의 속임수 과정은 다음과 같습니다.

1. 사기꾼 CYBER RESCUE는 먼저 피해자에게 도난 시간, 사용한 지갑, 도난 이유를 물은 후 BNB 스마트 하에서 USDT를 통해 거래를 처리하면 도난당한 자금을 100% 복구할 수 있다고 말했습니다. 체인 네트워크를 통해 도난당한 자금이 처리되며 자금은 피해자의 지갑으로 리디렉션됩니다. 피해자는 앱을 다운로드해야 하는데, 사기꾼은 피해자에게 사용자 설정 이전을 안내하고 자금을 피해자의 지갑으로 리디렉션하는 것이라고 설명합니다.

2. 그런 다음 사기꾼은 피해자에게 홈페이지에서 “맞춤 자산 추가”를 클릭하도록 요청하고 사용자에게 USDT 계약 0x55d398326f99059ff775485246999027b3197955(계약 주소가 정확함)를 입력하도록 안내합니다. 이때 MathWallet은 정밀도 18로 토큰을 자동으로 식별합니다.

이때 사기꾼은 계약 주소를 붙여넣을 때 십진수를 18에서 0으로 변경해야 한다고 강조했습니다. 따라서 피해자는 올바른 계약이지만 정밀도가 잘못된 USDT 토큰을 추가했습니다. Decimals(소수점 이하 자릿수)가 무엇인지에 대한 설명은 다음과 같습니다. 토큰에서 십진수는 토큰의 가장 작은 분할 단위 수를 나타내며, 이는 거래 및 계산에서 토큰의 정확성을 결정합니다. 소수점 값이 높을수록 토큰이 더 정확해집니다.

피해자가 이에 응하자 사기꾼은 그것으로 충분하다고 말했습니다. 그는 훔친 자금을 동결하고 피해자의 계좌로 돌려주기를 원했습니다. 이제 그는 피해자에게 MetaMask 지갑을 제공하도록 요구합니다. 번역 소프트웨어가 메타마스크 지갑을 메타마스크 지갑으로 번역했기 때문에 피해자는 완전히 혼란스러워했고 사기꾼도 충격을 받았습니다. MetaMask 지갑이 없으신가요?

3. 이 시점에서 사기꾼은 도난당한 자금을 “복원”하기 위한 마법의 작전을 시작했습니다.

사기꾼은 피해자가 제공한 도난 거래 내역을 확인한 후 도난당한 자금 중 $89,589만 회수할 수 있다고 말했습니다. 그 이유는 남은 자금이 이미 외환시장에 진입해 현지 통화로 환전됐기 때문이다.

그런 다음 사기꾼은 피해자에게 MathWallet 계정의 스크린샷을 보내달라고 요청하고 피해자에게 다음과 같이 상기시킵니다. 온라인 상태를 유지하세요. 성공 또는 실패는 이에 따라 달라집니다. 이 문장은 좀 헷갈리네요. 피해자는 이미 돈을 잃었습니다. 이때 사기꾼의 촉구는 피해자가 돈을 돌려받을 기회를 잡겠다는 생각을 하게 만들 것이다. 자신이 또 다른 함정에 빠지게 되었다는 사실을 누가 깨닫게 될까요? .

사기꾼은 피해자에게 지갑 관리에서 개인 키 내보내기를 클릭하라고 요구하고 개인 키를 자신에게 복사하도록 안내합니다. 개인 키가 필요하다는 사기꾼의 설명은 앱을 연결하여 거래를 피해자의 지갑으로 리디렉션하는 것입니다. 사기꾼의 이전 작업으로는 의심스럽지 않았지만 이제 그가 귀하의 개인 키를 요구한다면 도망가세요!

피해자는 사기꾼에게 개인 키를 보냈습니다. 얼마 지나지 않아 사기꾼은 작업이 완료됐고 지갑을 확인할 수 있다고 말했다. 피해자는 지갑을 확인한 결과 실제로 USDT 금액이 사기꾼이 방금 복구하겠다고 약속한 89589로 변경된 것을 발견했습니다. 무슨 일이 있었 니?

블록 익스플로러에 문의한 결과, 사기꾼이 피해자에게 실제로 이체한 금액은 0.000000000000089589 USDT인 것으로 나타났습니다. 이는 이전에 피해자가 사기꾼에 의해 지갑에 있는 사용자 정의 토큰의 소수점을 18에서 0으로 수동으로 변경하도록 유도했기 때문입니다. 따라서 사기꾼이 피해자에게 0.000000000000089589 USDT의 금액을 전송했지만 피해자의 지갑에는 89589로 표시됩니다. USDT를 받았습니다. .

(https://bscscan.com/tx/0x00901c40073dc1ec64041a3aee689874406fdb1bf7b112a6c380ec3839d6a8e5)

사기꾼이 개인 키를 획득했는데, 다음에는 어떤 이익을 얻을 수 있을까요? 그는 피해자에게 다른 계정으로 거래를 실행하려면 충분한 BNB 잔고가 필요하다고 말했습니다. 이 사용 가능한 잔액은 BNB 스마트 체인 네트워크의 초기 잔액의 10%여야 합니다. 피해자가 이를 믿고 필요에 따라 약 $8968 상당의 BNB를 지갑으로 전송하면 사기꾼이 해당 BNB를 도난당하게 됩니다.

블록탐색기를 이용해 사기꾼의 주소(0xe27126d1c17B42Eb42783655D339a782f779BABA)를 확인해 본 결과 해당 주소가 다른 주소로 소액을 자주 이체하는 것을 발견해 사기꾼이 계속해서 이러한 속임수를 이용해 범죄를 저지르고 있음을 알 수 있다.

(https://bscscan.com/txs?a=0xe27126d1c17B42Eb42783655D339a782f779BABA&p=1)

MistTrack(https://misttrack.io/)을 사용하여 주소를 쿼리하세요. 이 주소에 대한 처리 수수료의 출처는 Binance임을 알 수 있습니다. MistTrack은 관련 주소를 차단했으며 자금 변경을 계속 모니터링할 것입니다.

MathWallet  업데이트

MathWallet은 해당 사례에 대한 피드백을 받은 후 즉시 수리하여 사용자가 정확도를 수동으로 수정하는 것을 금지하는 새 버전을 출시했습니다. App Store나 Google Play에서 업그레이드하세요.

안전의식 제고 및 좋은 습관 기르기

WEB3 세계에서는 항상 보안이 최우선입니다.

기억하다:

  • 니모닉 문구와 개인 키를 안전하게 보관하고 다른 사람에게 보내지 마세요.
  • 니모닉 단어와 개인 키가 인터넷에 노출되지 않도록 하세요.
  • 낯선 사람이 제공한 링크는 클릭하지 마세요
  • 익숙하지 않은 타사 DAPP을 사용하지 마세요.
  • 온체인 작업을 수행할 때 서명 내용을 반복해서 확인하세요.
  • 지갑 주소의 온체인 인증 상태를 정기적으로 확인하세요.

더 자세히 알고 싶다면 이전 보안 관련 기사를 읽어보세요.

MathWallet 보안 가이드

악의적인 승인(인가) 방지 및 취소

MathWallet 백업을 위한 필수 보안 지식

DApp 보고 기능 작동 지침

초보자를 위한 사기방지 매뉴얼

MathWallet 보안 가이드 2022

우리의 유일한 공식 웹사이트를 찾으세요:

mathwallet.org

TON MathWallet 사용 튜토리얼

MathWallet은 이제 TON을 지원합니다

TON—The Open Network 는 Telegram이 설계한 기술을 사용하여 커뮤니티가 만든 분산형 개방형 인터넷입니다.

다음은 사용 튜토리얼입니다:

먼저 최신 버전의 MathWallet을 다운로드하여 설치하세요.

(다운로드 주소 : https://mathwallet.org)

왼쪽 퍼블릭 체인 목록 하단의 + 버튼을 클릭하고 TON을 검색한 후 TON 네트워크를 엽니다.

퍼블릭 체인 목록 페이지로 돌아가서 TON 네트워크를 찾아 지갑을 추가하세요.

(새 지갑을 생성하거나 니모닉 문구를 통해 지갑을 가져올 수 있습니다)

다음으로 TON 지갑을 사용하여 토큰을 받고 보낼 수 있습니다.

참고: TON 지갑 주소에는 두 가지 형식이 있습니다. 하나는 이전 주소(주소 형식은 EQ로 시작)이고 다른 하나는 새 주소(주소 형식은 UQ로 시작)입니다.

MathWallet app 의 최신 버전은 UQ로 시작하는 새 주소 표시를 지원합니다. 동시에 동일한 니모닉 문구 아래의 이전 주소와 새 주소 모두 수신 기능을 지원하고 동일한 지갑을 가리킬 수 있습니다.

또한 사용자 정의 Token을 추가하고, 오른쪽 상단 모서리에 있는 버튼을 클릭하고, “Add Assets”를 클릭하여 자산을 추가하고, “Custom Asset”을 클릭하여 자산을 사용자 정의하고, 추가하려는 Token 계약 주소를 입력할 수 있습니다.

애플리케이션 페이지에서 mathdapp.store를 입력하여 dapp 목록을 엽니다.

모든 TON dapp을 찾을 수 있습니다

DApp에 연결하고 Swap하는 방법은 무엇입니까?

예(STON.fi): mathdapp.store 페이지에서 해당 DApp을 찾아 오른쪽 상단의 “Connect wallet”을 클릭하여 지갑에 연결하세요.

Swap하려는 해당 토큰 수량을 선택한 후 “Confirm swap”을 클릭하여 거래를 확인하세요.

더 많은 TON 관련 DApp을 보려면 다음 링크를 클릭하십시오.

https://mathdapp.store/?blockchain=TON

MathWallet Bitcoin Lightning Network 사용자 가이드

MathWallet은 “Bitcoin Lightning Network”를 지원했습니다.

“Bitcoin Lightning Network”란 무엇입니까

The Lightning Network 는 비트코인 블록체인에 고정된 결제 채널을 활용하여 참여자 간에 거의 즉각적이고 저렴한 비트코인 결제를 가능하게 하는 P2P 결제 네트워크입니다. 이러한 지불 채널은 서로 연결되어 있어 사용자는 참가자를 신뢰하지 않고도 네트워크의 누구에게나 지불할 수 있습니다.

아래 가이드를 따르고 비트코인 라이트닝 네트워크를 사용해 보세요:

먼저 MathWallet 최신 버전을 설치하세요:
https://mathwallet.org

체인 목록에서 하단의 + 버튼을 클릭하고 “Bitcoin Lightning”을 엽니다.

This image has an empty alt attribute; its file name is 001.png

그런 다음 체인 목록에서 “Bitcoin Lightning”을 찾아 새 지갑을 추가하세요.

This image has an empty alt attribute; its file name is 002.png

그러면 Bitcoin Lightning에서 토큰을 받고 보낼 수 있습니다.

이를 사용하는 방법에는 여러 가지가 있습니다:

방법 1(메인넷 BTC 수신):

아래와 같이 이 주소를 사용하여 메인 네트워크에서 전송된 BTC를 받을 수 있습니다. 도착하면 아래 해당 SATS 개수로 자동 변환됩니다.

This image has an empty alt attribute; its file name is 003.png

방법 2(Lightning Network SATS 수신):

SATS를 클릭하여 자산 세부정보 페이지로 이동하세요.

This image has an empty alt attribute; its file name is 004.png

왼쪽의 ‘Receive’ 버튼을 클릭하세요.

This image has an empty alt attribute; its file name is 005.png

받을 SATS 수량을 입력하고 송장을 생성하세요.

This image has an empty alt attribute; its file name is 006.png

해당 송장을 복사하거나 해당 QR 코드를 보낸 사람에게 저장하세요.

This image has an empty alt attribute; its file name is 007.png

방법 3(Lightning Network SATS 전송):

SATS 자산 페이지 오른쪽에 있는 “보내기” 버튼을 클릭하세요.

This image has an empty alt attribute; its file name is 008.png

해당 송장을 복사하거나 해당 송장 QR 코드를 스캔하세요. (Lightning 주소 또는 LNURL을 사용할 수도 있습니다.)

This image has an empty alt attribute; its file name is 009.png

그런 다음 ‘Next’을 클릭하세요.

This image has an empty alt attribute; its file name is 010.png

전송 작업을 완료하려면 “Pay”를 클릭하세요.

MathWallet에 Solana AppChain을 추가하는 방법

MathWallet은 암포화폐 월렛 중 Solana AppChain을 최초로 지원합니다.

MathWallet에 Solana AppChain 추가 방법 :

체인 목록에서 “+” 버튼을 클릭 하고 “Add Chain”를 클릭하여 공개 체인을 추가하세요.

WechatIMG921

추가 설정을 하려면 “Custom”를 클릭하세요.

WechatIMG922

“Chain Type” 에서 “SOLANA”를 선택한 후 AppChain 관련 정보를 입력합니다.

WechatIMG923

이제 MathWallet 애플리케이션에서 Solana AppChain을 사용할 수 있습니다.

비트코인 월렛에서 주소 유형 선택 방법

WechatIMG916

Segwit

주소 유형:3…

SegWit (Segregated Witness)은 현재 Bitcoin이 디지털 서명 부분을 분리함으로써 블록당 저장 용량을 늘리는 소프트웨어 업그레이드입니다.

블록을 패키징할 때, 각 트랜잭션마다 디지털 서명으로 검증하고 문제가 없는지 확인한 후에 블록에 기록해야 합니다. 하지만 일반 사용자는 각 트랜잭션을 검증할 필요 없이 각 계정에 얼마의 자산이 있는지만 관심이 있습니다. SegWit은 블록에서 디지털 서명 정보를 제외하여 각 블록이 더 많은 트랜잭션을 운반할 수 있도록 합니다. 이를 통해 블록당 저장 용량을 늘리도록 합니다.

SegWit의 장점:
일반적인 주소보다 더 보안성이 높고 안전합니다.
블록당 저장공간이 늘어나서 빠르고 트랜잭션 확인도 빠릅니다.
일반 주소 유형보다 트랙잭션당 가스피가 더 저렴합니다.

Normal

주소 유형:1…

( Legacy Address ) 1로 시작하는 주소로 이는 가장 초기의 비트코인 주소입니다.
예: 【생성 주소: 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa】 (사토시 나카모토)

Taproot

주소 유형:bc1…

Bitcoin Taproot는 Bitcoin의 개인 정보 보호, 보안 및 확장성을 향상하도록 설계된 Bitcoin 프로토콜의 중요한 업그레이드입니다. 이는 2021년 11월에 활성화되었으며 2017년 SegWit 업그레이드 이후 비트코인에 대한 또 다른 중요한 업그레이드를 나타냅니다. Taproot 업그레이드의 주요 목표는 비트코인의 개인정보 보호를 개선하는 것입니다. 전통적인 비트코인 거래는 공개되어 누구나 거래 입력, 출력 및 관련 금액을 볼 수 있습니다. 이러한 공개 거래 형식은 자금 흐름, 보유자 정보 등 사용자의 개인 정보를 노출할 수 있습니다. Taproot 업그레이드는 여러 거래를 단일 거래로 병합할 수 있는 새로운 스크립팅 언어와 거래 서명 체계를 사용하여 거래를 보다 비공개적으로 만듭니다. 이렇게 하면 거래의 입출력 정보를 숨길 수 있고 거래의 최종 결과만 공개함으로써 비트코인의 개인정보 보호를 강화할 수 있습니다. 또한 Taproot 업그레이드를 통해 비트코인의 보안을 향상시킬 수 있습니다. 새로운 스크립팅 언어는 다중 서명 및 시간 잠금 트랜잭션을 포함하여 더 많은 트랜잭션 유형을 지원는 비트코인의 보안을 강화할 수 있습니다. 또한, 이 업그레이드는 거래 수수료와 확인 시간을 줄여 비트코인의 확장성을 향상시킬 수도 있습니다. 결론적으로, 비트코인 Taproot는 비트코인의 개인 정보 보호, 보안 및 확장성을 향상시키도록 설계된 비트코인 프로토콜의 중요한 업그레이드입니다. 이는 비트코인의 향후 개발을 위한 보다 견고한 기반을 마련했습니다.

Native Segwit

주소 유형:bc1…

또한 SegWit 주소입니다.
기본 SegWit의 주소는 bc1로 시작합니다.